Azure Active Directory Domain Services (AD DS) change permissions on ADSI Containers without Enterprise / Domain Admin Rights
Мне нужно изменить права доступа в Azure Active Directory Domain Services (AD DS) для определенного контейнера в ADSI.
Обычно в локальной Active Directory это возможно при наличии правильных прав доступа на объект и изменении права доступа к управлению (ACE) в списках контроля доступа (ACL) объекта. Обычно это означает, что мне нужны права Enterprise / Domain Admin в первом дворце, чтобы изменить права объекта.
В Azure Active Directory Domain Services (AD DS) Microsoft ограничивает среду следующим образом: Привилегии администратора домена и администратора предприятия недоступны. Единственным способом администрирования домена является использование пользователей в группе "AAD DC Administrators", которая не имеет доступа к правам контейнера: Скриншот ACL контейнера
Есть ли способ как-то изменить разрешение на объект ADSI без прав Enterprise / Domain Admin? Или есть способ установить дополнительные разрешения непосредственно через Azure?
Azure AD DS предлагается как PaaS, поэтому вполне естественно, что Microsoft блокирует все, что вы можете с ним делать. Если у вас нет разрешения, то нет, это невозможно.
Если это то, что вам действительно нужно, выберите DS внутри виртуальной машины.