web-dev-qa-db-fra.com

Comment permettre aux non-administrateurs de gérer l'appartenance aux groupes de domaines sélectionnés?

Je suis sur Windows Server 2012, Active Directory est activé et fonctionne. Tous les projets que nous gérons ont 2 groupes dédiés, un pour les gestionnaires ayant accès à tous les fichiers associés (y compris les factures, les calendriers et tout ce dont ils ont besoin pour gérer le projet, ou du moins je suppose, cela pourrait être un tas de gifs animés pour tout ce que je savoir) et un pour les personnes qui travaillent réellement sur le projet avec accès aux seuls fichiers du projet lui-même.

Je dois laisser certains chefs de projet contrôler l'appartenance aux groupes qui autorisent l'accès aux fichiers à leurs projets. Ils ne devraient pas pouvoir modifier tout autre aspect du groupe. Et idéalement, il devrait utiliser une interface graphique quelconque, car il sera assez difficile de l'expliquer de cette façon, mais dans le pire des cas, je peux en créer un.

J'ai ajouté le groupe de gestion à l'onglet "Géré par" du groupe géré, avec "Le gestionnaire peut mettre à jour la liste des membres" activé, et cela semblait assez facile. Mais..

  1. Dois-je laisser le groupe de gestion voir la liste complète des utilisateurs? Si c'est le cas, comment?
  2. Comment et où les membres du groupe gestionnaire doivent-ils se connecter pour modifier l'appartenance au groupe?
active-directorygroup-policywindows-server-2012-r2groups
12
Bard

Vous pouvez spécifier l'attribut managedBy et cocher la case "Le gestionnaire peut mettre à jour la liste des membres". (Cela accorde une autorisation d'écriture pour l'attribut Member.)

Les personnes qui doivent modifier le groupe peuvent le faire avec le widget DSQuery, pour lequel vous pouvez créer le raccourci suivant:

rundll32 dsquery,OpenQueryWindow

Ils peuvent rechercher le groupe comme avec Utilisateurs et ordinateurs AD, puis modifier les propriétés et Ajouter des membres.

Il peut être possible de le faire avec Outlook (si le groupe est à extension messagerie), mais cela peut être plus fragile si vous avez un environnement à plusieurs domaines.

ManagedBy

enter image description here

22
Greg Askew

Dans Windows 10, (ainsi que Windows 8, je crois), vous pouvez ouvrir l'Explorateur de fichiers, sélectionner Réseau dans le volet de navigation de gauche, sélectionner l'onglet Réseau qui apparaît dans le ruban en haut de la fenêtre, puis choisir la recherche active Option de répertoire. Un utilisateur doit alors être en mesure de rechercher un groupe AD pour lequel il est autorisé à mettre à jour et à ajouter/supprimer des membres.

3
Josh Kammerud