Як дозволити не-адміністраторам керувати членством вибраних груп доменів?

12

Я на Windows Server 2012, Active Directory увімкнено та працює. Весь проект, яким ми керуємо, має 2 виділені групи, одну для менеджерів, які мають доступ до всіх пов'язаних файлів (включаючи рахунки-фактури, розклади та все, що їм потрібно для управління проектом, або, принаймні, я здогадуюсь, це може бути купа анімованих gif-файлів для всіх я знаю) і один для людей, які насправді працюють над проектом з доступом до файлів самого проекту.

Мені потрібно дозволити деяким менеджерам проектів контролювати членство в групах, які дозволяють отримати доступ до файлів до своїх проектів. Вони не мають змоги редагувати жоден інший аспект групи. І в ідеалі слід використовувати якийсь графічний графічний інтерфейс, тому що це буде досить важко пояснити це таким чином, але найгірший сценарій, який я можу сценарію.

Я додав керуючу групу на вкладку "Керований за" керованої групи, увімкнено "Менеджер може оновити список членства", і це виглядало досить просто. Але ..

  1. Чи повинен я дозволити керуючій групі побачити весь список користувачів? Якщо так, то як?
  2. Як і де повинні входити члени керуючої групи для редагування членства в групі?
active-directory  group-policy  windows-server-2012-r2  groups 
Бард
джерело

Відповіді:

22

Ви можете вказати атрибут ManagedBy і встановити прапорець "Менеджер може оновити список членства". (Це дає дозвіл на написання атрибута Member.)

Особи (особи), яким потрібно редагувати групу, можуть це зробити за допомогою віджета DSQuery, для якого можна створити наступний ярлик:

rundll32 dsquery,OpenQueryWindow

Вони можуть шукати групу, як у користувачах та комп’ютерах AD, потім редагувати властивості та додавати членів.

Це можливо зробити за допомогою Outlook (якщо група включена поштою), але це може бути ще більш крихким, якщо у вас є середовище з декількома доменами.

ManagedBy

введіть тут опис зображення

Грег Аскеу
джерело
1
Дякую, що це працює чудово, а також слід досить просто пояснити людям, які відповідають за кожну групу. (Не буде, але хлопець все ж може сподіватися)
Бард
2
Ви також можете просто ввести точну назву (-и) групи (-ів), здійснити пошук, потім перейти до File>Save Searchта надіслати їм файл .qds, який він розмістить на робочому столі.
Фютемір
3

У Windows 10 (як і в Windows 8, я вважаю) ви можете відкрити Провідник файлів, вибрати ліву панель навігації у мережі, вибрати Мережу вкладки, яка відображається на стрічці у верхній частині вікна, а потім вибрати Активний пошук Варіант каталогу. Потім користувач повинен мати можливість шукати групу AD, яка має дозволи на оновлення та додавання / видалення членів.

Джош Каммеруд
джерело
Це працює і в Windows 7.
Трид
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.