Comment permettre aux non-administrateurs de gérer l'appartenance aux groupes de domaines sélectionnés?

12

Je suis sur Windows Server 2012, Active Directory est activé et fonctionne. Tous les projets que nous gérons ont 2 groupes dédiés, un pour les gestionnaires ayant accès à tous les fichiers associés (y compris les factures, les calendriers et tout ce dont ils ont besoin pour gérer le projet, ou du moins je suppose, ce pourrait être un tas de gifs animés pour tout ce que je savoir) et un pour les personnes qui travaillent réellement sur le projet avec accès aux seuls fichiers du projet lui-même.

Je dois laisser certains chefs de projet contrôler l'appartenance aux groupes qui autorisent l'accès aux fichiers à leurs projets. Ils ne devraient pas pouvoir modifier tout autre aspect du groupe. Et idéalement, il devrait utiliser une interface graphique quelconque, car il sera assez difficile de l'expliquer de cette façon, mais dans le pire des cas, je peux en créer un.

J'ai ajouté le groupe de gestion à l'onglet "Géré par" du groupe géré, avec "Le gestionnaire peut mettre à jour la liste des membres" activé, et cela semblait assez facile. Mais..

  1. Dois-je laisser le groupe de gestion voir la liste complète des utilisateurs? Si c'est le cas, comment?
  2. Comment et où les membres du groupe gestionnaire doivent-ils se connecter pour modifier l'appartenance au groupe?
Barde
la source

Réponses:

21

Vous pouvez spécifier l'attribut managedBy et cocher la case "Le gestionnaire peut mettre à jour la liste des membres". (Cela accorde une autorisation d'écriture pour l'attribut Member.)

Les personnes qui doivent modifier le groupe peuvent le faire avec le widget DSQuery, pour lequel vous pouvez créer le raccourci suivant:

rundll32 dsquery,OpenQueryWindow

Ils peuvent rechercher le groupe comme avec Utilisateurs et ordinateurs AD, puis modifier les propriétés et Ajouter des membres.

Il peut être possible de le faire avec Outlook (si le groupe est à extension messagerie), mais cela peut être plus fragile si vous avez un environnement à plusieurs domaines.

Dirigé par

entrez la description de l'image ici

Greg Askew
la source
1
Merci, cela fonctionne parfaitement, cela devrait aussi être assez facile à expliquer aux responsables de chaque groupe. (Ce ne sera pas le cas, mais un gars peut toujours espérer)
Bard
2
Vous pouvez également taper le nom exact du ou des groupes, effectuer une recherche, puis aller File>Save Searchet leur envoyer le fichier .qds à placer sur leur bureau.
Fütemire
3

Dans Windows 10, (ainsi que Windows 8, je crois), vous pouvez ouvrir l'Explorateur de fichiers, sélectionner Réseau dans le volet de navigation de gauche, sélectionner l'onglet Réseau qui apparaît dans le ruban en haut de la fenêtre, puis choisir la recherche active Option de répertoire. Un utilisateur doit alors être en mesure de rechercher un groupe AD pour lequel il a les autorisations de mettre à jour et d'ajouter / supprimer des membres.

Josh Kammerud
la source
Cela fonctionne également dans Windows 7.
Tridus