Я хотел бы добавить возможность делегировать пользователю:
В основном пользователь сможет делать с учетной записью большинство вещей, кроме ее удаления. Я попытался использовать мастер делегирования управления, но общие задачи слишком широки (обычно включая часть удаления), поэтому мне нужно перейти в настраиваемую задачу для делегирования.
Я выбрал следующие варианты:
Но последняя страница разрешений очень широкая, и я бы не хотел давать пользователю слишком много полномочий. Может кто-нибудь поделится, какие варианты необходимы для указанного вопроса? И как дополнение к этому напишите, что означает каждая опция и какую мощность она назначает?
Чтобы делегировать разрешение пользователю домена:
Мне пришлось создать 2 группы, поскольку мастер делегирования не позволял мне указывать, что выбрать для каждого объекта User, когда я выбираю больше, чем объект User. Поэтому я решил создать 2 группы. Один для управления пользователями и один для управления группами.
Сначала потребовались следующие шаги:
Delegate ControlNextNextCreate a custom task to delegate и выберите NextOnly the following objects in the folder и перейдите в конец списка и выберите User objects. Выбор чего-либо, кроме одной записи, не даст вам возможности детального выбора свойств для изменения.Create selected objects in this folder проверил и нажмите NextВыберите:
Это позволяет создавать пользователя и включать / отключать пользователя, но не удалять его. В настоящий момент пользователь не может изменить членство в группе, так как это нужно сделать по-другому.
Вам следует взглянуть на доступные ACE для пользовательских объектов и делегировать то, что вам нужно, за вычетом Delete ACE.
Тем не менее, по-прежнему лучше давать эти типы прав людям, которым вы можете доверять, чтобы они не удаляли ваши объекты. Несомненно, будут несчастные случаи, но, как я упоминал ранее, есть резервные копии и другие способы (предотвращение случайного удаления, корзина AD) для восстановления после них.