jay*_*res 4 windows active-directory delegation
我由我工作的 Active Directory (AD) 负责,我试图弄清楚,我怎样才能允许公司的部门经理可以在不需要的情况下从各自部门添加和删除用户他们中的任何人都是域管理员。所以,请问有什么帮助吗?
您正在寻找Active Directory 用户和计算机中的控制委派功能。我不喜欢@Harry Johnston 的回答,因为虽然技术上有效,但您确实应该使用“向导”,这样您就不必考虑访问控制列表 (ACL) 中的特定条目了管理。
假设目录如下所示:
[domain] ad.company.com
|
|-- [OU] Sales
| |
| [user] Bob, Sales Manager
|
|-- [OU] Service
| |
| [user] Jane, Service Manager
|
|-- [OU] Security Groups
| |
| |-- [OU] Groups Managed by Delegates
| | |
| | [group] Sales Gerbils
| | |
| | [group] Service Technicians
| |
| [group] Delegated Sales Managers
| |
| [group] Delegated Service Managers
| |
... ...
假设您希望 Bob 能够创建新的销售用户,而 Jane 能够创建新的服务用户,您将:
这将允许 Bob 和 Jane 在适当的 OU 中创建用户帐户,但不允许他们将用户设为组的成员。通过将允许 Bob 和 Jane 管理其成员资格的组放在“由代表管理的组”OU 下,并使用委派控制向导授予“委派的销售经理”和“委派的服务经理”“修改组”右侧的“由代表管理的组”OU 将允许 Bob 和 Jane 将用户(他们创建的用户或目录中已经存在的其他用户!)添加到此 OU 中和下方的组。
如果您想阻止 Bob 将用户添加到“Service Technicians”组并将 Jane 添加到“Sales Gerbils”组,您可以在“由代表管理的组”OU 下创建子 OU 并在那里委派控制权(“Sales Groups”)例如,OU 和“服务组”OU)。
好处是您可以在您的目录中创建一个测试 OU,创建一些测试帐户和组,并在不影响目录的其余部分的情况下使用此功能。在向用户推出之前,试一试并测试您的解决方案。
| 归档时间: |
|
| 查看次数: |
209 次 |
| 最近记录: |