Доброго времени суток, уважаемые форумчане!
Появилась необходимость делегировать часть административных полномочий «младшему» администратору в нашей компании для того, чтобы он мог в определённом контейнере (OU) Active Directory самостоятельно:
создавать новых пользователей, их
редактировать,
блокировать,
разблокировать,
сбрасывать пароли. Но при этом ему
запрещено УДАЛЯТЬ учётные записи.
1. За основу взял вот эту статью:
http://winitpro.ru/index.php/2018/12/29/active-directory-delegirovanie-admin-prav/2. Создал НОВУЮ группу безопасности
«Delegate_priv_AD» и поместил в неё пока только одну учётную запись «младшего» администратора, которому и планирую делегировать часть полномочий.
3. Правой кнопкой мыши щёлкнул на нужном контейнере
«Office_users» -
«Делегирование управления» -
добавил сюда группу «Delegate_priv_AD» -
«Создать особую задачу для делегирования» -
«Только следующим объектам в этой папке» -
«User объектов» -
«Создать в этой папке выбранные объекты»…
А дальше у меня просто не хватает знаний - какие галочки нужно отметить, чтобы делегировать часть админских прав группе «Delegate_priv_AD», чтобы она смогла: создавать новых пользователей, их редактировать, блокировать, разблокировать, сбрасывать пароли, но при этом ей запрещено УДАЛЯТЬ учётные записи.
Прошу Вас помочь разобраться в решении этой задачи!