Active Directory Дайте пользователям определенные разрешения

пожалуйста, проверьте этот связанный случай, в этом случае Robbie_Roberts предоставил две опции, позволяющие пользователям самостоятельно редактировать название должности (Powershell или ECP). Это связано с Exchange RBAC. Я провел тест с ECP, вот команды:

New-ManagementRole -name "Mail Recipients Custom" -Parent "Mail Recipients"
Get-managementRoleEntry "Mail Recipients Custom\*" | where { $_.Name –ne "Set-User"} | Remove-ManagementRoleEntry
Set-ManagementRoleEntry "Mail Recipients Custom\Set-User" -Parameters Identity,Title,Department
Get-managementRoleEntry "Mail Recipients\Get-*" | Add-ManagementRoleEntry -Role "Mail Recipients Custom"
New-ManagementRoleAssignment -name "test" -Role "Mail Recipients Custom" -User a01 -RecipientRelativeWriteScope Self
New-ManagementRoleAssignment -role "View-Only Recipients" –user a01

Затем я получаю доступ к ECP с учетной записью a01 и могу редактировать его собственную работу и отдел, обратите внимание, что он может просматривать информацию других пользователей без редактирования.

Надеюсь, это будет полезно.

У пользователя нет прямого способа сделать это, хотя это возможно с помощью скриптов.

rundll32 dsquery, OpenQueryWindow может это сделать, если разрешено право AD изменять обязательные поля в своей учетной записи AD.

Другие методы, такие как использование сценариев dsmod или powershell, были бы слишком сложными для обычного пользователя, но если вы можете заставить их правильно запускаться для них, это может быть альтернативой.

Вы можете использовать что-то вроде этого: https://gallery.technet.microsoft.com/scriptcenter/GUI-for-AD-User-Attribute-b6ac7251 и адаптироваться к вашим потребностям.

Я также видел это в сочетании с системами продажи билетов как «Порталы самообслуживания».

В зависимости от ваших навыков написания сценариев вы можете разработать простой веб-сайт, запускающий соответствующие сценарии PowerShell.