Вопрос: Какие разрешения необходимы администратору службы поддержки для создания пользователей в AD?


Какие разрешения необходимы администратору службы поддержки для создания пользователей в AD? Я не хочу, чтобы этот человек был администратором домена, у нас есть DC DC.


5
2017-10-13 15:53


Источник




Ответы:


Попробуйте использовать элемент управления Delegate, поскольку я думаю, что это будет решение для точной настройки этого доступа.

Установите администратор службы поддержки в качестве группы безопасности в ADUC, если он еще не установлен, и оттуда вы можете перейти к просмотру / расширенным параметрам, щелкните правой кнопкой мыши подразделение, чтобы быть более конкретным, или домен в целом, укажите, какие права (добавить пользователей) и включить группу безопасности.

Взгляни на http://social.technet.microsoft.com/Forums/en-US/winserverGP/thread/d7ad344d-0fcf-4a80-9fe0-cac802df25bb для справки.


7
2017-10-13 16:09





Желательно делать это на уровне OU, делегируя контроль, как указывает Николас. Если вам нужно дать им возможность создавать и управлять учетными записями пользователей и группами повсюду, то есть группа BUILTIN \ Account Operators. Эта группа работает так же, как в NT4. Из-за этого у него, вероятно, слишком много прав на то, что вы ищете, но я упоминаю об этом, потому что иногда это именно то, чего хотят люди, особенно при размещении разрешений через сторонний продукт.


4
2017-10-13 17:31