我负责我工作的地方的 Active Directory (AD),并且我试图弄清楚,如何允许公司的部门经理在各自的部门中添加和删除用户,而无需他们中的任何人是域管理员。所以,请帮忙?
答案1
您正在寻找控制委托Active Directory 用户和计算机中的功能。我不喜欢 @Harry Johnston 的答案,因为尽管从技术上讲有效,但您确实应该使用“向导”,这样您就不必在您尝试管理的访问控制列表 (ACL) 中的特定条目上浪费时间。
假设目录如下所示:
[domain] ad.company.com
|
|-- [OU] Sales
| |
| [user] Bob, Sales Manager
|
|-- [OU] Service
| |
| [user] Jane, Service Manager
|
|-- [OU] Security Groups
| |
| |-- [OU] Groups Managed by Delegates
| | |
| | [group] Sales Gerbils
| | |
| | [group] Service Technicians
| |
| [group] Delegated Sales Managers
| |
| [group] Delegated Service Managers
| |
... ...
假设您希望 Bob 能够创建新的销售用户,而 Jane 能够创建新的服务用户,您可以:
- 让 Bob 成为“委派销售经理”组的成员
- 让 Jane 成为“委派服务经理”组的成员
- 使用“销售”OU 中的“控制委派”向导向“委派销售经理”组授予“创建、删除和管理用户帐户”权限
- 使用“服务”OU 上的“控制委派”向导向“委派服务管理员”组授予“创建、删除和管理用户帐户”权限
这将允许 Bob 和 Jane 在相应的 OU 中创建用户帐户,但不允许他们将用户设为组的成员。通过将允许 Bob 和 Jane 管理其成员资格的组置于“由代表管理的组”OU 下,并使用控制委派向导授予“委派销售经理”和“委派服务经理”在“由代表管理的组”OU 上的“修改组成员资格”权限,Bob 和 Jane 都将被允许将用户(他们创建的用户或目录中已存在的其他用户!)添加到此 OU 中及以下的组中。
如果您想阻止 Bob 将用户添加到“服务技术人员”组,以及将 Jane 添加到“销售沙鼠”组,您可以在“由代表管理的组”OU 下创建子 OU,并在那里委派控制权(例如,“销售组”OU 和“服务组”OU)。
好消息是,您可以在目录中创建一个测试 OU,创建一些测试帐户和组,并试用此功能,而不会影响目录的其余部分。在向用户推出解决方案之前,请先尝试一下并测试一下。
答案2
假设您使用的是 Windows Server 2008,请转到 ADUC,启用高级模式,然后您将看到一个控制台树:在其下有一个名为 Builtin 的类别,在那里您将找到“帐户操作员”。您必须将您的管理员列表放在另一个名为“帐户操作员”的组中,该组允许他们管理域用户和组帐户。希望这对您有所帮助。