none
你好微软,我需要《AD的用户权限组详细说明书》 RRS feed

  • 问题

  • 我的客户需要全面停止在日常管理中说使用的administrator账户。

    并为it部各个员工按照工作范围建立各自的账户。现在我需要AD的用户权限组的详细说明。

    比如

    账户A

    有权限新加入pc进入AD但是无权限退出

    账户B

    有权限新建立一个AD账户,并能重置其密码,但是无法删除

    诸如这类的需求


    颜梦雨 (攻城狮)yanmy@outlook.com

    2013年8月19日 9:17

答案

  • 可以使用委派对AD进行管理

    右击需要委派控制的OU,选择“委派控制” ,添加相应的用户或组后,就可以为其分配权限。
    2013年8月19日 13:11
  • 那些字符串是 SDDL, SDDL 作為權限訪問定義, 廣泛地應用於微軟多個需要權限驗證的功能中.

    上面給出的是用於 Directory Services. 你可能是初次接觸到 SDDL, 但是應該還是能夠較為容易地識別出 SDDL 是由多個部分組成的. 你可以通過將那些部分提取出來, 然後在 MSDN 搜索一下, 就能知道其具體的含義, 以及更進一步信息.

    設置可通過 powershell 完成.

    至於委派功能, 雖然 dsa.msc 提供了用於進行委派的嚮導, 但要實現精確委派需要知道一共要用到哪些權限, 這需要大量測試以找出所需權限, 並要最大限度保證所使用的權限不會影響到系統正常功能. 如果從最小權限角度考慮, 還需要對已有權限組合進行增減測試, 看是否提供了多餘權限.

    當最終確認了要委派的權限, 建議對權限和指定的用戶或用戶組進行記錄. 因為 dsa.msc 沒有提供一個很友好的功能能夠查看所有進行了委派的詳細信息.

    此外如果要修改或刪除已有委派, 那麼也沒有特別好用的工具, 你可能需要通過手動編輯權限來實現.


    Folding@Home

    2013年8月20日 11:46

全部回复

  • 必要的域管理員賬戶還是需要的, 只是將其指定給少部分有責任的員工.

    至於你說的需求, 可通過委派具體的擴展權限實現.

    對於第一個需求, 其實我覺得只要擁有該權限的員工沒有通過腳本化將客戶端或成員服務器退域, 那麼委派加域退域的權限並沒有大問題.

    (OA;CIIO;SW;72e39547-7b18-11d1-adef-00c04fd8d5cd;bf967a86-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)
    (OA;CIIO;SW;f3a64788-5306-11d1-a9c5-0000f80367c1;bf967a86-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)
    (OA;CIIO;RPWP;4c164200-20c0-11d0-a768-00aa006e0529;bf967a86-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)
    (OA;CIIO;CR;00299570-246d-11d0-a768-00aa006e0529;bf967a86-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)

    上面幾個委派權限具有加域退域, 至於能否修改為禁止退域, 需要自己在測試環境測試. UserOrGroupSID 指要授予委派權限的指定域用戶或指定全局安全組. 請根據實際情況替換.

    (OA;CIIO;CCDCLCSWRPWPDTLOCRRCWDWO;;bf967aba-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)
    (OA;CI;CCDC;bf967aba-0de6-11d0-a285-00aa003049e2;;UserOrGroupSID)

    上面這兩個權限, 可新建用戶, 但沒有刪除用戶, 移動用戶到特定 OU 的權限, 也具有重置 Domain Users 組用戶密碼的權限.


    Folding@Home

    2013年8月19日 11:40
  • (OA;CIIO;SW;72e39547-7b18-11d1-adef-00c04fd8d5cd;bf967a86-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)
    (OA;CIIO;SW;f3a64788-5306-11d1-a9c5-0000f80367c1;bf967a86-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)
    (OA;CIIO;RPWP;4c164200-20c0-11d0-a768-00aa006e0529;bf967a86-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)
    (OA;CIIO;CR;00299570-246d-11d0-a768-00aa006e0529;bf967a86-0de6-11d0-a285-00aa003049e2;UserOrGroupSID)

    我不太明白你这些字符 是在哪里出现的 是AD的用户属性里面的吗?

    能否给出teachnet上的答复。


    颜梦雨 (攻城狮)yanmy@outlook.com

    2013年8月19日 12:32
  • 可以使用委派对AD进行管理

    右击需要委派控制的OU,选择“委派控制” ,添加相应的用户或组后,就可以为其分配权限。
    2013年8月19日 13:11
  • gj

    我想得就是这个,明天继续测试


    颜梦雨 (攻城狮)yanmy@outlook.com

    2013年8月19日 13:12
  • 那些字符串是 SDDL, SDDL 作為權限訪問定義, 廣泛地應用於微軟多個需要權限驗證的功能中.

    上面給出的是用於 Directory Services. 你可能是初次接觸到 SDDL, 但是應該還是能夠較為容易地識別出 SDDL 是由多個部分組成的. 你可以通過將那些部分提取出來, 然後在 MSDN 搜索一下, 就能知道其具體的含義, 以及更進一步信息.

    設置可通過 powershell 完成.

    至於委派功能, 雖然 dsa.msc 提供了用於進行委派的嚮導, 但要實現精確委派需要知道一共要用到哪些權限, 這需要大量測試以找出所需權限, 並要最大限度保證所使用的權限不會影響到系統正常功能. 如果從最小權限角度考慮, 還需要對已有權限組合進行增減測試, 看是否提供了多餘權限.

    當最終確認了要委派的權限, 建議對權限和指定的用戶或用戶組進行記錄. 因為 dsa.msc 沒有提供一個很友好的功能能夠查看所有進行了委派的詳細信息.

    此外如果要修改或刪除已有委派, 那麼也沒有特別好用的工具, 你可能需要通過手動編輯權限來實現.


    Folding@Home

    2013年8月20日 11:46