Como permitir que membros do grupo de segurança gerenciem outros membros do grupo no Active Directory

Navegue suas respostas
1

Eu tenho um usuário de serviço (usuário normal no Active Directory) chamado user1 usado pelo nosso aplicativo personalizado para gerenciar alguns aspectos do Active Directory usado na empresa.

Eu criei um grupo de segurança chamado AD Operators ao qual o user1 foi adicionado.

Eu preciso de user1 para poder gerenciar outros membros do grupo no Active Directory. Para isso, adicionei o grupo AD Operators como gerente na guia "Gerenciado por" a todos os grupos em questão. Também marquei a caixa de seleção "O gerente pode atualizar a lista de membros".

No entanto, quando o código é executado com as credenciais do user1 e tentar salvar a lista atualizada de membros do grupo, recebo um erro de acesso negado do AD. Mas se eu especificar user1 como um gerenciador de grupo em "Gerenciado por" em vez de especificar um grupo AD Operators inteiro, o mesmo código pode atualizar o grupo muito bem .

Como posso permitir que todos os membros do grupo de segurança em particular possam gerenciar a associação de outros grupos em um AD?

    
por Maxim V. Pavlov 23.04.2018 / 18:21

1 resposta

1

Essa talvez não seja a interface apropriada para fornecer a delegação de gerenciamento que você está procurando. O meio apropriado pelo qual o gerenciamento de membros de grupos deve ser controlado é delegando o controle por meio do Assistente de Delegação de Controle.

Você deve usar essa ferramenta e a interface para conceder ao grupo de segurança "Operadores AD" a permissão "gravar membros"; ou - se estiver sendo guiado pelo assistente - você pode selecionar a tarefa comum "Modificar a associação de um grupo".

Você deve tomar nota de algumas advertências:

  • A delegação é feita no nível Container / OU.
  • As permissões nos objetos Diretório geralmente são transmitidas e são herdadas da mesma maneira que as permissões do sistema de arquivos.
por 23.04.2018 / 22:06

Tags

O que o registro SRV _ldap._tcp.dc._msdcs.domainname.com deve apontar para o Azure AD? Eu atualizei para o Ubuntu Bionic em nosso servidor, mas ele me pede para atualizar para o Xenial?