Я новичок в администрировании Windows Server, я сейчас работаю в лаборатории по активному каталог, поэтому я настроил Windows Server 2016 DC, в котором я создал два OU, в этих OU я создал несколько пользователей,
я хочу делегировать управление этими OU группе тех пользователей, которых я создал, и я хочу эта группа должна иметь возможность создавать, изменять и удалять любой объект в этих OU и их подчиненных OU, но не иметь возможности читать, писать или изменять другие OU. Другими словами, поправьте меня, если я ошибаюсь. Я не хочу, чтобы эта группа была членом администраторов домена
, так как в заголовке моего вопроса сказано:
Я хочу, чтобы члены этой группы имели возможность rdp-сервера контроллера домена (который мне удалось настроить)
и иметь возможность запустить диспетчер серверов, DNS, пользователей и компьютер с рекламными инструментами, которые я не могу понять, потому что как только я открыл сеанс rdp с членом этой группы, диспетчер серверов не перестал работать, и когда я пытаюсь обедать его, а также DNS или пользователей и компьютер с инструментами AD, я получаю следующее всплывающее окно mmc, которое запрашивает у меня критические данные администратора, см. Изображение mmcpopup
возможно ли иметь такую конфигурацию? и если да, то как?
заранее спасибо за ответы
Лучше всего установить RSAT для AD и DNS на свою рабочую станцию, это позволит им открывать то, что им нужно, без возможности входа в DC.
Вам нужен только ваш администраторы домена в вашем DC.
После того, как вы делегируете права пользователям, они должны иметь доступ для внесения необходимых изменений.