web-dev-qa-db-ja.com

一部の(非管理者)ユーザーがすべてのADユーザーのアドレス/電話のプロパティを編集できるようにするにはどうすればよいですか?

人事担当者がすべてのActive Directoryユーザーの一部の属性(電話番号、住所、および類似の連絡先情報)を編集できるようにする必要があります。ただし、完全な管理権限は与えません。ユーザーは、所属するOUに関係なく、allユーザーアカウントでこれらの属性を編集する権限を必要とします。また、このセキュリティ設定は、作成時に新しいユーザーアカウントにも自動的に適用されます。

どうすればこれを達成できますか?

4
Massimo

Active Directoryユーザーとコンピューターで[アクセス許可の委任]オプションを使用したい。ドメインルートを含め、任意のOUに委任を適用できます。

これにより、必要な属性レベルのアクセス許可を、定義したユーザー/グループに委任できます。

これらの権限は他の権限と同様に適用され、継承を尊重します。

8
MDMarra

ADUCでは、制御の委任ウィザードを使用して、委任のカスタムタスクを使用してこれを行うことができます。書き込みアクセスを許可するフィールドのみを選択します。

7
mfinni