Active Directory, контроль для пользователей

Question

Active Directory, контроль для пользователей

Я несу ответственность за Active Directory (AD), в которой я работаю, и пытаюсь выяснить, как я могу допустить, чтобы руководители сектора компании могли добавлять и удалять пользователей из своих отделов соответственно, без необходимости что любой из них будет администратором домена. Так что, пожалуйста, помогите?

4

windows active-directory delegation

Источник

jayron soares 09 янв '12 в 20:15

2 ответа

Другие вопросы по тегам windows active-directory delegation

Evan Anderson 10 янв '12 в 14:54 2012-01-10 14:54 · Answer 1 · 2012-01-10 14:54

Вы ищете функцию делегирования управления в Active Directory - пользователи и компьютеры. Я не предпочитаю ответ @Harry Johnston, потому что, хотя он технически действителен, вам действительно следует использовать "Wizard", чтобы вам не приходилось копаться с конкретными записями в списках контроля доступа (ACL), которые вы пытаетесь использовать. управлять.

Предположим, что каталог выглядит следующим образом:

[domain]  ad.company.com
   |
   |-- [OU]  Sales
   |     |
   |   [user]  Bob, Sales Manager
   |
   |-- [OU]  Service
   |     |
   |   [user]  Jane, Service Manager
   |
   |-- [OU]  Security Groups
   |     |
   |     |-- [OU]  Groups Managed by Delegates
   |     |     |
   |     |   [group]  Sales Gerbils
   |     |     |
   |     |   [group]  Service Technicians
   |     | 
   |   [group]  Delegated Sales Managers
   |     |
   |   [group]  Delegated Service Managers
   |     |
  ...   ...

Предполагая, что вы хотите, чтобы Боб мог создавать новых пользователей по продажам, а Джейн - новых пользователей из Службы, вы бы:

Сделать Боб членом группы "Делегированные менеджеры по продажам"
Сделайте Джейн членом группы "Делегированные сервис-менеджеры"
Используйте мастер "Делегирование управления" в подразделении "Продажи", чтобы предоставить разрешения "Создание, удаление и управление учетными записями пользователей" группе "Делегированные менеджеры по продажам"
Используйте мастер "Делегирование управления" в подразделении "Сервис", чтобы предоставить разрешения "Создание, удаление и управление учетными записями пользователей" группе "Делегированные менеджеры сервисов"

Это позволило бы Бобу и Джейн создавать учетные записи пользователей в соответствующих подразделениях, но не позволяло бы им делать пользователей членами групп. Поместив группы, для которых Бобу и Джейн разрешено управлять членством, в подразделении "Группы, управляемые делегатами", и с помощью мастера делегирования управления для предоставления "Делегированным менеджерам по продажам" и "Делегированным менеджерам по обслуживанию" "Изменить членство Группа "право на" Группы, управляемые делегатами ", и Бобу, и Джейн будет разрешено добавлять пользователей (пользователей, которых они создают, или других пользователей, уже существующих в Каталоге!) в группы внутри и ниже этого подразделения.

Если вы хотите запретить Бобу добавлять пользователей в группу "Техники по обслуживанию" и Джейн в группу "Песчанки по продажам", вы можете создать подчиненные подразделения в подразделении "Группы, управляемые делегатами" и делегировать управление им ("Группы продаж"). OU и OU "Группы обслуживания", например).

Приятно то, что вы можете создать тестовую OU в своем каталоге, создать несколько тестовых учетных записей и групп и поиграть с этой функциональностью, не влияя на остальную часть вашего каталога. Попробуйте и протестируйте свое решение перед тем, как его рассылать пользователям.

uday 09 янв '12 в 21:01 2012-01-09 21:01 · Answer 2 · 2012-01-09 21:01

Предполагая, что вы находитесь в Windows Server 2008, перейдите в ADUC, включите расширенный режим и там вы увидите дерево консоли: под ним есть категория под названием Builtin, а там вы найдете "Операторы учетных записей". Вы должны поставить своих менеджеров. список в другой группе называется. "Операторы учетных записей", которые позволяют им администрировать учетные записи пользователей и групп домена. Надеюсь это поможет.