Windows OU管理能力受限

Question

我们的组织最近经历了一次安全措施的改变，我有一个要求，想知道它是否可以实施。

因此，我们的团队(比如Jim、Tim、Johnny、Sonny和Mary)正在为客户管理域名(1,2,3,4,5,6,7)。我们现在要做的是在该OU下创建用户，并创建安全组，并让用户通过安全组访问相应的客户环境。就像这样

随着更多客户的加入(8,9,10)，我们将创建这样的安全组，并添加所需的用户。我想要实现的是，只有Jim和Tim可以管理Cust 3和Cust 4安全组( SGs )，以便在这些SGs中添加删除用户，同时保留修改Cust 1、2、5、6、7和创建/修改Cust 8、9、10 SGs等功能。它们就像超级管理员(在Windows AD中甚至不知道这是否是一个术语)。现在，约翰尼，桑尼和玛丽将保留修改Cust 1,2,5,6,7的能力，并在需要时添加Cust 8,9,10，但是他们绝对没有修改Cust 3和4的权利。他们可能在最多的时候有阅读/查看权限。

创建SGs通常遵循的命名约定是云-客户-访问.。是否有可能通过创建某种角色或GPO来执行正则模式搜索并限制上述资源来实现这一目标。

目前，我们都是域管理员。我可能需要再创建一个容器，并将约翰尼、桑尼和玛丽作为其中的一部分，而吉姆和蒂姆则被列为域名管理员。伊克，只是想大声点。

Answer 1

是否有可能通过创建某种角色或GPO来执行正则模式搜索.

简短回答:不。由于所有对象资源都是由它们的(GU)ID来管理的，而不是(可能正在改变和国际上不同的)字符串，regex就没有任何意义了。

不知道这在Windows中是否有一个术语

同样简短的回答是:不。不需要这样的东西，因为Windows几乎所有东西都有ACL。这并不会禁止你想给你的团体打电话。

记得我记得一个客户网站，其中有“管理员”、"admin_admins“、"super_admins”、"universal_admins“和"universal_admin_admins”。美好的时光。

可能的解决办法可能是将不同的组放在不同的of中，并将ACL附加到它们上，或者使用powershell创建/管理这些组(这可以做regex和其他一些有用的东西)。