管理者以外が選択したドメイングループのメンバーシップを管理できるようにするにはどうすればよいですか?
私はWindows Server 2012を使用していますが、Active Directoryはオンで機能しています。私たちが管理するすべてのプロジェクトには2つの専用グループがあり、1つはすべての関連ファイル(請求書、タイムテーブル、プロジェクトを管理するために必要なすべてのものを含む)へのアクセス権を持つマネージャー向けであり、少なくとも私はすべてのアニメーションGIF知っている)そして、プロジェクト自体のファイルのみにアクセスできるプロジェクトで実際に作業している人々のためのもの。
一部のプロジェクトマネージャーに、プロジェクトへのファイルアクセスを許可するグループのメンバーシップを制御させる必要があります。グループの他の側面を編集できないようにする必要があります。そして、理想的には、何らかの方法でGUIを使用する必要があります。そのように説明するのは十分難しいためですが、最悪のシナリオではスクリプトを作成できます。
管理グループを「管理者がメンバーリストを更新できる」を有効にして、管理グループの「管理者」タブに追加しましたが、これは非常に簡単に見えました。だが..
- 管理グループにユーザーリスト全体を表示させますか?もしそうなら、どうですか?
- 管理グループのメンバーは、グループメンバーシップを編集するためにどのように、どこにログインする必要がありますか?
ManagedBy属性を指定して、[マネージャーがメンバーシップリストを更新できる]チェックボックスをオンにします。 (これにより、Member属性の書き込み権限が付与されます。)
グループを編集する必要がある人は、DSQueryウィジェットを使用してそれを実行できる場合があります。そのために、次のショートカットを作成できます。
rundll32 dsquery,OpenQueryWindow
ADユーザーとコンピューターと同様にグループを検索し、プロパティを編集して、メンバーを追加できます。
Outlookでこれを行うことは可能ですが(グループがメールが有効な場合)、複数のドメイン環境がある場合はさらに脆弱になる可能性があります。
Windows 10(およびWindows 8と同様)では、ファイルエクスプローラーを開き、左側のナビゲーションペインから[ネットワーク]を選択し、ウィンドウの上部にあるリボンに表示される[ネットワーク]タブを選択して、[アクティブな検索]を選択します。ディレクトリオプション。その後、ユーザーは、メンバーを更新および追加/削除する権限を持つADグループを検索できるはずです。