Мне нужно разрешить сотрудникам отдела кадров редактировать некоторые атрибуты для всех пользователей Active Directory (номера телефонов, адреса и аналогичную контактную информацию), не давая им полных административных прав. Им потребуется право редактировать эти атрибуты на все учетные записи пользователей, независимо от того, в каком подразделении они находятся, и этот параметр безопасности также должен автоматически применяться к новым учетным записям пользователей при их создании.
Как я могу этого добиться?
Вы хотите использовать параметр «Делегировать разрешения» в Active Directory - пользователи и компьютеры. Вы можете применить делегирование к любому желаемому OU, включая корень домена.
Это позволит вам делегировать любые разрешения на уровне атрибутов любым пользователям / группам, которые вы определяете.
Эти разрешения применяются, как и любые другие, и уважают наследование.
В ADUC мастер делегирования управления позволит вам сделать это, используя настраиваемую задачу для делегирования. Выберите только те поля, к которым у них должен быть доступ на запись.