Eu queria criar um novo domínio com uma abordagem pouco plana. Em vez de ter várias OUs com sub-ous e sub ou ups dependendo do projeto, a localização do usuário eu queria criar grupos e colocar usuários em grupos.
Por exemplo, todos os usuários seriam colocados em alguns OU = Usuários em DC = DOM, CN = LOC e, em seguida, vários grupos seriam criados:
No entanto, acabo pensando em como delegar permissões a esses grupos para que eu possa ter as senhas de redefinição do gerente (ou fazer outras ações em Varsóvia).
Como parece, a delegação é feita apenas por base de UO. Ainda estou presa a UOs se quiser ter controle granular (por projeto, local, sub-local, etc.)? Ou alguém fez isso e eu estou simplesmente perdendo alguma coisa?
Eu aconselho o seguinte:
1: Construa um programa que seja executado como um Serviço do Windows que possa redefinir senhas e executar o grupo apropriado e chamar a verificação do usuário. O programa pode obter o usuário chamador pelo uso apropriado de pipes nomeados. Consulte o link .
2: implante seu programa como runas com uma conta de serviço de administrador de domínio.
A resposta de Longneck está correta no que diz respeito ao Windows.
Tags windows active-directory