AD域权限委派:只能管理自己的OU(2011-02-1314:01:01)转载▼标签:it分类:ActiveDirecto自定义MMC将ActiveDirectory用户和计算机(ADUC)的mmc进行自定义,只把委派用户管理的OU列出,保存后发送给此用户,然后将ADUC所需的文件拷贝的客户端,此用户就可以管理特定OU而无法浏览到其他OU。a)在DC上,点击开始-运行,输入mmc,确定。b)添加ADUC管理单元。c)找到将委派给用户的OU,如销售部,右键单击选择从这里创建窗口。将显示整个域的窗口关闭,只留下特定OU的窗口。d)在查看-自定义中可以选择用户可以在UI上进行的操作,选择好后确定。e)在文件-选项中,将控制台模式改为用户模式-受限访问,单窗口。勾选不要保存对此控制台的更改,不勾选允许用户自定义视图。f)将自定义好的mmc保存后发给用户。并将DC上system32文件夹下的adprop.dll、dsadmin.dll和dsprop.dll拷贝到客户端的system32文件夹,然后在客户端运行regsvr32adprop.dll、regsvr32dsadmin.dll和regsvr32dsprop.dll注册这些文件。这样客户端就可以管理特定OU而无法看到其它OU了。注意:从DC上拷贝文件要和客户端对应,2008R2要拷到Windows7,2003要拷到XP。并且32位、64位要对应。本文转自