在我们的Active Directory(2008 R2)中,我使用委托授权将用户信息属性(如电话号码,标题,邮政地址等)编辑给一组非管理员用户.
该组的成员现在可以编辑大多数用户信息,但他们无法编辑管理员的信息.但为什么?我没有找到任何可能导致这种情况的“拒绝”条款.
可能是SDAdminHolder功能.它会阻止作为受保护组成员的帐户的权限继承.您可以通过检查帐户的权限以及帐户父容器的权限来确认这一点.
原文链接:https://www.f2er.com/windows/368293.html