Не рекомендуется использовать контроллер домена в качестве кластерного узла, и на самом деле, существуют ограничения даже на автономные установки SQL Server на DC.
Разрешение на изменение свойств объектов Active Directory (AD) контролируется списками управления доступом (ACL). Списки управления доступом применяются к объектам явно (без наследования) или неявно путем наследования от контейнера (OU или объекта-контейнера), в котором находится объект.
Делегирование управления атрибутами пользователю или группе (вы почти всегда должны делегировать разрешения группам (в стороне) - это не что иное, как изменение разрешений на объекты-контейнеры (чаще всего) или отдельные объекты, не являющиеся контейнерами (например, учетные записи пользователей и учетные записи компьютеров, хотя технически они являются объектами-контейнерами).
ACL , а не применяются к объектам на основе членства объектов в группе безопасности, что, как вы заявляете, вы ищете.
Лучше всего организовать учетные записи пользователей, управление которыми вы хотите передать, в OU и делегировать управление этим OU. Если это невозможно, то вам придется изменять ACL для каждой учетной записи пользователя индивидуально.
Большинство сторонних программ для управления идентификацией и доступом может обрабатывать этот тип управления доступом, выполняя запрос от имени пользователя, обычно с использованием учетных данных администратора домена (но его всегда можно заблокировать и дальше.
К сожалению, сама Windows не может этого сделать: членство в группе в AD на самом деле просто указано в списке членов группы (атрибут member
группы, используемый для генерации ] memberOf
сконструированный атрибут) и не имеет структурного значения в каталоге (напомним, что AD - это в основном просто LDAP). В отличие от этого, разрешения в AD определяются структурно, поэтому вы можете предоставить учетным записям определенные разрешения для поддеревьев (например, домена, подразделения или отдельного пользователя) в соответствии с иерархией, которую не определяют группы. Структура основана на доменах и OU, как и любое другое дерево LDAP. Если что-то не отображается в DN (отличительном имени) пользователя, это не может использоваться для управления разрешениями каталога.
Делегация. Вам необходимо делегировать разрешение на запись для атрибута userAccountControl для объекта.
Это делегирование может применяться к членам группы безопасности.