active-directory – 如何让非管理员管理所选域组的成员资格？

发布时间：2020-12-13 19:30:44 所属栏目：Windows 来源：网络整理

导读：我在 Windows Server 2012上,Active Directory正在运行.我们管理的所有项目都有2个专门的小组,一个用于管理员可以访问所有相关文件(包括发票,时间表以及他们管理项目所需的任何内容,或者至少我猜,它可能是一堆GIF动画,我可以知道)和一个实际工作在项目上的人

我在 Windows Server 2012上,Active Directory正在运行.我们管理的所有项目都有2个专门的小组,一个用于管理员可以访问所有相关文件(包括发票,时间表以及他们管理项目所需的任何内容,或者至少我猜,它可能是一堆GIF动画,我可以知道)和一个实际工作在项目上的人只能访问项目本身的文件.

我需要让一些项目经理控制允许文件访问其项目的组的成员资格.他们不应该能够编辑该组的任何其他方面.理想情况下它应该使用某种类型的GUI,因为用这种方式解释它会很困难,但最糟糕的情况是我可以编写一个脚本.

我将管理组添加到托管组的“托管者”选项卡,启用了“管理员可以更新成员资格列表”,这看起来很简单.但..

>我应该让管理组看到整个用户列表吗？如果是这样,怎么样？
>管理组成员如何以及在何处登录以编辑组成员身份？

您可以指定managedBy属性,并选中“Manager可以更新成员资格列表”框. (这授予Member属性的写权限.)

需要编辑组的人员可以使用DSQuery小部件执行此操作,您可以为其创建以下快捷方式：

rundll32 dsquery,OpenQueryWindow

他们可以像AD用户和计算机一样搜索组,然后编辑属性,添加成员.

可以使用Outlook执行此操作(如果该组已启用邮件),但如果您具有多域环境,则可能更加脆弱.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!