会社で使用されるActive Directoryのいくつかの側面を管理するためにカスタムアプリケーションで使用されるuser1
というサービスユーザー(Active Directoryの通常のユーザー)がいます。
AD Operators
が追加されたuser1
というセキュリティグループを作成しました。
Active Directory内の他のグループメンバーシップを管理できるようにするには、user1
が必要です。このため、問題のあるすべてのグループに、[管理者]タブからAD Operators
グループをマネージャーとして追加しました。また、「マネージャーはメンバーシップリストを更新できる」チェックボックスをオンにしました。
ただし、コードがuser1
の認証情報で実行され、更新されたグループメンバーシップリストを保存しようとすると、ADからアクセス拒否エラーが表示されます。しかし、user1
グループ全体を指定する代わりに、「[Managed By]」でグループマネージャーとしてAD Operators
を指定すると、同じコードでグループを正しく更新できます。
特定のセキュリティグループメンバーがAD内の他のグループのメンバーシップを管理できるようにするにはどうすればよいですか?
これは、求めている管理委任を提供するための適切なインターフェースではない場合があります。グループメンバーシップの管理を制御する適切な方法は、制御の委任ウィザードを使用して制御を委任することです。
このツールとインターフェイスを使用して、 "AD Operators"セキュリティグループに "メンバーの書き込み"許可を与える必要があります。または-ウィザードの指示に従っている場合-「グループのメンバーシップを変更する」共通タスクを選択できます。
いくつかの注意点に注意してください: