Gerenciando membros do grupo do Active Directory com uma conta não-administrador no Server 2008

Navegue suas respostas
2

Estou executando o Server 2008 R2 em um ambiente de domínio do Active Directory.

Eu criei um grupo no Active Directory e deleguei autoridade de gerenciamento a esse grupo para um usuário.

Eu quero que esse usuário seja capaz de adicionar e remover contas, conforme necessário, daquele grupo, de modo que elas estejam exercendo alguma medida de controle sem dar a elas outra autoridade.

Quando o usuário tentar acessar os Usuários & Computers Console solicita credenciais de Administrador. Eles estão usando a Área de Trabalho Remota para acessar o servidor, porque eles não têm o Windows 7 e as regras de firewall impedem o uso do Kit de Gerenciamento Remoto.

Eu não quero fornecer a eles nenhum nível de direitos administrativos, exceto o mínimo necessário para que eles adicionem / removam usuários desse grupo.

Existem dois servidores que 'falam' uns com os outros nesse ambiente isolado, um controlador de domínio e um servidor membro, ambos acessíveis somente por meio do RDP.

Alguma sugestão?

    
por Laranostz 25.06.2011 / 01:09

4 respostas

1

Pelos comentários em pergunta , você já tentou adicionar o usuário ao grupo "Usuários avançados"?

Além disso, o que acontece se eles disserem "Não" no prompt do UAC? Eu esperaria que o MMC abre corretamente ainda; não é esse o caso? Se ele abrir ainda, você pode usar o TweakUAC para desativar o prompt.

Meu palpite é que a execução do ADUC está agrupando uma regra de elevação automática de privilégios, seja desse snap-in ou do mmc.exe como um todo. Se nenhuma das sugestões acima funcionar, tentarei variações na execução da ferramenta: executando o arquivo .msc do snap-in diretamente, copiando o .msc em algum lugar e, em seguida, executando isso, etc.

    
por 25.06.2011 / 01:48
1

Obrigado pelas sugestões acima, foi assim que acabei resolvendo o problema.

Para abrir o console do MMC Usuários e Computadores do Active Directory no Windows Server 2008 R2, o usuário precisa, no mínimo, fazer parte do grupo de permissões "operadores de contas".

Então, coloquei o usuário em um grupo e coloquei esse grupo no grupo de operadores da conta. Isso permitiu que ele abrisse o console.

Para restringi-lo a apenas manipular o grupo que eu precisava, entrei e adicionei especificamente a permissão 'Negar-Leitura' a todas as outras UOs do domínio ao grupo em que o usuário reside. Assim, quando o usuário abrir o console do ADU & C, a única coisa que ele vê é a UO e o único Grupo sobre os quais ele realmente tem controle de gerenciamento.

Não exatamente a solução mais elegante, mas funcionou.

    
por 01.07.2011 / 16:54
0

Você pode adicionar a propriedade managedby a um grupo de segurança, a conta de usuário que tem as permissões para adicionar / remover usuários desse determinado grupo.

    
por 25.06.2011 / 17:24
0

Adicione o usuário em Permitir logon localmente na política do controlador de domínio padrão.

Gerenciamento de políticas de grupo - > Política padrão do controlador de domínio

Editar Configuração do Computador / Políticas / Configurações do Windows / Configurações de Segurança / Políticas Locais / Atribuição de Direitos do Usuário / Permitir Logon Localmente

Depois de fazer o gpupdate no prompt de comando, faça o login no DC com essa conta de usuário e forneça as credenciais do usuário. Agora sua exigência será cumprida.

    
por 30.03.2016 / 14:51

Tags

Ao usar o proxy reverso, o servidor backend faz 301 de volta ao servidor proxy ou altera o URL Inicialização do Linux: md raid FS não está pronto (às vezes)