Come permettere a alcuni utenti (non amministratori) di modificare properties; di indirizzo / telefono per tutti gli utenti di AD?

Devo consentire alle persone HR di modificare alcuni attributi per tutti gli utenti di Active Directory (numbers di telefono, indirizzo e informazioni di contatto simili), senza dargli completa diritti amministrativi. Hanno bisogno del diritto di modificare tali attributi su tutti gli account utente, indipendentemente dall'OU in cui si trovano, e questa impostazione di protezione dovrebbe essere applicata automaticamente a nuovi account utente quando vengono creati.

Come posso realizzare questo?

  • Comandi di script utili di accesso
  • Come posso accedere a un account utente in un dominio senza distruggere la password utente?
  • LDAP, Active Directory
  • Perché un controller di dominio includerebbe un rollback di USN dopo un arresto impuro?
  • Distribuzione di file utilizzando una politica di gruppo in Windows Server 2003
  • Autenticazione SSSD al dominio di Windows senza @ domain.com ovunque
  • 2 Solutions collect form web for “Come permettere a alcuni utenti (non amministratori) di modificare properties; di indirizzo / telefono per tutti gli utenti di AD?”

    Si desidera utilizzare l'opzione Delegate Permissions in Utenti e computer di Active Directory. È ansible applicare la delegazione a qualsiasi OU che desideri, inclusa la radice del dominio.

    Ciò consentirà di debind qualsiasi authorization a livello di attributo a qualsiasi utente / gruppo definito.

    Queste autorizzazioni si applicano come tutte le altre e rispettano l'inheritance;.

    In ADUC, la procedura guidata di Delegazione del controllo vi consente di eseguire questa operazione, utilizzando un'operazione personalizzata per la delegazione. Seleziona solo i campi che desideri che possano avere l'accesso in scrittura.

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.