Назад | Перейти на главную страницу

Управление Active Directory с низкими правами пользователя

Наша проблема:

Клиент, обычный пользователь, должен иметь возможность сбрасывать сразу несколько паролей. Около 30 за раз. Для этого потребуется Powershell или что-то в этом роде, но для AD и Powershell нужно быть администратором домена.

Моим решением было бы создать службу, работающую на сервере AD и принимающую соединения от программы. Затем служба внесет изменения в AD.

Пока все хорошо, я просто хотел бы услышать некоторые другие мысли по этой проблеме. Потому что я не могу быть единственным с этим

Почему бы не использовать делегирование?

Объедините пользователей в OU, создайте группу, которая сможет управлять ими (или нет, на ваш выбор). После этого щелкните подразделение правой кнопкой мыши и выберите «Делегировать управление».

После этого следуйте указаниям мастера, чтобы разрешить определенной группе / пользователям вносить изменения в объекты (или подмножество объектов) в OU.

Когда ваше делегирование настроено, вы можете сбросить все пароли через Powershell. Если вы хотите сделать это легко, рекомендую использовать Quest-командлеты.

 get-QADUser -SearchRoot 'company.com/SpecialUsersOU' | set-QADUser -userPassword "MyCompanyIsAwesomeAndThisIsAHardPassword!" -whatIf