Uma Entrada de Controle de Acesso é necessária para conceder a permissão de principal de segurança especificada nos Objetos de Grupo Descendente para atualizar o atributo de membro:
Temos um servidor Windows 2008R2 que executa o Active Directory nele. Escrevi um aplicativo C # que permitirá que a equipe de TI inclua novos usuários no AD. Não tenho problemas em criar ou atualizar usuários, mas quando chega a hora de adicioná-los a diferentes grupos de segurança, estou com problemas de permissão. Depois de trabalhar com a TI, descobrimos que preciso ler, gravar, criar objetos filho e excluir objetos filho. Isso agora funciona bem quando especificamos essas permissões diretamente para o grupo de segurança, mas se aplicarmos essas mesmas permissões no nível da UO, não poderemos modificar os membros de grupos individuais. Alguém pode nos ajudar a descobrir quais permissões precisam ser concedidas no nível da unidade organizacional para que eu possa adicionar / remover membros de qualquer grupo dessa unidade organizacional?
Há um prático guia da Microsoft . Está escrito sobre o Windows Server 2003, mas ainda 98% do real. Será útil, há uma necessidade seletiva de delegação de direitos no Active Directory.
Sobre as opções de herança da ACL podem ser encontradas na descrição da /I
key utilitário dsacls .
Também deve-se ter em mente que o mecanismo AdminSDHolder pode causar problemas inesperados quando delegando direitos.
Para delegar o direito de adicionar / excluir membros nos grupos em particular OU (com grupos), você precisa executar o seguinte comando:
dsacls <full distinguished name of OrganizationalUnit> /I:S /G "<secutity name>:WP;member;group"
Onde:
<full distinguished name of OrganizationalUnit>
- nome exclusivo completo da unidade organizacional dentro da qual você deseja delegar o direito de alterar os grupos.
<secutity name>
- usuário ou (melhor) nome do grupo, que será delegado à direita.