Можно предоставить полные права администратора домена, но запретить создание новых учетных записей администратора?
Я хотел бы предоставить полный административный доступ к серверам в домене другому администратору, за одним исключением: администратор не должен создавать новые учетные записи администратора.
Я рассмотрел варианты, доступные через делегирование управления, но не совсем уверен, как сделать то, что мне нужно, поскольку делегирование управления, как представляется, зависит от OU.
1 ответ
Добавьте учетную запись этого пользователя в локальную группу администраторов на серверах. Это можно сделать с помощью параметров групповой политики в связанном с доменом объекте групповой политики.