windows – Active Directory,控制用户

前端之家收集整理的这篇文章主要介绍了windows – Active Directory,控制用户前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我负责Active Directory(AD),我正在工作,而且我想弄清楚,我怎么能允许公司的部门经理可以在不需要的情况下从各个部门添加删除用户他们中的任何人都是域管理员.
那么,请帮忙吗?
您正在寻找Active Directory用户和计算机中的 Delegation of Control功能.我不喜欢@Harry Johnston的答案,因为虽然技术上有效,但你真的应该使用“向导”,这样你就不必捣乱你试图访问控制列表(ACL)中的特定条目了.管理.

假设目录看起来如下:

[domain]  ad.company.com
   |
   |-- [OU]  Sales
   |     |
   |   [user]  Bob,Sales Manager
   |
   |-- [OU]  Service
   |     |
   |   [user]  Jane,Service Manager
   |
   |-- [OU]  Security Groups
   |     |
   |     |-- [OU]  Groups Managed by Delegates
   |     |     |
   |     |   [group]  Sales Gerbils
   |     |     |
   |     |   [group]  Service Technicians
   |     | 
   |   [group]  Delegated Sales Managers
   |     |
   |   [group]  Delegated Service Managers
   |     |
  ...   ...

假设您希望Bob能够创建新的Sales用户,并且Jane能够创建新的Service用户,您可以:

>让Bob成为“委派销售经理”组的成员
>让Jane成为“Delegated Service Managers”组的成员
>使用“Sales”OU中的“控制委派”向导为“委派销售经理”组授予“创建,删除和管理用户帐户”权限
>使用“服务”OU中的“控制委派”向导为“委派的服务管理器”组授予“创建,删除和管理用户帐户”权限

这将允许Bob和Jane在适当的OU中创建用户帐户,但不允许他们使用户成为组的成员.通过放置允许Bob和Jane管理“代理人管理的组”OU下的成员资格的组,并使用控制委派向导授予“委派销售经理”和“委派服务管理员”“修改成员资格”组“在代表管理的组”右侧“OU允许Bob和Jane将用户(他们创建的用户或目录中已存在的其他用户!)添加到此OU内部和下方的组.

如果您想阻止Bob将用户添加到“Service Technicians”组并将Jane添加到“Sales Gerbils”组,您可以在“由代理人管理的组”OU下创建子OU并在那里委托控制(“销售组” OU和“服务组”OU,例如).

不错的是,您可以在目录中创建测试OU,创建一些测试帐户和组,并使用此功能,而不会影响目录的其余部分.在向用户推出解决方案之前先试一试并测试一下您的解决方案.

猜你在找的Windows相关文章