web-dev-qa-db-fra.com

Autorisation de subvention dans Active Directory pour ajouter des utilisateurs / modifier / modifié le mot de passe / ajoutez-les pour les grouper mais ne les supprimez pas

Je voudrais ajouter la capacité de l'utilisateur délégué à:

  • ajoutez de nouveaux utilisateurs au conteneur
  • changer le mot de passe
  • modifier l'adhésion au groupe
  • modifier les propriétés des utilisateurs (tels que le courrier électronique/nom, etc.)
  • déplacez les utilisateurs entre OU

Fondamentalement, l'utilisateur sera capable de faire la plupart des choses avec un compte en plus de la supprimer. J'ai essayé d'utiliser la délégation de contrôle Wizard mais les tâches communes sont trop larges (y compris une partie de suppression), donc je dois entrer dans la tâche personnalisée pour déléguer.

Ce sont les options que j'ai sélectionnées:

  • Seuls les objets suivants dans le dossier (objets utilisateur)

Mais la dernière page d'autorisations est très large et je ne voudrais pas donner à l'utilisateur trop de pouvoir. Quelqu'un peut-il partager quelles options sont nécessaires à la question spécifiée? Et comme une extension à cette écriture, quelle option signifie et quel pouvoir il assigne?

active-directorywindows-server-2008-r2permissions
5
MadBoy

Déléguer la permission d'un utilisateur de domaine à:

  • ajoutez de nouveaux utilisateurs au conteneur
  • changer le mot de passe
  • modifier l'adhésion au groupe
  • modifier les propriétés des utilisateurs (tels que le courrier électronique/nom, etc.)
  • déplacez les utilisateurs entre OU

J'ai dû créer 2 groupes comme délégation Wizard Je ne me permettriez pas de spécifier ce qu'il faut choisir sur chaque objet utilisateur lorsque je choisis plus d'objet utilisateur. Alors j'ai décidé de créer 2 groupes. Un pour l'utilisateur gestion et une pour la gestion du groupe.

Le premier a nécessité cette étape:

  • Faites un clic droit sur le conteneur et choisissez Delegate Control
  • Lorsque la délégation Wizard s'ouvre up Cliquez sur Next
  • Sur une autre page, choisissez le groupe que vous souhaitez donner des autorisations et appuyez sur Next
  • À la page suivante Create a custom task to delegate et choisissez Next
  • Choisir Only the following objects in the folder et aller au bas de la liste et choisissez User objects. Choisir quelque chose de plus, une seule entrée ne vous donnera pas possibilité de choix granulaire de propriétés à changer.
  • Assurez-vous d'avoir Create selected objects in this folder vérifié et appuyez sur Next

  • Choisir:

    • Lire toutes les propriétés
    • Écrire toutes les propriétés
    • Lire et écrire des informations générales
    • Lire et écrire des informations de connexion
    • Lire et écrire des options de téléphone et de messagerie
    • Lire et écrire des informations web
    • Lire et écrire le serveur de licences de serveur Terminal Server
    • Lire et écrire des informations d'accès à distance
    • Changer le mot de passe
    • Réinitialiser le mot de passe

Cela permet de créer l'utilisateur et activer/désactiver l'utilisateur mais ne pas le supprimer. À ce moment, l'utilisateur n'est pas en mesure de changer d'adhésion au groupe car cela doit être fait différemment.

5
MadBoy

Vous devez consulter les ACES disponibles sur les objets utilisateur et déléguer ce dont vous avez besoin, moins le Delete ACE.

Bien que, il reste encore une meilleure pratique de donner uniquement ces types de droits aux personnes que vous pouvez faire confiance à ne pas supprimer vos objets. Il y aura certainement des accidents, mais comme je l'ai déjà mentionné, il existe des sauvegardes et d'autres moyens (empêchez la suppression accidentelle, la corbeille de recyclage) de récupérer de celles-ci.

0
HostBits