web-dev-qa-db-ja.com

セキュリティグループメンバーがActive Directoryの他のグループメンバーシップを管理できるようにする方法

会社で使用されるActive Directoryのいくつかの側面を管理するためにカスタムアプリケーションで使用されるuser1というサービスユーザー(Active Directoryの通常のユーザー)がいます。

AD Operatorsが追加されたuser1というセキュリティグループを作成しました。

Active Directory内の他のグループメンバーシップを管理できるようにするには、user1が必要です。このため、問題のあるすべてのグループに、[管理者]タブからAD Operatorsグループをマネージャーとして追加しました。また、「マネージャーはメンバーシップリストを更新できる」チェックボックスをオンにしました。

ただし、コードがuser1の認証情報で実行され、更新されたグループメンバーシップリストを保存しようとすると、ADからアクセス拒否エラーが表示されます。しかし、user1グループ全体を指定する代わりに、「[Managed By]」でグループマネージャーとしてAD Operatorsを指定すると、同じコードでグループを正しく更新できます

特定のセキュリティグループメンバーがAD内の他のグループのメンバーシップを管理できるようにするにはどうすればよいですか?

enter image description here

active-directorypermissions
1
Maxim V. Pavlov

これは、求めている管理委任を提供するための適切なインターフェースではない場合があります。グループメンバーシップの管理を制御する適切な方法は、制御の委任ウィザードを使用して制御を委任することです。

このツールとインターフェイスを使用して、 "AD Operators"セキュリティグループに "メンバーの書き込み"許可を与える必要があります。または-ウィザードの指示に従っている場合-「グループのメンバーシップを変更する」共通タスクを選択できます。

いくつかの注意点に注意してください:

  • 委任はコンテナ/ OUレベルで行われます。
  • ディレクトリオブジェクトのアクセス許可は、通常、ファイルシステムのアクセス許可と同じように流れ、継承されます。
1
Semicolon