Làm cách nào để người không quản trị quản lý thành viên của các nhóm miền được chọn?

12

Tôi đang dùng Windows Server 2012, Active Directory đang hoạt động. Tất cả dự án chúng tôi quản lý có 2 nhóm chuyên dụng, một nhóm dành cho người quản lý có quyền truy cập vào tất cả các tệp có liên quan (bao gồm hóa đơn, thời gian biểu và bất cứ điều gì họ cần để quản lý dự án, hoặc ít nhất tôi đoán, đó có thể là một loạt các gifs hoạt hình cho tất cả tôi biết) và một cho những người thực sự làm việc trong dự án chỉ có quyền truy cập vào các tệp của chính dự án.

Tôi cần để một số người quản lý dự án kiểm soát tư cách thành viên của các nhóm cho phép truy cập tệp vào dự án của họ. Họ không thể chỉnh sửa bất kỳ khía cạnh nào khác của nhóm. Và lý tưởng là nó nên sử dụng một loại GUI nào đó, bởi vì nó sẽ đủ khó để giải thích nó theo cách đó, nhưng trường hợp xấu nhất tôi có thể viết kịch bản.

Tôi đã thêm nhóm quản lý vào tab "Được quản lý bởi" của nhóm được quản lý, với "Trình quản lý có thể cập nhật danh sách thành viên" được bật và điều này có vẻ đủ dễ dàng. Nhưng..

  1. Tôi có nên để nhóm quản lý xem toàn bộ danh sách người dùng không? Nếu vậy thì thế nào?
  2. Làm thế nào và ở đâu các thành viên nhóm quản lý nên đăng nhập để chỉnh sửa thành viên nhóm?
active-directory  group-policy  windows-server-2012-r2  groups 
Thi nhân
nguồn

Câu trả lời:

21

Bạn có thể chỉ định thuộc tính ManagedBy và chọn hộp "Trình quản lý có thể cập nhật danh sách thành viên". (Cấp quyền này cho phép viết thuộc tính Thành viên.)

Người cần chỉnh sửa nhóm có thể thực hiện điều đó với tiện ích DSQuery mà bạn có thể tạo lối tắt sau:

rundll32 dsquery,OpenQueryWindow

Họ có thể tìm kiếm nhóm như với Người dùng và Máy tính AD, sau đó chỉnh sửa các thuộc tính và Thêm thành viên.

Có thể thực hiện việc này với Outlook (nếu nhóm được kích hoạt bằng thư), nhưng điều đó có thể dễ vỡ hơn nếu bạn có môi trường nhiều miền.

ManagedBy

nhập mô tả hình ảnh ở đây

Greg Askew
nguồn
1
Cảm ơn điều này đang hoạt động hoàn hảo, nó cũng đủ dễ dàng để giải thích cho những người phụ trách của mỗi nhóm. (Sẽ không như vậy, nhưng một chàng trai vẫn có thể hy vọng)
Bard
2
Bạn cũng có thể chỉ cần nhập tên chính xác của (các) nhóm, thực hiện tìm kiếm, sau đó đi đến File>Save Searchvà gửi cho họ tệp .qds để họ đặt trên màn hình của họ.
Fütemire
3

Trong Windows 10, (cũng như Windows 8, tôi tin), bạn có thể mở File Explorer, chọn Mạng từ ngăn điều hướng bên trái, chọn Tab Mạng xuất hiện trong ruy-băng ở đầu cửa sổ, sau đó chọn Tìm kiếm hoạt động Tùy chọn thư mục. Sau đó, người dùng có thể tìm kiếm nhóm AD có quyền cập nhật và thêm / xóa thành viên.

Josh Kammerud
nguồn
Điều này cũng hoạt động trong Windows 7.
Tridus
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.