Active DirectoryでOUを作成/変更/削除するアクセス許可を1つのアカウントに与えるにはどうすればよいですか?
私はアカウントを持っていて、管理者権限を付与したくありません。OU、ユーザー、およびグループを作成するためだけです。問題は、アカウントオペレーターがOUを作成できないことです。この目的でグループを追加するにはどうすればよいですか?または、アカウントオペレーターグループの権限を変更できますか?
ドメインはWindows Server 2003で作成されています。
これを実際に行うには2つの方法があります。
上記のように、Active Directoryユーザーとコンピューターコンソールに移動し、ドメイン全体を覆うドメインのすぐ下にOUを作成してから、デリゲートコントロールWizardを使用して、ユーザーまたはグループにアクセス許可を提供します必要に応じて、このツールを見つけることができます。問題のOUを右クリックしてください。通常、組織上の理由から、グループを作成し、OUとグループを管理する必要があるそのグループ内のすべてのユーザーをネストすることをお勧めします。これは、さらに、ベースディストリビューションを変更することなく、これらの権限を持つユーザーをすばやく削除できます。
Active Directoryユーザーとコンピューターの[表示]メニューに移動し、[詳細機能]オプションを有効にします。次に、上で提案したように作成したベースドメインOUまたはセカンダリOUを右クリックして、プロパティに移動します。各OUの詳細表示を使用すると、独自のセキュリティタブが表示されます。そこから各セキュリティグループに移動し、グループまたはユーザーに基づいてそれらのOUのアクセス許可を細かく変更できます。セキュリティの詳細表示に入ると、各アクセス許可を各コンポーネントに分解し、必要に応じて具体的または公開的に変更できます。
常に最小限の特権に基づいてActive Directoryでタスクを委任するようにしてください。
委任するタスクについては、Create Child-User Objects、Create Child-Group Objects、およびCreate-Child Organizational Unit権限のみを付与する必要があります。
そのためには、ドメインオブジェクトのすぐ下にOUを作成し、アクセスを委任するグループを作成してから、上記のLaranostzで説明されている手順を使用して、上記の3つのアクセス許可をOUに付与します。
これらのタスクを委任した後、委任を確認する必要もあります。詳細については、委任を確認する方法- http://www.activedirsec.com/how_to_verify_delegations.html
「ADのゴールドフィンガー」と呼ばれる委任の確認に役立つツールもあります。これは以前の Microsoft Security Expert によって設計されたものであり、Microsoftによっても承認されていると思います。
免責事項:私は上記のツールのベンダーとは関係ありません。私はこのツールを使用していて、それを高く評価しているので、委任を検証することが重要であるため、それについて言及します。
Active Directoryの委任機能をご覧ください。ドメインにOUを作成し、ドメインレベルではなくそのOUレベルで委任します。これにより、ユーザーはこのOU内でのみOUを作成するようにロックされます。委任ウィザードの高度な権限の部分に入る必要があると思います。