Como permitir que não administradores gerenciem a associação de grupos de domínio selecionados?

12

Estou no Windows Server 2012, o Active Directory está ativado e funcionando. Todo o projeto que gerenciamos possui 2 grupos dedicados, um para gerentes com acesso a todos os arquivos relacionados (incluindo faturas, calendários e tudo o que eles precisam para gerenciar o projeto), ou pelo menos eu acho que poderia ser um monte de gifs animados para todos os que eu saber) e um para as pessoas que realmente trabalham no projeto com acesso apenas aos arquivos do próprio projeto.

Eu preciso permitir que alguns gerentes de projeto controlem a associação dos grupos que permitem acesso a arquivos em seus projetos. Eles não devem poder editar nenhum outro aspecto do grupo. E, idealmente, ele deve estar usando algum tipo de interface gráfica, porque será difícil o suficiente explicar dessa maneira, mas, no pior dos casos, posso criar um script.

Adicionei o grupo de gerenciamento à guia "Gerenciado por" do grupo gerenciado, com a opção "O gerente pode atualizar a lista de membros" ativada, e isso parecia bastante fácil. Mas..

  1. Devo deixar o grupo de gerenciamento ver a lista de usuários inteira? Se sim, como?
  2. Como e onde os membros do grupo de gerenciamento devem efetuar login para editar a associação do grupo?
Bardo
fonte

Respostas:

21

Você pode especificar o atributo managedBy e marcar a caixa "O gerente pode atualizar a lista de associação". (Isso concede permissão de gravação para o atributo Membro.)

As pessoas que precisam editar o grupo podem fazer isso com o widget DSQuery, para o qual você pode criar o seguinte atalho:

rundll32 dsquery,OpenQueryWindow

Eles podem procurar o grupo como em Usuários e computadores do AD, editar as propriedades e Adicionar membros.

Pode ser possível fazer isso com o Outlook (se o grupo estiver habilitado para email), mas isso pode ser mais frágil se você tiver um ambiente de domínio múltiplo.

Gerenciado por

insira a descrição da imagem aqui

Greg Askew
fonte
1
Graças a isso está funcionando perfeitamente, também deve ser fácil explicar as pessoas encarregadas de cada grupo. (Não vai ser, mas um cara ainda pode esperar)
Bard
2
Você também pode simplesmente digitar o nome exato do (s) grupo (s), realizar uma pesquisa e, em seguida, File>Save Searchenviar e enviar o arquivo .qds para eles colocarem na área de trabalho.
Fütemire
3

No Windows 10, (assim como no Windows 8, acredito), você pode abrir o File Explorer, selecionar Rede no painel de navegação esquerdo, selecionar a guia Rede que aparece na faixa de opções na parte superior da janela e escolher a opção Pesquisar ativo Opção de diretório. Um usuário deve poder procurar um grupo do AD com permissões para atualizar e adicionar / remover membros.

Josh Kammerud
fonte
Isso funciona no Windows 7 também.
Tridus