Como permitir que não administradores administrem a associação de grupos de domínio selecionados?

Question

Como permitir que não administradores administrem a associação de grupos de domínio selecionados?

#1 resposta do (15 votos)
#2 resposta do (2 votos)

11

Estou no Windows Server 2012, o Active Directory está ligado e funcionando. Todo o projeto que gerenciamos tem 2 grupos dedicados, um para gerentes com acesso a todos os arquivos relacionados (incluindo faturas, horários e o que eles precisam para gerenciar o projeto, ou pelo menos eu acho que pode ser um monte de gifs animados para todos saber) e uma para as pessoas que realmente trabalham no projeto com acesso apenas aos arquivos do projeto em si.

Eu preciso deixar que alguns gerentes de projeto controlem a associação dos grupos que permitem o acesso a arquivos para seus projetos. Eles não devem poder editar nenhum outro aspecto do grupo. E, idealmente, ele deve estar usando uma interface gráfica de algum tipo, porque será difícil explicar isso dessa maneira, mas, no pior dos cenários, eu posso roteirizar um.

Adicionei o grupo de gerenciamento à guia "Gerenciado por" do grupo gerenciado, com "O gerenciador pode atualizar a lista de membros" ativada, e isso pareceu bastante fácil. Mas ..

Devo deixar o grupo de gerenciamento deixar ver toda a lista de usuários? Se sim, como?
Como e onde os membros do grupo administrativo devem fazer login para editar a associação ao grupo?

groups active-directory windows-server-2012-r2 group-policy

por Bard 16.04.2015 / 11:53

2 respostas

2

No Windows 10, (assim como no Windows 8, acredito), você pode abrir o Gerenciador de arquivos, selecionar Rede no painel de navegação esquerdo, selecionar a guia Rede que aparece na faixa de opções na parte superior da janela e escolher a opção Pesquisar no Active Directory. Um usuário deve, então, poder procurar por um grupo do AD que tenha permissões para atualizar e adicionar / remover membros.

por 15.06.2016 / 15:36

Tags groups active-directory windows-server-2012-r2 group-policy

Você deve editar / excluir a configuração padrão do site do apache? Como instalar o libboost-devel no CentOS 6.3

score 15 · Accepted Answer

Você pode especificar o atributo managedBy e marcar a caixa "O gerenciador pode atualizar a lista de associações". (Isso concede permissão de gravação para o atributo Member.)

As pessoas que precisam editar o grupo podem fazer isso com o widget DSQuery, para o qual você pode criar o seguinte atalho:

rundll32 dsquery,OpenQueryWindow

Eles podem pesquisar o grupo como com Usuários e Computadores do AD, editar as propriedades e adicionar membros.

Pode ser possível fazer isso com o Outlook (se o grupo estiver habilitado para email), mas isso pode ser mais frágil se você tiver um ambiente com vários domínios.