Делегирование определенных прав службе поддержки в AD
Контроллер домена - стандарт Windows Server 2008 R2
Мне нужно делегировать только задачу ниже идентификатору службы поддержки для конкретного подразделения, т.е.
1) Создание пользователя
2) и после создания этого пользователя добавьте его только в определенную группу, то есть FT, BD, только локальную группу безопасности домена.
Я не хочу делегировать права инженера службы поддержки, чтобы добавить его в другую группу безопасности, такую как группа администраторов или администраторов домена.
В соответствии с Windows Control Windows, такой опции нет, пожалуйста, помогите мне, как я могу предоставить права с помощью OU Properties> Security Tab
Я бы не стал использовать вкладку безопасности напрямую, вместо этого щелкните правой кнопкой мыши подразделение и используйте мастер делегирования управления. Через него вы можете делегировать право создавать, удалять и управлять учетными записями пользователей или, если вы хотите только дать кому-то возможность создавать учетные записи использования, выбрать создание настраиваемой задачи, а затем только назначить право на создание учетных записей пользователей.
Что касается группы, то вы можете делегировать ей и групповые задачи.
Также у каждой группы есть управляемая вкладка, вы можете сделать свою группу службы поддержки менеджером других ваших групп, используя эту вкладку, чтобы они могли регулировать членство в этой группе (хотя это не очень масштабируемо).
Наконец, есть группа операторов учетных записей, вы можете сделать людей членами этой группы, и они смогут администрировать учетные записи пользователей и групп (не группы администраторов домена), но это даст им права во всем домене, а не в конкретном подразделении.