我们是一家非常小的公司,一段时间以来,我一直是唯一管理我们域/Active Directory 的人。我不是系统管理员,我是软件开发人员,但我已经尽我所能为他们服务了。
现在,我们有一个初级 IT 助理,我想将一些 Active Directory 任务移交给他,但不希望他拥有“上帝”权限。他不应该有权创建/删除/编辑域管理员级别的帐户,但我希望他能够创建/删除/编辑域用户级别的帐户。
这可行吗?
如果我能帮助您更清楚地解答这个问题,请告诉我。
答案1
首先,创建一个名为“帐户创建者”或类似的安全组。
在 ADUC 控制台中,右键单击您希望用户能够在其中创建帐户的 OU。单击委派权限。有一个用于创建/删除帐户的预定义角色。选择它并选择将其委派给您刚刚创建的组。然后,将您想要的任何用户添加到其中。