Permissões de delegação para administradores no Active Directory / Taskpads

Navegue suas respostas
2

Estou tentando fornecer painéis de tarefas para alguns administradores para operarem em poucas tarefas delegadas a eles no nível da unidade organizacional.Ebrei o seguinte problema:

digamos que eu deleguei acesso ao administrador na UO X e que é a capacidade de modificar grupos como o grupo de exemplo X1, ele deve ser capaz de adicionar qualquer usuário da UO X ao grupo X1.

O problema aqui é durante o teste eu descobri o administrador pode fazer o acima, mas também pode adicionar um usuário Y1 da OU Y (que ele não tem permissões delegadas) para o grupo X1.Que estou faltando? como restringir o administrador de adicionar usuários fora da UO aos grupos aos quais ele modificou o acesso?

Por favor, pergunte-me se mais detalhes / esclarecimentos forem necessários.

    
por Darktux 14.11.2012 / 17:11

1 resposta

2

Você não pode realmente fazer isso. Se você der a um usuário a capacidade de adicionar usuários a um grupo, ele poderá adicionar qualquer usuário que sua conta possa ler. Como é necessário alterar fundamentalmente a forma como as permissões do AD são estabelecidas para impedir que as contas de usuário limitadas leiam os atributos básicos de outros usuários, normalmente é uma configuração não suportada que quebrará muitas coisas que não significa que você quebraria.

Em suma, não há nenhuma funcionalidade real em vigor para dizer "você pode adicionar [usuário] a este grupo, contanto que [usuário] exista nesta OU" sem uma modificação importante no layout padrão de permissão do AD.

    
por 14.11.2012 / 17:14

Tags

Como descubro qual disco em um mdadm multi-disco RAID1 disparou uma reconstrução? Problemas de tempo na rede - Como encontrar a causa raiz