Назад | Перейти на главную страницу

Как разрешить неадминистраторам управлять членством в выбранных группах домена?

Я на Windows Server 2012, Active Directory включен и работает. У всего проекта, которым мы управляем, есть 2 выделенные группы, одна для менеджеров с доступом ко всем связанным файлам (включая счета-фактуры, расписания и все, что им нужно для управления проектом, или, по крайней мере, я думаю, это может быть куча анимированных гифок для всех меня. знаю) и один для людей, которые действительно работают над проектом с доступом только к файлам самого проекта.

Мне нужно позволить некоторым менеджерам проектов контролировать членство в группах, которые разрешают доступ к файлам в их проектах. Они не должны иметь возможность редактировать какие-либо другие аспекты группы. И в идеале он должен использовать какой-то графический интерфейс, потому что будет достаточно сложно объяснить это таким образом, но в худшем случае я могу написать сценарий.

Я добавил управляющую группу на вкладку «Управляется» управляемой группы, включив «Менеджер может обновлять список членства», и это выглядело достаточно просто. Но..

  1. Должен ли я позволить управляющей группе видеть весь список пользователей? Если да, то как?
  2. Как и где члены управляющей группы должны войти в систему, чтобы изменить членство в группе?

Вы можете указать атрибут managedBy и установить флажок «Менеджер может обновлять список участников». (Это дает разрешение на запись для атрибута Member.)

Лица, которым необходимо отредактировать группу, могут сделать это с помощью виджета DSQuery, для которого вы можете создать следующий ярлык:

rundll32 dsquery,OpenQueryWindow

Они могут искать группу, как с пользователями и компьютерами AD, затем редактировать свойства и добавлять участников.

Это можно сделать с помощью Outlook (если группа поддерживает почту), но это может быть более уязвимым, если у вас есть среда с несколькими доменами.

В Windows 10 (а также, как мне кажется, в Windows 8) вы можете открыть проводник, выбрать «Сеть» на левой панели навигации, выбрать вкладку «Сеть», которая отображается на ленте в верхней части окна, затем выбрать «Активный поиск». Каталог вариант. После этого пользователь должен иметь возможность искать группу AD, у которой есть разрешения на обновление и добавление / удаление участников.