Мы очень маленькая компания, и в течение некоторого времени я был единственным парнем, управляющим нашим доменом / Active Directory. Я НЕ системный администратор, я разработчик программного обеспечения, но я сделал для них все, что мог.
Сейчас мы находимся в том месте, где у нас есть младший ИТ-специалист, и я хотел бы передать ему некоторые задачи Active Directory, но не хочу, чтобы у него были разрешения «Бог». Он не должен имеют разрешения на создание / удаление / редактирование учетных записей уровня DOMAIN ADMIN, но я бы хотел, чтобы он мог создавать / удалять / редактировать учетные записи уровня DOMAIN USER.
Это выполнимо?
Пожалуйста, дайте мне знать, если я могу помочь прояснить вопрос.
Сначала создайте группу безопасности под названием «Создатели учетных записей» или что-то в этом роде.
В консоли ADUC щелкните правой кнопкой мыши подразделение, в котором вы хотите, чтобы пользователь мог создавать учетные записи. Щелкните Делегировать разрешения. Существует заранее определенная роль для создания / удаления учетных записей. Выберите его и делегируйте его группе, которую вы только что создали. Затем добавьте к нему любых пользователей.