如果以前有人问过我的道歉, 如果我知道正确的search条件,那么谷歌将更有效。
我想添加一个用户,可以将计算机join域,在用户计算机上安装软件和打印机,甚至可以更改用户密码。
是否有像帮助台这样的angular色可以做到这一点,但可以限制在服务器和networking上的特定文件夹(如工资)?
任何帮助赞赏。 谢谢。
您正在寻找Active Directory(AD)中的控制委派来授予您的“IT助手”访问权限,以在AD中执行有限的pipe理操作。 这个function是非常灵活的,我build议你做一些阅读,并组成一些testing场景来熟悉。 KB932455概述了委派将计算机join域的权利的具体步骤。 不过,你可以委托更多的东西。
对于客户端计算机访问,您可能正在谈论select性地将“本地”“pipe理员”组的成员身份授予“IT助手”。 (必须在本地“pipe理员”组中才能安装软件。)组策略的受限制组function可以执行此操作。 此function允许您将来自域的组“嵌套”到客户端计算机上的本地组。 通过在链接到您的客户端计算机所在的组织单位(OU)的组策略对象(GPO)中部署受限制的组策略对象,可以使域“IT助手”组自动添加到所有“pipe理员”组GPO适用的计算机。
您执行的任何代表团应始终是团体,而不是个人用户。 即使您现在只有一位“IT帮手”用户,也应该使用小组来“certificate您未来的工作”。
这两个function都依赖于您的AD具有合理的devise。 例如,如果你所有的客户端计算机都在一个单一的组织单元中,并且你想限制“IT助手”成为只有一部分客户端计算机的“pipe理员”,那么你将会有更艰难的时间来实现需求。 如果您的客户端计算机是由OU组织的,能够将GPO有select地连接到计算机上更容易。 在OU层次上委派控制也是如此。
您应该阅读ADdevise原则,了解如何使您的AD适合您的委托需求:
我自己的一些障碍: