Bagaimana cara membiarkan non-admin mengelola keanggotaan grup domain terpilih?

12

Saya menggunakan Windows Server 2012, Active Directory aktif dan berfungsi. Semua proyek yang kami kelola memiliki 2 grup khusus, satu untuk manajer dengan akses ke semua file terkait (termasuk faktur, jadwal, dan apa pun yang mereka butuhkan untuk mengelola proyek, atau setidaknya saya kira, itu bisa berupa sekelompok animasi gif untuk semua yang saya tahu) dan satu untuk orang-orang yang benar-benar mengerjakan proyek dengan akses hanya ke file proyek itu sendiri.

Saya perlu membiarkan beberapa manajer proyek mengontrol keanggotaan grup yang memungkinkan akses file ke proyek mereka. Mereka seharusnya tidak dapat mengedit aspek lain dari grup. Dan idealnya harus menggunakan semacam GUI, karena akan cukup sulit untuk menjelaskannya seperti itu, tetapi skenario terburuk saya bisa skrip satu.

Saya menambahkan grup pengelola ke tab "Dikelola Oleh" pada grup yang dikelola, dengan "Manajer dapat memperbarui daftar keanggotaan", dan ini terlihat cukup mudah. Tapi..

  1. Haruskah saya membiarkan grup pengelola membiarkan melihat seluruh daftar pengguna? Jika ya, bagaimana caranya?
  2. Bagaimana dan di mana anggota grup pengelola harus login untuk mengedit keanggotaan grup?
active-directory  group-policy  windows-server-2012-r2  groups 
Penyair
sumber

Jawaban:

21

Anda dapat menentukan atribut managedBy, dan mencentang kotak "Manajer dapat memperbarui daftar keanggotaan". (Hibah ini menulis izin untuk atribut Anggota.)

Orang yang perlu mengedit grup mungkin dapat melakukannya dengan widget DSQuery, di mana Anda dapat membuat pintasan berikut:

rundll32 dsquery,OpenQueryWindow

Mereka dapat mencari grup seperti dengan Pengguna dan Komputer AD, kemudian mengedit properti, dan Tambahkan anggota.

Dimungkinkan untuk melakukan ini dengan Outlook (jika grup ini berkemampuan email), tetapi itu bisa lebih rapuh jika Anda memiliki beberapa lingkungan domain.

Dikelola oleh

masukkan deskripsi gambar di sini

Greg Askew
sumber
1
Terima kasih ini bekerja dengan sempurna, juga harus cukup mudah untuk menjelaskan kepada orang-orang yang bertanggung jawab atas masing-masing kelompok. (Tidak akan, tetapi seorang pria masih bisa berharap)
Bard
2
Anda juga bisa mengetikkan nama yang tepat dari grup, melakukan pencarian, lalu pergi ke File>Save Searchdan mengirimkan mereka file .qds untuk mereka tempatkan di desktop mereka.
Fütemire
3

Di Windows 10, (dan juga Windows 8, saya percaya), Anda dapat membuka File Explorer, pilih Network dari panel navigasi kiri, pilih Network Tab yang muncul di pita di bagian atas jendela, lalu pilih Search Active Opsi direktori. Seorang pengguna kemudian harus dapat mencari grup AD yang memiliki izin untuk memperbarui dan menambah / menghapus anggota.

Josh Kammerud
sumber
Ini berfungsi di Windows 7 juga.
Tridus
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.