На функциональном уровне домена и леса Windows 2008r2 я пытаюсь делегировать администрирование учетных записей пользователей и «сброс / принудительное изменение пароля» определенной группе пользователей в моем активном каталоге, НО Я не хочу давать им разрешение на удаление учетных записей пользователей. Есть ли способ выполнить эту задачу?
Обратите внимание: я пробовал много способов ... Использовал мастер управления делегированием, выбирая общие задачи делегата «создание, изменение, удаление учетных записей пользователей», а затем отказал в разрешениях «удалить» и «удалить поддерево»; создание настраиваемой задачи, позволяющей создавать только объекты учетных записей пользователей ... Но ни один из подходов не сработал. (Я получаю созданную учетную запись, но сообщения об ошибках, в которых указано, что у меня недостаточно прав для создания учетной записи, поэтому она будет создана, а затем отключена ...)
Любые идеи?
Я мог бы сказать, что нашел ответ в этот другой вопрос о сбое сервера. Приносим извинения за неудобства и благодарим за помощь.
Вам необходимо создать группу безопасности для этого разрешения, а затем выбрать подразделение, управление которым вы хотите передать.
Оттуда:
Выберите группу безопасности и нажмите «Далее».
Выбрать Create a custom task to delegate, затем нажмите "Далее"
Выберите следующие разрешения:
Create User Objects
Read All Properties
Write userPassword
Это должно дать вашим пользователям достаточные права для создания учетных записей, чтения их информации и установки паролей.
Если вы хотите разрешить этим пользователям устанавливать какие-либо дополнительные поля, просто выберите Allow в разрешении на запись для этого поля.