Active Directoryで、ユーザーの追加、パスワードの変更、パスワードの変更、グループ化のための追加を許可しますが、削除は許可しません。
デリゲートユーザーの機能を追加します。
- コンテナに新しいユーザーを追加する
- パスワードを変更する
- グループメンバーシップを変更する
- ユーザーのプロパティ(メール/名前など)を変更する
- oU間でユーザーを移動する
基本的に、ユーザーはアカウントを削除する以外に、ほとんどのことをアカウントで実行できます。 Delegation of Control Wizardですが、一般的なタスクは幅が広すぎるため(通常はDelete部分を含む))、委任するにはカスタムタスクに入る必要があります。
これは私が選択したオプションです:
- フォルダー内の次のオブジェクトのみ(ユーザーオブジェクト)
しかし、最後の権限ページは非常に広いので、ユーザーにあまり力を与えたくありません。指定された質問に必要なオプションは誰でも共有できますか?そして、これに対する拡張として、各オプションが何を意味し、それがどのようなパワーを割り当てるかを書いてください。
ドメインユーザーのアクセス許可を委任するには:
- コンテナに新しいユーザーを追加する
- パスワードを変更する
- グループメンバーシップを変更する
- ユーザーのプロパティ(メール/名前など)を変更する
- oU間でユーザーを移動する
委任として2つのグループを作成する必要がありましたWizardでは、ユーザーオブジェクトよりも多く選択した場合、各ユーザーオブジェクトで何を選択するかを指定できません。そのため、2つのグループを作成することにしました。ユーザーごとに1つ管理とグループ管理用です。
最初のものはこのステップを必要としました:
- コンテナを右クリックして
Delegate Controlを選択します - 委任Wizardが開いたら、
Nextをクリックします - 別のページで、権限を付与するグループを選択し、
Nextを押します - 次のページで
Create a custom task to delegateを選択し、Nextを選択します Only the following objects in the folderを選択し、リストの一番下に移動してUser objectsを選択します。 1つ以上のエントリを選択しても、変更するプロパティをきめ細かく選択できる可能性はありません。Create selected objects in this folderがオンになっていることを確認し、Nextを押してください選択してください:
- すべてのプロパティを読む
- すべてのプロパティを書き込む
- 一般的な情報を読み書きする
- ログオン情報の読み取りと書き込み
- 電話とメールのオプションを読み書きする
- Web情報の読み取りと書き込み
- ターミナルサーバーライセンスサーバーの読み取りと書き込み
- リモートアクセス情報の読み取りと書き込み
- パスワードを変更する
- パスワードを再設定する
これにより、ユーザーを作成し、ユーザーを有効/無効にできますが、削除はできません。現在、ユーザーはグループメンバーシップを変更することができません。これは、別の方法で行う必要があるためです。
ユーザーオブジェクトで使用可能なACEを確認し、Delete ACEを除いて必要なものを委任する必要があります。
ただし、これらの種類の権限は、オブジェクトを削除しないように信頼できる人にのみ付与することをお勧めします。確かに事故はありますが、前述したように、バックアップやその他の方法(偶発的な削除を防ぐ、ADのごみ箱)から回復する方法があります。