Моя ИТ-среда растет, и я хочу делегировать управление администратором домена конкретным подразделениям. Таким образом, на каждом сайте администратор в этом месте может вносить изменения только в свое подразделение для конкретного сайта.
В моей нынешней среде моя AD все еще находится в 2003 году.
Как я могу это настроить? Возможно ли это в 2003 году нашей эры?
Да, это возможно в W2K3.
Создайте группу безопасности для каждой группы административных пользователей.
Добавьте соответствующих пользователей в каждую группу.
В ADUC щелкните правой кнопкой мыши соответствующее подразделение и выберите «Делегировать управление» из контекстного меню.
Добавьте соответствующую группу для управления этим подразделением и его объектами.
Выберите вариант делегирования общей задачи или создания настраиваемой задачи.
Выберите задачи, которые вы хотите, чтобы эта группа могла выполнять в этом подразделении.
Да, это возможно в Active Directory, и вы можете удовлетворить эту потребность, используя возможность делегирования администрирования, чтобы легко делегировать определенные задачи на основе принципа наименьшего доступа для делегатов.
Например, вы можете делегировать такие задачи, как возможность создавать учетные записи пользователей, удалять учетные записи пользователей, сбрасывать пароли учетных записей пользователей, разблокировать учетные записи пользователей и т. Д.
Есть два способа делегировать эти задачи. Вы можете либо использовать мастер делегирования для делегирования задач, либо, если вы опытный пользователь, вы можете напрямую предоставить минимальный набор разрешений, необходимых для делегирования задач, которые вы хотите делегировать.
Для каждого из вышеперечисленных вам нужно будет запустить ADUC, перейти к интересующим вас подразделениям, а затем либо использовать мастер делегирования (доступный через щелчок правой кнопкой мыши), либо использовать редактор ACL, доступ к которому можно получить из вкладки безопасности, к которому, в свою очередь, можно получить доступ, щелкнув объект правой кнопкой мыши и выбрав «Свойства». (Обратите внимание, что для просмотра вкладки «Безопасность» в ADUC должны быть включены дополнительные функции.)
Если это поможет, можно найти список 20 наиболее часто делегируемых задач в Active Directory и список разрешений, необходимых для делегирования этих задач. Вот.