Meu ambiente de TI está crescendo e desejo delegar o controle de administração de domínio a UOs específicas. Dessa forma, em cada site, o administrador nesse local só pode fazer alterações em sua unidade organizacional específica do site.
No meu ambiente atual, meu anúncio ainda está em 2003.
Como posso configurar isso? Isso é possível em 2003 AD?
Sim, é possível no W2K3.
Crie um grupo de segurança para cada grupo de usuários administrativos.
Adicione os usuários apropriados a cada grupo.
No ADUC, clique com o botão direito na UO apropriada e selecione "Delegar Controle" no menu de contexto.
Adicione o grupo apropriado para o gerenciamento dessa UO e seus objetos.
Selecione a opção para delegar uma tarefa comum ou criar uma tarefa personalizada.
Selecione as tarefas que você deseja que este grupo possa executar nesta UO.
Sim, isso é possível no Active Directory, e você pode realizar essa necessidade usando o recurso Delegação de Administração para delegar facilmente tarefas específicas com base no princípio de menor acesso aos representantes.
Por exemplo, você pode delegar tarefas como a capacidade de criar contas de usuário, excluir contas de usuários, redefinir senhas de contas de usuários, desbloquear contas de usuários, etc.
Existem duas maneiras de delegar essas tarefas. Você pode usar o Assistente de delegação para delegar tarefas ou, se for um usuário avançado, pode conceder diretamente o conjunto mínimo de permissões necessárias para delegar as tarefas que você está interessado em delegar.
Para cada um dos itens acima, você precisará iniciar o ADUC, navegar até as UOs de seu interesse e usar o Assistente de delegação (acessível por meio do clique com o botão direito do mouse) ou usar o Editor da ACL que pode ser acessado a partir do Guia Segurança, que por sua vez pode ser acessada clicando com o botão direito do mouse no objeto e selecionando Propriedades. (Observe que, para exibir a guia Segurança, os recursos avançados devem estar ativados no ADUC.)
Caso isso ajude, uma lista das 20 tarefas mais comumente delegadas no Active Directory e a lista de permissões necessárias para delegar essas tarefas podem ser encontradas aqui .