28 марта 2024, 18:14

Цитата дня:

UNIX не предназначен для ограждения своих пользователей от глупостей, поскольку это оградило бы их и от умных вещей. Дуг Гвин


Делегирование административных полномочий в Active Directory

Автор STALKER_SLX, 11 ноября 2019, 22:33

« предыдущая тема - следующая тема »

0 Пользователей и 1 Гость просматривают эту тему.

Вниз

STALKER_SLX

Доброго времени суток, уважаемые форумчане!
Появилась необходимость делегировать часть административных полномочий «младшему» администратору в нашей компании для того, чтобы он мог в определённом контейнере (OU) Active Directory самостоятельно: создавать новых пользователей, их редактировать, блокировать, разблокировать, сбрасывать пароли. Но при этом ему запрещено УДАЛЯТЬ учётные записи.

1. За основу взял вот эту статью:
http://winitpro.ru/index.php/2018/12/29/active-directory-delegirovanie-admin-prav/
2. Создал НОВУЮ группу безопасности «Delegate_priv_AD» и поместил в неё пока только одну учётную запись «младшего» администратора, которому и планирую делегировать часть полномочий.
3. Правой кнопкой мыши щёлкнул на нужном контейнере «Office_users» - «Делегирование управления» - добавил сюда группу «Delegate_priv_AD» - «Создать особую задачу для делегирования» - «Только следующим объектам в этой папке» - «User объектов» - «Создать в этой папке выбранные объекты»

А дальше у меня просто не хватает знаний - какие галочки нужно отметить, чтобы делегировать часть админских прав группе «Delegate_priv_AD», чтобы она смогла: создавать новых пользователей, их редактировать, блокировать, разблокировать, сбрасывать пароли, но при этом ей запрещено УДАЛЯТЬ учётные записи.

Прошу Вас помочь разобраться в решении этой задачи!

Уваров А.С.

А дальше смотрите что вам нужно. Можно смело давать практически все на чтение, нужные опции на запись, забрав только удаление. Можно попробовать сначала дать все и только явно забрать удаление.

Вверх