¿Cómo permitir que los no administradores administren la membresía de grupos de dominio seleccionados?

12

Estoy en Windows Server 2012, Active Directory está encendido y funcionando. Todos los proyectos que administramos tienen 2 grupos dedicados, uno para gerentes con acceso a todos los archivos relacionados (incluidas las facturas, los horarios y todo lo que necesiten para administrar el proyecto, o al menos supongo que podría ser un montón de gifs animados para todos saber) y una para las personas que realmente trabajan en el proyecto con acceso solo a los archivos del proyecto en sí.

Necesito dejar que algunos gerentes de proyecto controlen la membresía de los grupos que permiten el acceso a archivos a sus proyectos. No deberían poder editar ningún otro aspecto del grupo. E idealmente debería usar una GUI de algún tipo, porque será lo suficientemente difícil de explicar de esa manera, pero en el peor de los casos, puedo escribir uno.

Agregué el grupo de gestión a la pestaña "Gestionado por" del grupo gestionado, con "El administrador puede actualizar la lista de miembros" habilitado, y esto parecía bastante fácil. Pero..

  1. ¿Debo dejar que el grupo de gestión vea la lista completa de usuarios? ¿Si es así, cómo?
  2. ¿Cómo y dónde deben iniciar sesión los miembros del grupo administrador para editar la membresía del grupo?
active-directory group-policy windows-server-2012-r2 groups Bardo
fuente

Respuestas:

21

Puede especificar el atributo managedBy y marcar la casilla "El administrador puede actualizar la lista de miembros". (Esto otorga permiso de escritura para el atributo Miembro).

Las personas que necesiten editar el grupo pueden hacerlo con el widget DSQuery, para lo cual puede crear el siguiente acceso directo:

rundll32 dsquery,OpenQueryWindow

Pueden buscar el grupo como con Usuarios y equipos de AD, luego editar las propiedades y Agregar miembros.

Es posible hacer esto con Outlook (si el grupo está habilitado para correo), pero eso puede ser más frágil si tiene un entorno de dominio múltiple.

Gestionado por

ingrese la descripción de la imagen aquí

Greg Askew
fuente
1
Gracias, esto funciona perfectamente, también debería ser bastante fácil de explicar a los responsables de cada grupo. (No lo será, pero un chico todavía puede esperar)
Bardo
2
También puede simplemente escribir los nombres exactos de los grupos, realizar una búsqueda, luego ir File>Save Searchy enviarles el archivo .qds para que los coloquen en su escritorio.
Fütemire
3

En Windows 10, (así como en Windows 8, creo), puede abrir el Explorador de archivos, seleccionar Red en el panel de navegación izquierdo, seleccionar la pestaña Red que aparece en la cinta en la parte superior de la ventana, luego elegir Buscar activo Opción de directorio. Un usuario debería poder buscar un grupo de AD que tenga permisos para actualizar y agregar / eliminar miembros.

Josh Kammerud
fuente
Esto también funciona en Windows 7.
Tridus