Jak pozwolić nie-administratorom zarządzać członkostwem wybranych grup domen?

12

Korzystam z systemu Windows Server 2012, usługa Active Directory jest włączona i działa. Cały projekt, którym zarządzamy, ma 2 dedykowane grupy, jedną dla menedżerów z dostępem do wszystkich powiązanych plików (w tym faktur, harmonogramów i wszystkiego, czego potrzebują do zarządzania projektem, a przynajmniej tak sądzę, może to być kilka animowanych gifów dla wszystkich) know) i jeden dla osób, które faktycznie pracują nad projektem z dostępem tylko do plików samego projektu.

Muszę pozwolić niektórym menedżerom projektów kontrolować członkostwo w grupach, które umożliwiają dostęp do swoich projektów. Nie powinny być w stanie edytować żadnego innego aspektu grupy. I idealnie powinien używać jakiegoś GUI, ponieważ będzie to wystarczająco trudne do wyjaśnienia w ten sposób, ale w najgorszym przypadku mogę go napisać.

Dodałem grupę zarządzającą do karty „Zarządzane przez” grupy zarządzanej, z włączoną opcją „Menedżer może aktualizować listę członkostwa”, i wyglądało to dość łatwo. Ale..

  1. Czy powinienem pozwolić grupie zarządzającej zobaczyć całą listę użytkowników? Jeśli tak to jak?
  2. Jak i gdzie powinni się logować zarządzający członkowie grupy, aby edytować członkostwo w grupie?
Bard
źródło

Odpowiedzi:

22

Możesz określić atrybut manageBy i zaznaczyć pole „Menedżer może aktualizować listę członkostwa”. (To uprawnia do zapisu dla atrybutu Member).

Osoba lub osoby, które muszą edytować grupę, mogą to zrobić za pomocą widżetu DSQuery, dla którego możesz utworzyć następujący skrót:

rundll32 dsquery,OpenQueryWindow

Mogą wyszukiwać grupy jak w przypadku użytkowników i komputerów AD, a następnie edytować właściwości i dodawać członków.

Można to zrobić za pomocą programu Outlook (jeśli grupa obsługuje pocztę), ale może to być bardziej delikatne, jeśli masz środowisko z wieloma domenami.

Zarządzany przez

wprowadź opis zdjęcia tutaj

Greg Askew
źródło
1
Dzięki temu działa to doskonale, a także powinno być łatwo wyjaśnić osobom odpowiedzialnym za każdą grupę. (Nie będzie, ale facet nadal może mieć nadzieję)
Bard
2
Możesz także wpisać dokładne nazwy grup, przeprowadzić wyszukiwanie, a następnie przejść do File>Save Searchpliku .qds i wysłać go na pulpit.
Fütemire
3

W systemie Windows 10 (podobnie jak Windows 8, jak sądzę) możesz otworzyć Eksploratora plików, wybrać Sieć z lewego okienka nawigacji, wybrać kartę Sieć, która pojawia się na wstążce u góry okna, a następnie wybrać opcję Aktywne wyszukiwanie Opcja katalogu. Użytkownik powinien wtedy być w stanie wyszukać grupę AD, która ma uprawnienia do aktualizacji i dodawania / usuwania członków.

Josh Kammerud
źródło
Działa to również w systemie Windows 7.
Tridus