人事担当者がすべてのActive Directoryユーザーの一部の属性(電話番号、住所、および類似の連絡先情報)を編集できるようにする必要があります。ただし、完全な管理権限は与えません。ユーザーは、所属するOUに関係なく、allユーザーアカウントでこれらの属性を編集する権限を必要とします。また、このセキュリティ設定は、作成時に新しいユーザーアカウントにも自動的に適用されます。
どうすればこれを達成できますか?
Active Directoryユーザーとコンピューターで[アクセス許可の委任]オプションを使用したい。ドメインルートを含め、任意のOUに委任を適用できます。
これにより、必要な属性レベルのアクセス許可を、定義したユーザー/グループに委任できます。
これらの権限は他の権限と同様に適用され、継承を尊重します。
ADUCでは、制御の委任ウィザードを使用して、委任のカスタムタスクを使用してこれを行うことができます。書き込みアクセスを許可するフィールドのみを選択します。