我负责Active Directory(AD)的工作,我试图弄清楚,公司的部门经理如何允许,可以在各自的部门添加和删除用户,而不需要他们中的任何人都是域pipe理员。 那么,请帮忙吗?
您正在寻找Active Directory用户和计算机中的控制委派function。 我不喜欢@哈里Johnston的答案,因为虽然技术上有效,你真的应该使用“向导”,所以你不必在你试图访问控制列表(ACL)中的特定条目pipe理。
假设一个目录如下所示:
[domain] ad.company.com | |-- [OU] Sales | | | [user] Bob, Sales Manager | |-- [OU] Service | | | [user] Jane, Service Manager | |-- [OU] Security Groups | | | |-- [OU] Groups Managed by Delegates | | | | | [group] Sales Gerbils | | | | | [group] Service Technicians | | | [group] Delegated Sales Managers | | | [group] Delegated Service Managers | | ... ... 假设您希望Bob能够创build新的销售用户,并且Jane能够创build新的服务用户,您可以:
这将允许Bob和Jane在相应的OU中创build用户帐户,但是不允许他们使用户成为组的成员。 通过把允许Bob和Janepipe理成员的团体在“由代表pipe理的团队”OU下,并使用控制权委派向导授予“委托销售经理”和“委派的服务经理”“修改成员组“的权限,则Bob和Jane将被允许将用户(他们创build的用户或目录中已存在的其他用户)添加到此OU中和之下的组中。
如果您想阻止Bob将用户添加到“Service Technicians”组,并将Jane添加到“Sales Gerbils”组,则可以在“Delegated Managed by Delegates”OU下创build子OU,并在其中委派控制(“Sales Groups” OU和“服务组”OU)。
好的是,您可以在您的目录中创build一个testingOU,创build一些testing帐户和组,并在不影响其他目录的情况下使用此function。 试试看,然后在推出给用户之前testing一下你的解决scheme。
假设你在Windows Server 2008中,转到ADUC,启用高级模式,在那里你会看到一个控制台树:在那里有一个名为Builtin的类,在那里你会发现“帐户操作员”你必须把你的经理在另一个组中列出名为。 “帐户操作员”,允许他们pipe理域用户和组帐户。 希望这可以帮助。