У меня есть учетная запись, и я не хочу давать ей права администратора, только для создания подразделений, пользователей и групп. Проблема в том, что Оператор учетных записей не может создать OU, как мне добавить группу для этой цели? Или я могу изменить разрешения группы Операторов учетных записей?
Домен сделан с Windows Server 2003.
На самом деле это можно сделать двумя способами.
Как указано выше, войдите в консоль «Active Directory - пользователи и компьютеры», создайте подразделение прямо под своим доменом, которое охватывает весь ваш домен, а затем используйте мастер делегирования управления, чтобы предоставить разрешения пользователям или группам по мере необходимости. Этот инструмент можно найти, щелкнув правой кнопкой мыши нужное подразделение. По организационным причинам, как правило, лучше всего создать группу и вложить в нее всех пользователей, которым необходимо управлять OU и группами. Это означает, что вы можете быстро добавлять и удалять пользователей с этими разрешениями, не внося дополнительных изменений в базовый дистрибутив.
Перейдите в меню «Просмотр» в Active Directory - пользователи и компьютеры и включите параметр «Расширенные функции». Затем вы можете щелкнуть правой кнопкой мыши подразделение базового домена или дополнительное подразделение, которое вы создаете, как я предлагал выше, и перейти в свойства. Благодаря расширенному представлению для каждого подразделения теперь будет собственная вкладка безопасности. Оттуда вы можете перейти к каждой группе безопасности и детально изменить разрешения для этих подразделений на основе групп или пользователей. Если вы перейдете в расширенное представление безопасности, вы можете разбить каждое разрешение на каждый компонент и изменять их так конкретно или открыто, как вам нужно.
Вы всегда должны пытаться делегировать задачи в Active Directory на основе минимальных прав.
Для задач, которые вы хотите делегировать, вам нужно только предоставить разрешения Create Child - User Objects, Create Child - Group Objects и Create-Child Organizational Unit.
Для этого вам лучше всего создать OU непосредственно под объектом вашего домена, создать группу, которой следует делегировать доступ, а затем предоставить три вышеуказанных разрешения для OU, используя шаги, описанные выше Laranostz.
После того, как вы делегировали эти задачи, вы также должны убедиться, что вы подтвердили свои полномочия. Для получения дополнительной информации о том, как проверить делегирование - http://www.activedirsec.com/how_to_verify_delegations.html
Также существует инструмент, который может помочь в проверке делегирования, под названием «Золотой палец для AD». Он был разработан бывшим Эксперт по безопасности Microsoft и я считаю, что он также одобрен Microsoft.
Отказ от ответственности: я не связан с продавцом вышеупомянутого инструмента. Я использовал этот инструмент и высоко о нем думаю, поэтому упоминаю его, потому что это важно для проверки делегаций.
Взгляните на функцию делегирования Active Directory. Я бы создал подразделение в вашем домене, а затем делегировал бы его на уровне этого подразделения, а не на уровне домена. Это заблокирует вашего пользователя для создания подразделений только в этом подразделении. Я считаю, что вам придется перейти к части расширенных разрешений мастера делегирования.