如果这个问题之前有人问过,我很抱歉。如果我知道正确的搜索词,那么谷歌会更有效。
我想添加一个可以将计算机加入域的用户,在用户计算机上安装软件和打印机,甚至可以更改用户密码。
是否有类似帮助台角色的东西可以执行此操作,但可以限制其不进入服务器和网络上的特定文件夹(例如工资单)?
任何帮助都值得感激。谢谢。
答案1
您正在寻找控制委托在 Active Directory (AD) 中授予您的“IT 助手”访问权限,以便在 AD 中执行有限的管理操作。此功能非常灵活性,我建议你阅读一些内容并设计一些测试场景以熟悉。委派计算机加入域的权限的具体步骤概述在KB932455。但是,你可以委派更多的事情。
对于客户端计算机访问,您可能正在讨论选择性地将本地“管理员”组的成员身份授予“IT 助手”。(他们必须属于本地“管理员”组才能安装软件。)受限群组组策略的功能可以做到这一点。此功能允许您将域中的组“嵌套”到客户端计算机上的本地组中。通过在链接到客户端计算机所在的组织单位 (OU) 的组策略对象 (GPO) 中部署受限组策略,您可以使域“IT 助手”组自动添加到应用 GPO 的所有计算机上的“管理员”组中。
您执行的任何委派都应始终针对组,而不是针对单个用户。即使您现在只有一个“IT 助手”用户,您也应该使用组来“确保”您的工作。
这两个功能都依赖于您的 AD 具有合理的设计。例如,如果您的所有客户端计算机都在一个组织单位中,并且您想将“IT 助手”限制为仅一部分客户端计算机的“管理员”,那么您将很难满足该要求。如果您的客户端计算机按 OU 组织,那么能够将 GPO 链接到有选择地覆盖计算机会更容易。委派 OU 层次结构的控制权也是如此。
您应该阅读 AD 设计原则,以了解如何使您的 AD 能够很好地满足您的委派需求:
以下是我的一些言论: