Wie können Nicht-Administratoren die Mitgliedschaft ausgewählter Domänengruppen verwalten?

12

Ich arbeite unter Windows Server 2012, Active Directory ist aktiviert und funktioniert. Alle Projekte, die wir verwalten, haben zwei dedizierte Gruppen, eine für Manager, die Zugriff auf alle zugehörigen Dateien haben (einschließlich Rechnungen, Zeitplänen und allem, was sie zur Verwaltung des Projekts benötigen, oder zumindest denke ich, es könnte eine Reihe von animierten GIFs für alle sein, die ich verwende und eine für die Leute, die tatsächlich am Projekt arbeiten und nur auf die Dateien des Projekts selbst zugreifen.

Ich muss einigen Projektmanagern die Kontrolle über die Mitgliedschaft in den Gruppen geben, die den Dateizugriff auf ihre Projekte ermöglichen. Sie sollten keinen anderen Aspekt der Gruppe bearbeiten können. Und im Idealfall sollte eine GUI verwendet werden, da es schwierig genug ist, dies so zu erklären, aber im schlimmsten Fall kann ich ein Skript erstellen.

Ich habe die verwaltende Gruppe zur Registerkarte "Verwaltet von" der verwalteten Gruppe hinzugefügt und "Manager kann Mitgliederliste aktualisieren" aktiviert. Dies sah recht einfach aus. Aber..

  1. Soll ich die verwaltende Gruppe die gesamte Benutzerliste anzeigen lassen? Wenn das so ist, wie?
  2. Wie und wo sollten sich die verwaltenden Gruppenmitglieder anmelden, um die Gruppenmitgliedschaft zu bearbeiten?
Barde
quelle

Antworten:

21

Sie können das Attribut managedBy angeben und das Kontrollkästchen "Manager kann Mitgliederliste aktualisieren" aktivieren. (Dies gewährt Schreibberechtigung für das Attribut "Mitglied".)

Die Person (en), die die Gruppe bearbeiten müssen, können dies möglicherweise mit dem DSQuery-Widget tun, für das Sie die folgende Verknüpfung erstellen können:

rundll32 dsquery,OpenQueryWindow

Sie können wie bei AD-Benutzer und -Computer nach der Gruppe suchen, dann die Eigenschaften bearbeiten und Mitglieder hinzufügen.

Möglicherweise können Sie dies mit Outlook tun (wenn die Gruppe E-Mail-fähig ist). Wenn Sie jedoch über eine Umgebung mit mehreren Domänen verfügen, ist dies möglicherweise anfälliger.

ManagedBy

Bildbeschreibung hier eingeben

Greg Askew
quelle
1
Dank dieser Funktion sollte es auch einfach genug sein, den Verantwortlichen jeder Gruppe zu erklären. (Es wird nicht sein, aber ein Mann kann immer noch hoffen)
Bard
2
Sie können auch einfach die genauen Namen der Gruppe (n) File>Save Searcheingeben , eine Suche durchführen und ihnen dann die .qds-Datei senden, damit sie sie auf ihrem Desktop ablegen können.
Fütemire
3

In Windows 10 (und auch in Windows 8, glaube ich) können Sie den Datei-Explorer öffnen, im linken Navigationsbereich Netzwerk auswählen, die Registerkarte Netzwerk auswählen, die in der Multifunktionsleiste oben im Fenster angezeigt wird, und dann die Option Aktiv suchen auswählen Verzeichnisoption. Ein Benutzer sollte dann in der Lage sein, nach einer AD-Gruppe zu suchen, die über Berechtigungen zum Aktualisieren und Hinzufügen / Entfernen von Mitgliedern verfügt.

Josh Kammerud
quelle
Dies funktioniert auch in Windows 7.
Tridus