DC & File Server 在同一台時的權限影響

DC 與 File Server 在同一台時,而同一個 OU 裡,委派權限以及 Server Operator 群組權限同時存在的條件下,此 OU 的使用者繼承權限會受影響,帳號裡的 Allow inheritable permissions from the parent to propagate to this object and all child objects. Include these with entries explicitly defined here 勾勾會被拿掉.



微軟有 KB 說明這樣問題的解決方式 AdminSDHolder Thread Affects Transitive Members of Distribution Groups ,但是修改 AdminSDHolder 會有不預期的問題發生.

另外,建議兩個解決方法,但是前提下,OU 內的使用者不能加入 Server Operator 群組 :

1. DC 和 File Server 需使用2台不同的獨立 Server,使用者可以設定 Full Control OU ,OU 內的使用者可加入 File Server 的 Power User 群組.

2. 如果 DC 兼 File Server 的情況,需要額外建立一個使用者帳號,例如: OUadmin 給某個使用者使用,並設定 OUadmin 可 Full Control OU,所以使用者在 AD 中有 2 組使用者帳號,一個是普通權限的用途,一個是可以管理 OU 的用途.