a)为了使用户能够从他们的工作站执行这些操作,除了安装Remote Server and Administration Tools之外还有其他方法吗?我能以某种方式仅安装“Active Directory用户和计算机”管理单元吗?
b)尽管使用mmc.exe创建了一个自定义AD管理单元,因此要管理的单个OU位于根目录,但我惊讶地发现用户仍然具有对整个AD域结构的读访问权限.这是设计还是让我的权限在某处出错了?
非常感谢!
解决方法
a) In order for the users to be able to perform these actions from their workstations,is there any other method other than installing the Remote Server and Administration Tools? Could I install only the ‘Active Directory Users and Computers’ snap-in somehow?
ADUC是RSAT的一部分.他们需要安装它们,除非他们想要使用命令行net use命令,这不会非常有效.
b) Despite creating a custom AD snap-in using mmc.exe so the single OU to be managed is at the root,I was surprised to see that users still had read-access to the whole AD domain structure. Is this by design or have my permissions gone awry somewhere?
这是正常的和预期的.你的广告中几乎没有任何秘密,在大多数情况下,它确实没有理由.即使您没有为这些用户(或任何用户)安装ADUC,他们仍然可以使用dsquery,net use或Get-AD * PowerShell cmdlet收集有关您的域的信息.
别担心,没有什么问题.应该是这样的.
