Conceder permissão no Active Directory para adicionar usuários / modificar / alterar senha / adicioná-los para agrupá-los, mas não para excluí-los

5

Gostaria de adicionar a capacidade do usuário delegado a:

  • adicionar novos usuários ao contêiner
  • alterar senha
  • modificar a participação no grupo
  • modificar propriedades dos usuários (como email / nome, etc.)
  • mova usuários entre UOs

Basicamente, o usuário poderá fazer a maioria das coisas com a conta, além de excluí-lo. Eu tentei usar o Assistente de Delegação de Controle, mas as tarefas comuns são muito grandes (geralmente incluindo a parte Excluir), então eu preciso entrar em tarefa personalizada para delegar.

Estas são as opções que eu selecionei:

  • Apenas os seguintes objetos na pasta (objetos do usuário)

Mas a última página de permissões é muito ampla e eu não gostaria de dar ao usuário muita energia. Alguém pode compartilhar quais opções são necessárias para a pergunta especificada? E como uma extensão para isso, escreva o que cada opção significa e qual poder ela atribui?

    
por MadBoy 01.12.2011 / 18:46

2 respostas

5

Para delegar permissão para um usuário de domínio para:

  • adicionar novos usuários ao contêiner
  • alterar senha
  • modificar a participação no grupo
  • modificar propriedades dos usuários (como email / nome, etc.)
  • mova usuários entre UOs

Eu tive que criar dois grupos, pois o Assistente de Delegação não me deixava especificar o que escolher em cada objeto Usuário quando escolho mais do que o objeto Usuário. Então eu decidi criar dois grupos. Um para gerenciamento de usuários e outro para gerenciamento de grupos.

O primeiro exigiu estes passos:

  • Clique com o botão direito no container e escolha Delegate Control
  • Quando o Assistente de delegação é aberto, clique em Next
  • Em outra página, escolha o grupo para o qual você deseja conceder permissões e pressione Next
  • Na próxima página Create a custom task to delegate e escolha Next
  • Escolha Only the following objects in the folder e vá para o final da lista e escolha User objects . Escolher qualquer coisa mais do que apenas uma entrada não lhe dará possibilidade de escolha granular de propriedades para mudar.
  • Certifique-se de ter Create selected objects in this folder marcado e pressione Next
  • Escolha:

    • Ler todas as propriedades
    • Gravar todas as propriedades
    • Leia e escreva informações gerais
    • Ler e gravar informações de logon
    • Leia e escreva opções de telefone e correio
    • Ler e escrever informações da web
    • Leia e escreva o servidor de licenças do Terminal Server
    • Ler e gravar informações de acesso remoto
    • Alterar senha
    • Redefinir senha

Isso permite criar usuário e ativar / desativar usuário, mas não excluí-lo. Neste momento, o usuário não pode alterar a associação ao grupo, pois isso deve ser feito de forma diferente.

    
por 01.12.2011 / 20:21
0

Você deve dar uma olhada nas ACEs disponíveis nos objetos de usuário e delegar o que precisa, menos a Delete ACE.

Embora, ainda seja uma prática melhor dar apenas esses tipos de direitos às pessoas em quem você pode confiar para não excluir seus objetos. Certamente haverá acidentes, mas como mencionei anteriormente, há backups e outras formas (impedir a exclusão acidental, lixeira do AD) para se recuperar deles.

    
por 01.12.2011 / 19:14