Делегирование управления Active Directory без удаления учетной записи пользователя
На функциональном уровне домена и леса Windows 2008r2 я пытаюсь делегировать администрирование учетных записей пользователей и «сброс / принудительное изменение пароля» определенной группе пользователей в моем активном каталоге, НО Я не хочу предоставлять им разрешение на удаление учетных записей пользователей. Есть ли способ выполнить эту задачу?
Обратите внимание: я пробовал много способов ... Использовал мастер управления делегированием, выбирая общие задачи делегата «создание, изменение, удаление учетных записей пользователей», а затем отклоняя «удаление» и разрешения «удалить поддерево»; создание настраиваемой задачи, позволяющей создавать только объекты учетных записей пользователей ... Но ни один из подходов не сработал. (У меня создается учетная запись, но появляются сообщения об ошибках, в которых говорится, что у меня недостаточно прав для создания учетной записи, поэтому она будет создана, а затем отключена ...)
Есть идеи?
Вам нужно создать группу безопасности для этого разрешения, затем выбрать OU, управление которым вы хотите передать.
Оттуда:
Выберите группу безопасности и нажмите «Далее» .
Выберите Создать настраиваемую задачу для делегирования , затем нажмите «Далее»
Выберите следующие разрешения:
Создать объекты пользователяПрочитать все свойстваЗаписать пароль пользователя
Это должны предоставить вашим пользователям достаточные права для создания учетных записей, чтения их информации и установки паролей.
Если вы хотите разрешить этим пользователям устанавливать какие-либо дополнительные поля, просто выберите Разрешить в разрешении на запись для этого поле.