限制用户和计算机的视图

Question

我将一组用户委托给一个特定的人，以便能够跟上他们的帐户管理，并且我已经授权他们这样做。我是否也可以限制同一人在港同盟内观看团体政策或其他组织单位？

谢谢你提前给我时间。

Answer 1

是的，但很复杂。您需要做的是将您的域置于列表对象模式中。这是通过将配置命名上下文中的dsHeuristics属性中的第三个数字设置为ADSI编辑中的1来完成的。

http://technet.microsoft.com/en-us/library/cc546864.aspx

一旦您这样做，您将解锁列表对象模式，您将看到它是一个新的权限或ACE，您可以分配给Active Directory对象。

这让人想起Windows安全中的“绕行遍历检查”特权，该权限允许用户遍历他们没有权限的文件夹，以便访问他们拥有权限的文件夹。

您通常看到在多租户环境中使用的AD列表对象模式，其中有多个客户共享同一个AD域，而且您不希望他们能够看到对方的东西。

但是，请记住，除非您的权限非常非常精确，否则您将在客户端上遇到组策略应用程序错误。客户端上的GP引擎需要读取gpLink、读取gpOptions、读取cn和读取链中每个OU上的区分名称，从它们所在的位置一直到域的根，否则GPO应用程序将失败。

Answer 2

希望这可能有助于：

定制MMC指南