Я пытаюсь предоставить панели задач нескольким администраторам, чтобы они могли выполнять несколько задач, делегированных им на уровне подразделения. Я столкнулся со следующей проблемой;
Допустим, я делегировал доступ администратору в OU X, и это возможность изменять группы, такие как группа выборки X1, он должен иметь возможность добавлять любых пользователей из OU X в группу X1.
Проблема здесь в том, что во время тестирования я обнаружил, что администратор может сделать это, но также может добавить пользователя Y1 из OU Y (которому у него нет делегированных разрешений) в группу X1. Что мне не хватает? как запретить администратору добавлять пользователей из OU в группы, к которым у него есть доступ для изменения?
Пожалуйста, спросите меня, требуются ли дополнительные подробности / разъяснения.
Вы действительно не можете этого сделать. Если вы дадите пользователю возможность добавлять пользователей в группу, он сможет добавить любого пользователя, которого его учетная запись может читать. Поскольку вам необходимо коренным образом изменить расположение разрешений AD, чтобы ограничить учетные записи ограниченных пользователей от чтения основных атрибутов других пользователей, обычно это неподдерживаемая конфигурация, которая нарушит множество вещей, которые вы не хотели нарушать.
Короче говоря, не существует реальной функциональности, позволяющей сказать «вы можете добавить [пользователя] в эту группу, пока [пользователь] существует в этом единственном подразделении» без существенного изменения схемы разрешений AD по умолчанию.