none
Делегирование в домене RRS feed

  • Вопрос


  • Такая задача есть:
    Необходимо предоставить кому-либо из пользователей домена (кадровая служба) права (и возможности для этого) с тем, чтобы он мог сам (без сисадмина) исправлять некоторые параметры в учетках пользователей: точнее он должен иметь возможность исправления "Служебного номера телефона" и  "Размещение" для любого пользователя в определенном OU. 
    И больше  ничего кроме этого!
    Существующий мастер делегирования предоставляет в виде пакета значительно больше прав (например, смена паролей и т.п.), что недопустимо для меня.

    Как реализовать это?

    И еще (альтернатива): написано везде, что пользователь может сам изменять эти поля (номер телефона) в своей учетке.  А как это реализовать?
    Хотелось бы, чтобы пользователь это делал именно на своем компе (а не на контроллере домена).  Как это сделать технически?
    При попытке исправления через Адресную книгу (открыв конкретного пользователя), курсор появляется у нужного поля, но ничего не вводится...

    Система Windows 2003 Server, имеется Exchange 2003, рабочие станции - Windows  XP SP2, клиент - OutLook 2003.

    Конечно, это вопрос вроде бы больше относящися к самой AD, а не к Exchange, но дело в том, что пользователи видят вышеописанные поля чаще всего именно через Адресную книгу OutLook.

    Спасибо за ответы.

    27 ноября 2009 г. 6:37

Ответы

  • Проверьте в свойствах безопасности пользователя, параметры которого изменяете, наличие унаследованных разрешений, которые Вы задали ранее.
    • Помечено в качестве ответа Scryb 27 ноября 2009 г. 8:56
    27 ноября 2009 г. 8:33

Все ответы

  • Вы можете предоставить тебуемые разрешения как через Мастер делегирования, так и непосредственно изменяя разрешения для объектов AD типа Domain, OU. Последнее, впрочем, требует определенных навыков. что касается Мастера делегирования, то все можно настроить и через него, причем никаких лишних разрешений не откроется. После выбора пользователей или группы, для которых вы хотите добавить разрешение, выберите Create a custom task to delegate, далее Next - Only the following objects in the folder и отметьте User objects. Далее на следующем экране отметьте Show property-specific permissions и ниже выберите только нужные атрибуты, которые вы разрешаете изменять, например отметьте Write telephone number.

    Для того чтобы пользователи могли изменять поля со своих компьютеров, потребуется установить им инструменты администрирования AD, что не есть хорошо. Лучше, на мой взгляд, написать скрипт, позволяющий вводить и сохранять в AD номер телефона и позволить пользователям запускать этот скрипт. Или создать на внутреннем веб-сайте страницу ASP или ASP.Net с аналогичной функцией.
    27 ноября 2009 г. 6:53
    Модератор
  • Может делегировать не через мастер, а вручную. Зайдите в свойства контейнера для которого хотитие предоставить права. Перейдите на вкладку безопасность и нажмите "дополнительно". Нажмите "добавить", выберите применение к дочернему объекту "Пользователь", перейдите на вкладку "свойства" и проставьте флажки напротив нужных атрибутов.
    Хотя конечно лучше пользоваться мастером.
    Похожая тема:
    http://social.technet.microsoft.com/Forums/en-US/winserverDS/thread/4e8b6ab1-6961-4bf1-b697-3e358fc5575f
    На компьютерах пользователей можно установить оснастку AD Users and Computers, тогда они смогут изменять нужные атрибуты без входа на контроллер домена.
    27 ноября 2009 г. 6:58
  • Спасибо за ответ, теперь хоть знаю, где копать...
    Все нашел, все сделал, подключаюсь от имени доменного пользователя через оснастку AD Users & Computers (пока), но - не работает:
    поля "Телефон", "Pager", "Организация" (для примера) - курсор появляется, но ничего не вводится. Нажимаю кнопку "Other" справа, появляется соответствующее окошко, но все неактивно (кнопка "Add").

    Что еще не хватает, чтобы все заработало как хочется?

    Проверил все через свойства контейнера с которым работаю: для требуемого пользователя включены и "Запись" и "Чтение" по каждому из указанных полей, поставил галочку "Применять только к данному контейнеру и дочерним",  но - не получается все равно....

    Подключаюсь с рабочей станции.

    27 ноября 2009 г. 8:04
  • Спасибо за ответ, все стал использовать, но почему-то все до конца не работает (см. выше предыдущий ответ)

    Почему бы это, что не  хватает?
    27 ноября 2009 г. 8:06
  • На каком уровне вы добавляли разрешения Мастером делегирования? Если на уровне OU, то разрешения были добавлены только для объектов типа Пользователь, находящихся в этом OU и на уровнях ниже.

    27 ноября 2009 г. 8:20
    Модератор
  • Да, я создал OU, поместил туда  тестового пользователя, и запустил мастер для этого OU, указав, что делегирую управление некоторому (другому) пользователю.

    Потом зашел на станции от имени этого другого пользователя, запустил остнастку и пытаюсь изменить данные пользователя, находящегося в созданном OU.
    27 ноября 2009 г. 8:31
  • Проверьте в свойствах безопасности пользователя, параметры которого изменяете, наличие унаследованных разрешений, которые Вы задали ранее.
    • Помечено в качестве ответа Scryb 27 ноября 2009 г. 8:56
    27 ноября 2009 г. 8:33
  • Надо было явно давать разрешения в мастере делегирования на "Property-Specific" атрибуты.

    27 ноября 2009 г. 8:40
    Отвечающий
  • Да, именно это и было: не было галочки "Унаследовать разрешения", поставил, сейчвс все заработало, нужные поля редактируются.

    Большое спасибо  за помощь всем .

    27 ноября 2009 г. 8:55