Я использую Server 2008 R2 в доменной среде Active Directory.
Я создал группу в Active Directory и делегировал полномочия управления этой группе пользователю.
Я хочу, чтобы этот пользователь мог добавлять и удалять учетные записи из этой группы по мере необходимости, чтобы они могли осуществлять определенное измерение контроля, не давая им других полномочий.
Когда пользователь пытается получить доступ к консоли Active Directory Users & Computers, он запрашивает у него учетные данные администратора. Они используют удаленный рабочий стол для доступа к серверу, потому что у них нет Windows 7, а правила брандмауэра не позволяют использовать Remote Management Kit.
Я не хочу предоставлять им какие-либо права администратора, кроме минимального, необходимого для добавления / удаления пользователей из этой группы.
В этой изолированной среде есть два сервера, которые «общаются» друг с другом, контроллер домена и рядовой сервер, оба доступны только через RDP.
Какие-либо предложения?
Спасибо за приведенные выше предложения, вот как я решил проблему.
Чтобы даже открыть консоль MMC «Пользователи и компьютеры Active Directory» в Windows Server 2008 R2, пользователь должен как минимум быть частью группы разрешений «операторов учетных записей».
Итак, я поместил пользователя в группу и поместил эту группу в группу операторов учетной записи. Это позволило ему открыть консоль.
Чтобы ограничить его возможность манипулировать только одной группой, которая мне нужна, я вошел и специально добавил разрешение «Запретить чтение» для всех других подразделений в домене в группу, в которой находится пользователь. Поэтому, когда пользователь открывает консоль ADU & C , единственное, что он видит, - это одно подразделение и одна группа, над которыми он фактически контролирует руководство.
Не совсем изящное решение, но оно сработало.
В комментариях к этот вопросВы пробовали, возможно, добавить пользователя в группу «Опытные пользователи»?
Кроме того, что произойдет, если они просто скажут «Нет» в командной строке UAC? Я ожидал, что MMC все еще открывается правильно; это не так? Если он все еще открывается, вы можете использовать TweakUAC чтобы отключить подсказку.
Я предполагаю, что запуск ADUC запускает встроенное правило автоматического повышения привилегий либо из этой оснастки, либо из mmc.exe в целом. Если ни одно из приведенных выше предложений не работает, я бы попробовал различные варианты запуска инструмента: запуск файла .msc оснастки напрямую, копирование куда-нибудь .msc, а затем его запуск и т. Д.
Добавьте пользователя в поле Разрешить локальный вход в политике контроллера домена по умолчанию.
Управление групповой политикой -> Политика контроллера домена по умолчанию
Изменить конфигурацию компьютера / Политики / Параметры Windows / Параметры безопасности / Локальные политики / Назначение прав пользователя / Разрешить локальный вход
После выполнения gpupdate в командной строке войдите в DC с этой учетной записью и предоставьте учетные данные пользователя. Теперь ваше требование будет выполнено.
Вы можете добавить свойство managedby в группу безопасности, учетную запись пользователя, которая имеет разрешения на добавление / удаление пользователей из этой определенной группы.