none
Создание группу в Active Directory для редактирования свойст учётных записей. RRS feed

  • Вопрос

  • Добрый день.

    Задача следующая:

    Windows Server 2003 R2. Домен.

    Необходимо создать группу, члены которой могут только редактировать свойства учётных записей (все кроме принадлежности группам и паролей).

    Есть такая возможность и как её реализовать?

    4 марта 2014 г. 12:37

Ответы

  • Возможность есть. Реализуется через делегирование особой задачи в консоли AD пользователии компьютеры. При создании этой задачи укажите разрешения на запись для всех свойств, которые нужно редактировать.

    Делегирование лучше всего делать на уровне OU, в котором находятся учетные записи пользователей.

    PS Делегирование реализуется как назначение разрешений на соответствующие объекты AD. Соответственно, убрать его можно редактируя разрешение для OU на вкладке Безопасность свойств (чтобы ее увидеть, надол включить в AD пользователи и компьютеры расширенный режим в меню Вид).

    PPS Для учетных записей, входящих в группы с повышенными привилегиями (администраторы домена и предприятия, операторы учетных записей и т.д. - полный список есть в  Technet Library) делегированные разрешения применяться не будут.


    Слава России!


    • Изменено M.V.V. _ 4 марта 2014 г. 12:47
    • Предложено в качестве ответа Svolotch 4 марта 2014 г. 12:50
    • Помечено в качестве ответа Виталий UFK 4 марта 2014 г. 12:56
    4 марта 2014 г. 12:46

Все ответы

  • Возможность есть. Реализуется через делегирование особой задачи в консоли AD пользователии компьютеры. При создании этой задачи укажите разрешения на запись для всех свойств, которые нужно редактировать.

    Делегирование лучше всего делать на уровне OU, в котором находятся учетные записи пользователей.

    PS Делегирование реализуется как назначение разрешений на соответствующие объекты AD. Соответственно, убрать его можно редактируя разрешение для OU на вкладке Безопасность свойств (чтобы ее увидеть, надол включить в AD пользователи и компьютеры расширенный режим в меню Вид).

    PPS Для учетных записей, входящих в группы с повышенными привилегиями (администраторы домена и предприятия, операторы учетных записей и т.д. - полный список есть в  Technet Library) делегированные разрешения применяться не будут.


    Слава России!


    • Изменено M.V.V. _ 4 марта 2014 г. 12:47
    • Предложено в качестве ответа Svolotch 4 марта 2014 г. 12:50
    • Помечено в качестве ответа Виталий UFK 4 марта 2014 г. 12:56
    4 марта 2014 г. 12:46
  • Спасибо! Тоже уже нашёл. Сейчас буду пробовать.
    4 марта 2014 г. 12:56