Tentativa de criar uma conta de usuário de administrador de site para um domínio do Active Directory. Usando o Assistente para Autoridade de Delegação do Active Directory. uma conta de usuário foi ralada direitos em uma OU. No entanto, ao tentar usar a autoridade, algumas das opções ficam esmaecidas. As configurações atuais permitem que o administrador do site edite contas criadas pelo administrador do site, os valores não estão esmaecidos. Quando o administrador do site tenta editar as contas de usuário criadas pelo domínio ou pelo administrador da empresa, algumas áreas ficam esmaecidas.
Uma conta de usuário que possui toda a autoridade de um administrador, mas limitada a UO e seus filhos. São desejados.
NaUOprobáticahá~50objetosdeusuário8dessesobjetosherdamovalorpwdLastSet.aimagemàdireitamostraumdosobjetosqueherdamaspermissons.aimagemdaesquerdamostraumobjetodeusuárioquenãotem.elesestãonamesmaOU.
NaguiaSegurança,paraamaioriadosobjetos,osnottemmeuGrupodeHelpDesk,enquantoaguiaSegurançadaimagemdireitatemoHelpdeskGroupcompermissões.
poralgumarazão,aspermissõesestãosendoherdadasporalguns,masnãoportodososobjetos.
EutenteicomumaUOdiferenteemumaflorestadiferentecomosmesmosresultadosEtapa1criarumanovacontadeusuárionaflorestaEtapa2,OUdireito,controlededelegaçãopasso3selecionemeunovousuáriomarquetodasascaixasUsandominhanovacontaDelegatedAdmineunavegoparaoUO.Existem4usuáriosnaunidadeorganizacional.Usuários1e2Nãoconsigoeditar.Usuários3e4Eupossoeditarconformeoesperado.
Eu fiz uma UO de teste com usuários de teste e um administrador de teste / usuário de helpdesk. Nestas OU, tudo funciona exatamente como deveria. Eu temo que há algo errado com o meu catálogo global ou esquema neste momento.
Verifique as permissões nos dois objetos. Para rever as permissões, você visualiza a guia " Segurança " como faria com um arquivo ou pasta.
Como não há uma guia " Segurança ", você precisará ir ao menu Exibir em Usuários e Computadores do Active Directory e selecionar Recursos Avançados . Então você poderá ver a guia de segurança e verificar as permissões nos objetos.
Os objetos criados no Active Directory têm permissões de "Proprietário criador" concedidas, bem, ao Creater / Owner. Isso pode ter efeitos inesperados. Por exemplo, um dos técnicos de área de trabalho de um trabalho anterior descobriu que poderia excluir alguns PCs do AD, apesar de não ter permissão explícita para isso, mas apenas se ele fosse quem os adicionasse. Isso porque ele era o criador do objeto PC e, como tal, tinha permissões especiais nele.
Sua declaração sobre a resposta de Jack, "Qualquer objeto criado depois que eu delegue autoridade ao site-admin mostra o siteadmin com controle total. Há alguns milhares de usuários que foram feitos antes da mão", sugere-me que algo semelhante é indo. Eu imagino que se você puxar para cima um dos objetos criados pelo siteadmin e escolher Segurança - > Avançado - > Proprietário, você descobrirá que seu siteadmin possui esse objeto.
Se você quiser que o siteadmin tenha controle total sobre essa UO, provavelmente precisará conceder explicitamente essa permissão na guia de segurança em recursos avançados mencionados por Jack. Desbloquear / alterar senha é provavelmente modificar.