Active-Directory

在 Active Directory 中授予權限以添加使用者/修改/更改密碼/將它們添加到組但不刪除它們

  • October 14, 2016

我想將委託使用者功能添加到:

  • 將新使用者添加到容器
  • 更改密碼
  • 修改組成員
  • 修改使用者屬性(例如電子郵件/姓名等)
  • 在 OU 之間移動使用者

基本上,除了刪除它之外,使用者還可以使用帳戶做大部分事情。我嘗試使用委派控制嚮導,但常見任務太寬(通常包括刪除部分),所以我需要進入自定義任務來委派。

這是我選擇的選項:

  • 只有文件夾中的以下對象(使用者對象)

但是最後一個權限頁面非常寬,我不想給使用者太多權力。誰能分享特定問題需要哪些選項?作為本文的延伸,每個選項的含義和分配的權力是什麼?

將域使用者的權限委派給:

  • 將新使用者添加到容器
  • 更改密碼
  • 修改組成員
  • 修改使用者屬性(例如電子郵件/姓名等)
  • 在 OU 之間移動使用者

我必須創建 2 個組,因為當我選擇比使用者對象更多時,委派嚮導不允許我指定在每個使用者對像上選擇什麼。所以我決定創建2個組。一種用於使用者管理,一種用於組管理。

第一個需要這個步驟:

  • 右鍵點擊容器並選擇Delegate Control

  • 當委派嚮導打開時,點擊Next

  • 在另一個頁面上選擇您要授予權限的組,然後按Next

  • 在下一頁Create a custom task to delegate並選擇Next

  • 選擇Only the following objects in the folder並轉到列表底部並選擇User objects。選擇多於一個條目的任何內容都不會給您細化選擇要更改的屬性的可能性。

  • 確保已Create selected objects in this folder檢查並按Next

  • 選擇:

    • 閱讀所有屬性
    • 寫入所有屬性
    • 讀寫一般資訊
    • 讀取和寫入登錄資訊
    • 讀寫電話和郵件選項
    • 讀取和寫入網路資訊
    • 讀寫終端伺服器許可證伺服器
    • 讀寫遠端訪問資訊
    • 更改密碼
    • 重設密碼

這允許創建使用者並啟用/禁用使用者但不能刪除它。此時使用者無法更改組成員身份,因為這必須以不同的方式完成。

引用自:https://serverfault.com/questions/336723