委派了OU重置密码权限后，OU中部分用户权限未继承。环境：Windows 2008 R2 SP1 DC，我委派对domain.com 下企业组织机构，授予密码管理员重置及修改密码，但是发现密码管理员对于其中部分人员无法重置密码。

仔细对比可以修改及不能修改的，发现不能修改的都是权限未继承下去的，也就是未在安全中看到密码管理员组的权限；而可以重置的都是权限已经继承下去的。

并且我注意到，无法在OU那一级设置替代子OU权限这种类似于目录权限重新继承的做法。怎么会出现这种情况？有没有更好的方法强制OU及子OU及其对象重新继承父级权限设置？

补充说明下，我委派是指定的新建的密码管理员组，然后把密码管理员加入了组中。

1、都是用户。OU的属性也有区别，例如上级OU完全控制，未继承的OU，只有特殊权限。而未继承权限的OU中的用户则完全没有看到父级密码管理员组的授权。

2、OU=XXX公司,DC=Domain,DC=COM 这一级委派，OU=XXX分公司,OU=XXX公司,DC=Domain,DC=COM OU安全设置未继承，DN=user1,OU=XXX分公司,OU=XXX公司,DC=Domain,DC=COM 用户安全设置未继承。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

回答：根据您描述，您想知道有没有方法方法OU及子OU及其对象重新继承父级权限设置。

根据我的测试，默认情况下，在父OU上委派的权限，是会在继承到子OU上去的。这点我们可以从子OU或者OU中的对象的安全属性中得到验证。

所以，就这个问题而言，我认为我们需要先确保两点：1、权限的设置是要可以继承到后代的，即“这个对象及全部后代”2、子对象是会从父对象继承权限的，即“包括可从该对象的父项继承的权限”。这些我们可以通过这些父对象和子对象的安全属性标签来检查。

首先，在OU上委派权限其实就是在OU的安全标签下设置相应的权限，只不过一个是用向导的方式来完成的，一个是通过设置对象的访问控制列表来实现的。

如果，先不看您这个有问题的OU，您在AD用户和计算机下，新建一个OU，然后再在这个新建的OU下建一个子OU，然后在父OU上设置权限，子OU是不是会正常继承一个父OU上设置的权限的。做这个测试的目的就是可以知道，在默认的情况下，系统的这些基本继承机制是不是会正常工作。

我认为要让相应的权限继承下去和被继承，正常情况下我们需要确保在父OU和子OU上分别应用了下面这些设置：

对于您提到这篇KB，我认为其中的修补程序肯定是不适用的，但其中所提到的相关的原因和方法是适用的。

例如：

“在使用“控制委派”向导委派权限时，这些权限依赖于从父容器继承权限的用户对象。受保护组中的成员不能从父容器继承权限。因此，如果使用“控制委派”向导设置权限，则这些权限不适用于受保护组中的成员。”

注意：可使用一个或多个安全组或通讯组将受保护组的成员身份定义为直接成员身份或可传递成员身份。包括通讯组的原因是它们可以转换为安全组。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

方法 1：确保成员不是受保护组的成员
方法 2：对 adminSDHolder 容器启用继承
方法 3：防止继承和只更改 ACL

委派修改密码和重置密码的权限下去，是的，也是这么设置。这里所说的对这个OU下的所有对象都有这个权限是指，您所设置的，或者说委派的权限，也就是说您委派的“修改密码”和“重置密码”的权限继承下去。因此，并不是说对OU下的所有对象有完全控制权限。并且，根据我的测试，只要在父OU上设置了相应的权限，默认情况下，就是会继承下去，并都默认勾选截图的两个选项的。

朱一峰 微软全球技术支持中心

AD OU管理|委派密码重置权限的相关文章请参考
AD OU管理
组织单元OU委派的常见问题
打开AD管理工具连接到指定DC
AD管理工具|活动目录教程
win7如何管理活动目录

活动目录管理域分支机构规划指南
活动目录管理的四个复杂性
WindowsAD域活动目录管理
---gnaw0725