Как разрешить неадминам управлять членством в выбранных доменных группах?

12

Я на Windows Server 2012, Active Directory включен и работает. У всего проекта, которым мы управляем, есть две выделенные группы, одна для менеджеров, имеющих доступ ко всем связанным файлам (включая счета, расписания и все, что им нужно для управления проектом), или, по крайней мере, я думаю, это может быть куча анимированных GIF-файлов для всех, кого я знаю) и один для людей, которые на самом деле работают над проектом с доступом только к файлам самого проекта.

Мне нужно позволить некоторым менеджерам проектов контролировать членство в группах, которые разрешают доступ к файлам для своих проектов. Они не должны иметь возможности редактировать любые другие аспекты группы. И в идеале он должен использовать какой-то графический интерфейс, потому что это будет достаточно сложно объяснить таким образом, но в худшем случае я могу написать сценарий.

Я добавил управляющую группу на вкладку «Управляемый» управляемой группы с включенным «Менеджер может обновить список участников», и это выглядело достаточно просто. Но..

  1. Должен ли я позволить управляющей группе увидеть весь список пользователей? Если так, то как?
  2. Как и где члены управляющей группы должны войти в систему, чтобы изменить членство в группе?
active-directory  group-policy  windows-server-2012-r2  groups 
бард
источник

Ответы:

21

Вы можете указать атрибут managedBy и установить флажок «Диспетчер может обновить список участников». (Это дает разрешение на запись для атрибута Member.)

Лица, которым необходимо отредактировать группу, могут сделать это с помощью виджета DSQuery, для которого вы можете создать следующий ярлык:

rundll32 dsquery,OpenQueryWindow

Они могут искать группу как в AD Users and Computers, затем редактировать свойства и добавлять участников.

Может быть возможно сделать это с Outlook (если в группе включена поддержка почты), но это может быть более хрупким, если у вас есть среда с несколькими доменами.

Управляется

введите описание изображения здесь

Грег Аскью
источник
1
Спасибо, это работает отлично, и это должно быть достаточно легко объяснить людям, ответственным за каждую группу. (Это не будет, но парень все еще может надеяться)
Бард
2
Вы также можете просто ввести точное имя (имена) группы (ей), выполнить поиск, а затем перейти File>Save Searchи отправить им файл .qds для размещения на рабочем столе.
Fütemire
3

В Windows 10 (как я полагаю, также и в Windows 8) вы можете открыть проводник, выбрать «Сеть» на левой навигационной панели, выбрать вкладку «Сеть», которая отображается на ленте в верхней части окна, а затем выбрать «Активный поиск». Опция каталога. После этого пользователь должен иметь возможность искать группу AD, для которой у него есть разрешения на обновление и добавление / удаление участников.

Джош Каммеруд
источник
Это работает и в Windows 7.
Тридус
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.