是否可以授予 AD 用户“写入个人信息”权限,而无需让他们成为域管理员?

是否可以授予 AD 用户“写入个人信息”权限,而无需让他们成为域管理员?

我想允许特定用户更新 AD 中的照片,例如使用将安装在其计算机上的第三方实用程序。要做到这一点,我认为他们必须拥有所有用户的“写入个人信息”权限,才能更新其他用户的照片。

是否可以在不让用户成为域管理员的情况下执行此操作?如果可以,如何操作?

谢谢

答案1

您可以使用控制委派来授予用户他们需要写入的 AD 对象的适当权限。

答案2

是的,有第三方工具可让用户更新其个人信息、照片等,而无需成为域管理员。以下是此类解决方案的一个示例:http://www.adaxes.com/active-directory_self-service.htm

您可以配置自助式 Web UI,并通过为其创建安全角色来指定用户可以在其中查看和编辑的内容。这种方法不需要任何额外的工具,也不需要教用户如何使用。他们只需在浏览器中访问网页并执行您允许的操作即可。

相关内容