您正在寻找Active Directory用户和计算机中的
Delegation of Control功能.我不喜欢@Harry Johnston的答案,因为虽然技术上有效,但你真的应该使用“向导”,这样你就不必捣乱你试图访问控制列表(ACL)中的特定条目了.管理.
假设目录看起来如下:
[domain] ad.company.com | |-- [OU] Sales | | | [user] Bob,Sales Manager | |-- [OU] Service | | | [user] Jane,Service Manager | |-- [OU] Security Groups | | | |-- [OU] Groups Managed by Delegates | | | | | [group] Sales Gerbils | | | | | [group] Service Technicians | | | [group] Delegated Sales Managers | | | [group] Delegated Service Managers | | ... ...
假设您希望Bob能够创建新的Sales用户,并且Jane能够创建新的Service用户,您可以:
>让Bob成为“委派销售经理”组的成员
>让Jane成为“Delegated Service Managers”组的成员
>使用“Sales”OU中的“控制委派”向导为“委派销售经理”组授予“创建,删除和管理用户帐户”权限
>使用“服务”OU中的“控制委派”向导为“委派的服务管理器”组授予“创建,删除和管理用户帐户”权限
这将允许Bob和Jane在适当的OU中创建用户帐户,但不允许他们使用户成为组的成员.通过放置允许Bob和Jane管理“代理人管理的组”OU下的成员资格的组,并使用控制委派向导授予“委派销售经理”和“委派服务管理员”“修改成员资格”组“在代表管理的组”右侧“OU允许Bob和Jane将用户(他们创建的用户或目录中已存在的其他用户!)添加到此OU内部和下方的组.
如果您想阻止Bob将用户添加到“Service Technicians”组并将Jane添加到“Sales Gerbils”组,您可以在“由代理人管理的组”OU下创建子OU并在那里委托控制(“销售组” OU和“服务组”OU,例如).
不错的是,您可以在目录中创建测试OU,创建一些测试帐户和组,并使用此功能,而不会影响目录的其余部分.在向用户推出解决方案之前先试一试并测试一下您的解决方案.