Приношу свои извинения, если об этом спрашивали раньше. Если бы я знал правильные условия поиска, Google был бы более эффективным.
Я хотел бы добавить пользователя, который может присоединять компьютеры к домену, устанавливать программное обеспечение и принтеры на пользовательских компьютерах, возможно, даже изменять пароли пользователей.
Есть ли что-то вроде роли службы поддержки, которая может это делать, но может быть ограничена отсутствием доступа к серверам и конкретным папкам в сети (например, Расчет заработной платы)?
Любая помощь приветствуется. Спасибо.
Вы ищете Делегирование контроля в Active Directory (AD), чтобы предоставить вашему «ИТ-помощнику» доступ для выполнения ограниченных административных операций в AD. Эта функциональность очень гибкий, и я бы порекомендовал вам немного почитать и составить несколько тестовых сценариев, чтобы ознакомиться с ним. Конкретные шаги для делегирования прав на присоединение компьютеров к домену описаны в KB932455. Тем не менее, вы можете делегировать намного больше.
Что касается доступа к клиентскому компьютеру, вы, вероятно, говорите о выборочном предоставлении членства в локальной группе «Администраторы» вашему «ИТ-помощнику». (Необходимо, чтобы они входили в локальную группу «Администраторы», чтобы иметь возможность устанавливать программное обеспечение.) Ограниченные группы Функциональность групповой политики может это сделать. Эта функция позволяет вам «вкладывать» группу из вашего домена в локальную группу на клиентских компьютерах. Развернув политику групп с ограниченным доступом в объекте групповой политики (GPO), связанном с организационной единицей (OU), в которой расположены ваши клиентские компьютеры, вы можете вызвать автоматическое добавление группы «ИТ-помощники» домена в группы «Администраторы» на всех компьютеры, к которым применяется GPO.
Любое делегирование, которое вы выполняете, всегда должно быть группам, а не отдельным пользователям. Даже если у вас есть только один пользователь «IT Helper» прямо сейчас, вы должны использовать группы для «будущего» вашей работы.
Обе эти функции полагаются на разумный дизайн вашего AD. Если, например, все ваши клиентские компьютеры находятся в одной организационной единице, и вы хотите, чтобы «ИТ-помощники» были «администраторами» только подмножества клиентских компьютеров, вам будет труднее выполнить это требование. ЕСЛИ ваши клиентские компьютеры организованы по организационным единицам, проще связать объекты групповой политики, которые выборочно покрывают компьютеры. То же самое верно и для делегирования управления иерархиями подразделений.
Вам следует ознакомиться с принципами проектирования AD, чтобы узнать, как заставить AD работать в соответствии с потребностями делегирования:
Кое-что из моего собственного вздора: