企业管理指南 › 规划您的 PUPM 实施 › 实施注意事项 › 用于管理 Active Directory 端点的最小权限
用于管理 Active Directory 端点的最小权限
在 Windows 上有效
如果要使用 PUPM Windows Agentless 端点类型来管理 Active Directory 端点,且不想指定域管理员帐户,那么您可以指定管理常规用户帐户所需的具有最小权限的指派用户帐户。
示例:指派 Active Directory 用户管理 Windows Server 2008 上的其他 Active Directory 用户的权限
以下示例向您显示如何为常规用户指派管理 Windows Server 2008 上的其他常规 Active Directory 用户的权限。
- 选择“开始”、“管理工具”、“组件服务”
此时打开组件服务控制台。
- 扩展“组件服务”列表,选择“计算机”,然后右键单击“我的电脑”并选择“属性”。
“我的电脑”属性窗口将打开。
- 导航到“COM 安全”选项卡并执行以下操作:
- 单击“访问权限”部分中的“编辑默认值”按钮
- 单击“添加”,找到用户帐户,分配访问权限
- 在“启动和激活权限”部分中选择“编辑默认值”。
- 单击“添加”,找到用户帐户,分配访问权限。
- 在“允许”列下,选择“本地和远程访问”和“本地和远程激活”选项。
- 单击“确定”,退出属性窗口。
- 依次选择“开始”、“管理工具”、“Active Directory 用户和计算机”。 请执行以下操作:
- 从用户列表,右键单击用户帐户。
- 移到“成员”选项卡,并选择“添加”到组。
- 作为下列组的成员添加用户,然后单击“确定”:
您已为指派用户配置安全属性。 现在为您希望此用户管理的容器配置安全属性。
- 从 Active Directory 用户和组控制台,右键单击“用户”文件夹并选择“属性”。
- 移到“安全”选项卡,选择“添加用户”,然后单击“高级”。
“高级安全设置”窗口将打开。 请执行以下操作:
- 在“权限”选项卡中,选择用户,并单击“编辑”。
将打开权限条目窗口。
- 从“应用到”列表中选择后代用户对象并应用以下权限:
- 列出内容
- 读取所有属性
- 写入所有属性
- 读取权限
- 修改权限
- 更改密码
- 重置密码
- 单击“确定”,退出属性窗口。
您已在用户容器中为用户配置了安全属性。
- 从命令提示符窗口,运行命令 wmimgmt 来打开 WMI 控制台。 请执行以下操作:
- 右键单击“WMI 控件”,然后选择“属性”。
将打开“WMI 控件属性”窗口。
- 移到“安全”选项卡并扩展根目录。
- 选择目录,然后单击“安全”按钮。
- 单击“添加”,添加正在编辑的用户帐户,然后添加针对根命名空间和子命名空间的读取安全的下列权限:
- 关闭 WMI 控制台。
- 从命令提示符窗口,运行 regedit 实用程序并找到以下注册表项:
HKEY_CLASSES_ROOT\CLSID\{76A64158-CB41-11D1-8B02-00600806D9B6}
HKEY_CLASSES_ROOT\CLSID\{233664b0-0367-11cf-abc4-02608c9e7553}
- 右键单击每个注册表项,然后选择“权限”
将打开权限窗口。
- 将用户添加到列表中,并将完全控制分配给键和所有子对象
- 单击“确定”以关闭 regedit 实用程序。
您已为常规 Active Directory 用户指派管理其他常规 Active Directory 用户的权限。
高级 CA Access Control 和 PUPM 集成限制
通过高级 CA Access Control 和 PUPM 集成(终端集成),您可以跟踪使用特权帐户登录到 CA Access Control 终端的用户的原始用户名。
仅当用户使用自动登录从 CA Access Control 企业管理 签出特权帐户时,您才能使用高级 CA Access Control 企业管理 CA Access Control 和 PUPM 集成。
