デリゲートユーザーの機能を追加します。
基本的に、ユーザーはアカウントを削除する以外に、ほとんどのことをアカウントで実行できます。 Delegation of Control Wizardですが、一般的なタスクは幅が広すぎるため(通常はDelete部分を含む))、委任するにはカスタムタスクに入る必要があります。
これは私が選択したオプションです:
しかし、最後の権限ページは非常に広いので、ユーザーにあまり力を与えたくありません。指定された質問に必要なオプションは誰でも共有できますか?そして、これに対する拡張として、各オプションが何を意味し、それがどのようなパワーを割り当てるかを書いてください。
ドメインユーザーのアクセス許可を委任するには:
委任として2つのグループを作成する必要がありましたWizardでは、ユーザーオブジェクトよりも多く選択した場合、各ユーザーオブジェクトで何を選択するかを指定できません。そのため、2つのグループを作成することにしました。ユーザーごとに1つ管理とグループ管理用です。
最初のものはこのステップを必要としました:
Delegate Control
を選択しますNext
をクリックしますNext
を押しますCreate a custom task to delegate
を選択し、Next
を選択しますOnly the following objects in the folder
を選択し、リストの一番下に移動してUser objects
を選択します。 1つ以上のエントリを選択しても、変更するプロパティをきめ細かく選択できる可能性はありません。Create selected objects in this folder
がオンになっていることを確認し、Next
を押してください選択してください:
これにより、ユーザーを作成し、ユーザーを有効/無効にできますが、削除はできません。現在、ユーザーはグループメンバーシップを変更することができません。これは、別の方法で行う必要があるためです。
ユーザーオブジェクトで使用可能なACEを確認し、Delete
ACEを除いて必要なものを委任する必要があります。
ただし、これらの種類の権限は、オブジェクトを削除しないように信頼できる人にのみ付与することをお勧めします。確かに事故はありますが、前述したように、バックアップやその他の方法(偶発的な削除を防ぐ、ADのごみ箱)から回復する方法があります。