我想授予一个用户一组有限的管理权限。
必须允许原告:
- 创建用户
- 创建文件夹
- 共享文件夹
- 能够恢复
我不希望此帐户具有以下功能:
- 删除用户,
- 删除现有文件/文件夹
- 修改现有文件/文件夹
如果我将用户添加到域管理员组,这会赋予他们比他们需要的更多的权限。
答案1
这称为“管理委派”。如果您希望该用户对 Active Directory OU 进行有限的控制,只需右键单击该特定 OU/林并选择“委派控制”
然后,此安全向导将询问用户名,然后询问您想要委派哪些控制。如果您要拆分创建和删除控制,则可能需要创建自定义控制。在自定义控制中,选择您希望用户有权访问的活动目录对象类型,然后选择是否希望他们拥有添加/删除控制。
答案2
是的,可以使用 Active Directory 中的细粒度权限来实现这一点。但是,这样做并不常见,这是有原因的。
如果你授予某人管理用户帐户和备份的权限,这意味着一定程度的信任。如果你只给他们一半的权限,这就像是说“我不相信你能做好这项工作,但我还是让你做。”
另一种方法是,您可以委派单个组织单位的管理。这样,潜在的损失仍然有限,但现在您有机会评估此人的管理能力。有关更多信息,请尝试在 Google 上搜索“Active Directory 委派控制组织单位“。
如果您确实决心授予用户创建其他用户帐户但不能删除它们的权限,那么您需要手动编辑组织单位的 ACL 并授予该用户“创建用户对象”权限。