我在
Windows Server 2012上,Active Directory正在运行.我们管理的所有项目都有2个专门的小组,一个用于
管理员可以访问所有相关
文件(
包括发票,时间表以及他们管理项目所需的任何
内容,或者至少我猜,它可能是一堆GIF动画,我可以知道)和一个实际工作在项目上的人只能访问项目本身的
文件.
我需要让一些项目经理控制允许文件访问其项目的组的成员资格.他们不应该能够编辑该组的任何其他方面.理想情况下它应该使用某种类型的GUI,因为用这种方式解释它会很困难,但最糟糕的情况是我可以编写一个脚本.
我将管理组添加到托管组的“托管者”选项卡,启用了“管理员可以更新成员资格列表”,这看起来很简单.但..
>我应该让管理组看到整个用户列表吗?如果是这样,怎么样?
>管理组成员如何以及在何处登录以编辑组成员身份?
您可以指定managedBy
属性,并选中“Manager可以更新成员资格列表”框. (这授予Member
属性的写权限.)
需要编辑组的人员可以使用DSQuery小部件执行此操作,您可以为其创建以下快捷方式:
rundll32 dsquery,OpenQueryWindow
他们可以像AD用户和计算机一样搜索组,然后编辑属性,添加成员.
可以使用Outlook执行此操作(如果该组已启用邮件),但如果您具有多域环境,则可能更加脆弱.