我需要允许人力资源人员编辑所有 Active Directory 用户的一些属性(电话号码、地址和类似的联系信息),但不授予他们完全的管理权限。他们需要在全部用户帐户,无论他们位于哪个 OU,并且此安全设置也应在创建新用户帐户时自动应用于新用户帐户。
我怎样才能做到这一点?
答案1
您想使用 Active Directory 用户和计算机中的委派权限选项。您可以将委派应用于您想要的任何 OU,包括域根。
这将允许您将您想要的任何属性级别的权限委托给您定义的任何用户/组。
这些权限与其他权限一样适用并且尊重继承。
答案2
在 ADUC 中,控制委派向导将允许您使用自定义委派任务来执行此操作。只需选择您希望他们具有写入权限的字段即可。