Назад | Перейти на главную страницу

Active Directory, контроль для пользователей

Я отвечаю за Active Directory (AD), где я работаю, и я пытаюсь выяснить, как я могу разрешить, чтобы руководители секторов компании могли добавлять и удалять пользователей из своих отделов, без необходимости что любой из них должен быть администратором домена. Итак, пожалуйста, помогите?

Вы ищете Делегирование контроля функциональность в Active Directory - пользователи и компьютеры. Я не предпочитаю ответ @Harry Johnston, потому что, хотя технически он действителен, вам действительно следует использовать «Мастер», чтобы вам не приходилось возиться с конкретными записями в списках управления доступом (ACL), которые вы пытаетесь управлять.

Предположим, что Каталог выглядит следующим образом:

[domain]  ad.company.com
   |
   |-- [OU]  Sales
   |     |
   |   [user]  Bob, Sales Manager
   |
   |-- [OU]  Service
   |     |
   |   [user]  Jane, Service Manager
   |
   |-- [OU]  Security Groups
   |     |
   |     |-- [OU]  Groups Managed by Delegates
   |     |     |
   |     |   [group]  Sales Gerbils
   |     |     |
   |     |   [group]  Service Technicians
   |     | 
   |   [group]  Delegated Sales Managers
   |     |
   |   [group]  Delegated Service Managers
   |     |
  ...   ...

Предполагая, что вы хотите, чтобы Боб мог создавать новых пользователей службы продаж, а Джейн могла создавать новых пользователей службы, вы должны:

  • Сделайте Боба членом группы «Делегированные менеджеры по продажам».
  • Сделайте Джейн членом группы «Менеджеры делегированных услуг»
  • Используйте мастер «Делегирование управления» в подразделении «Продажи», чтобы предоставить разрешения «Создание, удаление и управление учетными записями пользователей» группе «Делегированные менеджеры по продажам».
  • Используйте мастер «Делегирование управления» в подразделении «Служба», чтобы предоставить разрешения «Создание, удаление и управление учетными записями пользователей» группе «Делегированные диспетчеры служб».

Это позволило бы Бобу и Джейн создавать учетные записи пользователей в соответствующих подразделениях, но не позволило бы им сделать пользователей членами групп. Поместив группы, для которых Бобу и Джейн разрешено управлять членством, в OU «Группы, управляемые делегатами» и используя мастер делегирования управления, предоставьте «Делегированным менеджерам по продажам» и «Делегированным менеджерам служб» возможность «Изменить членство в group "прямо в подразделении" Группы, управляемые делегатами ", и Бобу, и Джейн будет разрешено добавлять пользователей (пользователей, которых они создают, или других пользователей, уже существующих в каталоге!) в группы в этом подразделении и ниже.

Если вы хотите запретить Бобу добавлять пользователей в группу «Сервисные специалисты», а Джейн - в группу «Sales Gerbils», вы можете создать подчиненные подразделения в подразделении «Группы, управляемые делегатами» и делегировать им управление («Группы продаж» OU и OU "Service Groups", например).

Приятно то, что вы можете создать тестовое подразделение в своем каталоге, создать несколько тестовых учетных записей и групп и поэкспериментировать с этой функцией, не затрагивая остальную часть вашего каталога. Попробуйте и протестируйте свое решение, прежде чем распространять его среди пользователей.

Предполагая, что вы находитесь в Windows Server 2008, перейдите в ADUC, включите расширенный режим, и там вы увидите дерево консоли: под ним есть категория под названием «Встроенный», а там вы найдете «Операторы учетных записей». Вы должны указать своих менеджеров. список в другой группе называется. «Операторы учетных записей», которые позволяют им управлять учетными записями пользователей и групп домена. Надеюсь это поможет.