我使用的是 Windows Server 2012,Active Directory 已打开并正常运行。我们管理的所有项目都有 2 个专门的组,一个是经理组,可以访问所有相关文件(包括发票、时间表以及管理项目所需的任何内容,或者至少我猜,据我所知,可能是一堆动画 gif),另一个是实际从事项目工作的人员组,只能访问项目本身的文件。
我需要让一些项目经理控制允许文件访问其项目的组的成员资格。他们不应该能够编辑组的任何其他方面。理想情况下,它应该使用某种 GUI,因为用这种方式解释起来会很难,但在最坏的情况下,我可以编写一个脚本。
我将管理组添加到受管理组的“管理者”选项卡,并启用“管理员可以更新成员列表”,这看起来很容易。但是……
- 我是否应该让管理组查看整个用户列表?如果是,该怎么做?
- 管理群组成员应如何以及在何处登录来编辑群组成员资格?
答案1
您可以指定 managedBy 属性,并选中“经理可以更新成员列表”复选框。(这将授予 Member 属性的写入权限。)
需要编辑群组的人员可能能够使用 DSQuery 小部件来执行此操作,您可以为其创建以下快捷方式:
rundll32 dsquery,OpenQueryWindow
他们可以像 AD 用户和计算机一样搜索组,然后编辑属性并添加成员。
可能可以使用 Outlook 来执行此操作(如果该组已启用邮件),但如果您有多域环境,这可能会更加脆弱。
答案2
在 Windows 10 中(我相信 Windows 8 也是如此),您可以打开文件资源管理器,从左侧导航窗格中选择“网络”,选择窗口顶部功能区中出现的“网络”选项卡,然后选择“搜索 Active Directory”选项。然后,用户应该能够搜索其有权更新和添加/删除成员的 AD 组。