Active Directory, controle para usuários

4

Sou responsável pelo Active Directory (AD) em que estou trabalhando e estou tentando descobrir, como posso permitir, que os gerentes de setor da empresa possam adicionar e excluir usuários de seus respectivos departamentos, sem a necessidade de que qualquer um deles seja um administrador de domínio. Então, por favor, alguma ajuda?

    
por jayron soares 09.01.2012 / 21:15

2 respostas

8

Você está procurando a funcionalidade Delegação de controle em Usuários e Computadores do Active Directory. Eu não prefiro a resposta de @Harry Johnston porque, embora tecnicamente válido, você realmente deveria usar o "Wizard" para que você não precise se preocupar com as entradas específicas nas listas de controle de acesso (ACLs) que você está tentando gerenciar.

Assuma um diretório com a seguinte aparência:

[domain]  ad.company.com
   |
   |-- [OU]  Sales
   |     |
   |   [user]  Bob, Sales Manager
   |
   |-- [OU]  Service
   |     |
   |   [user]  Jane, Service Manager
   |
   |-- [OU]  Security Groups
   |     |
   |     |-- [OU]  Groups Managed by Delegates
   |     |     |
   |     |   [group]  Sales Gerbils
   |     |     |
   |     |   [group]  Service Technicians
   |     | 
   |   [group]  Delegated Sales Managers
   |     |
   |   [group]  Delegated Service Managers
   |     |
  ...   ...

Supondo que você gostaria que Bob pudesse criar novos usuários de vendas e Jane para poder criar novos usuários do serviço, você poderia:

  • Torne Bob um membro do grupo "Gerentes de vendas delegados"
  • Transforme Jane em um membro do grupo "Gerentes de serviços delegados"
  • Use o assistente "Delegação de controle" na unidade organizacional "Vendas" para conceder permissões "Criar, excluir e gerenciar contas de usuários" ao grupo "Gerentes de vendas delegadas"
  • Use o assistente "Delegação de controle" na UO "Serviço" para conceder permissões "Criar, excluir e gerenciar contas de usuário" ao grupo "Gerentes de serviço delegados"

Isso permitiria que Bob e Jane criassem contas de usuário nas UOs apropriadas, mas não permitiria que eles tornassem os usuários membros de grupos. Colocando grupos que Bob e Jane têm permissão para gerenciar a associação sob a UO "Grupos Gerenciados por Representantes" e usando o assistente de Delegação de Controle para conceder "Gerentes de Vendas Delegados" e "Gerentes de Serviços Delegados" o "Modificar a associação de um group "à direita dos" Grupos Gerenciados por Representantes "UO Bob e Jane teriam permissão para adicionar usuários (usuários que eles criam ou outros usuários que já existem no Diretório!) aos grupos dentro e abaixo dessa UO.

Se você quisesse impedir que Bob adicionasse usuários ao grupo "Técnicos de serviço" e Jane ao grupo "Gerbils de vendas", você poderia criar sub-unidades organizacionais na unidade organizacional "Grupos gerenciados por delegados" e delegar o controle lá (a " Grupos de Vendas "UO e UO" Grupos de Serviço ", por exemplo).

O interessante é que você pode criar uma UO de teste no seu Diretório, criar algumas contas e grupos de teste e brincar com essa funcionalidade sem afetar o restante do seu Diretório. Dê um tiro e teste sua solução antes de distribuí-la para os usuários.

    
por 10.01.2012 / 15:54
0

Supondo que você esteja no Windows Server 2008, vá para ADUC, ative o modo avançado e lá você verá uma Árvore de console: sob essa categoria existe uma chamada Builtin e você encontrará 'Account Operators'. coloque sua lista de gerentes em outro grupo chamado. 'Operadores de conta', que permite administrar as contas de usuário e grupo de domínio. Espero que isso ajude.

    
por 09.01.2012 / 22:01