В текущей заметке я пошагово распишу, как делегировать для Ваших младших системных администраторов, права на разблокировку учётных записей так и на их изменение пароля. Все дальнейшие действия я буду производить на доме polygon.local на базе операционной системы Windows Server 2008 R2 Standard.
Итак, заходим на домен контроллер (dc1.polygon.local) под учётной записью (ekzorchik) обладающей правами Domain Admins (Администраторы домена), проверяем, что это действительно так, в командной строке запустите следующую команду:
C:\Windows\system32>whoami
polygon\ekzorchik
Запускаем оснастку управления Active Directory Users and Computers:
«Start» – «Control Panel» – «Administrative Tools» – «Active Directory Users and Computers», далее создадим группу в которую будут входить делегированные системные администраторы которым предоставим права: разблокировка учётных записей и смена паролей.
Назовём её: IT_DelegateAdmin
Открываем наш домен, правой кнопкой мыши на контейнере IT (в него входят все пользователи) запускаем пункт настройки “Delegate Control”
См. скриншот для наглядности.
Нажимаем «Next» (Продолжить) – Выбираем пользователя или группу кому предоставляем права, в нашем случае это будет созданная группа “IT_DelegateAdmin“.
Продолжаем, нажав «Next»
«Create a custom task to delegate» – «Only the following objects in the folder» – выбираем пункт “User objects”
Отмечаем, какие предоставляемые разрешения нужно будет дать:
«General» + «Property-specific»
Следует поставить галочки у следующих пунктов:
Reset Password
Read pwdLastSet
Write pwdLastSet
Read userAccountControl
Write userAccountControl
Вот собственно и всё, нажимаем Next и Finish. Теперь, чтобы проверить, что у нас всё работоспособно, следует на рабочих станциях Ваших делегированных администраторах установить пакет под названием AdminPack, применительно к:
Windows XP: http://www.microsoft.com/en-us/download/confirmation.aspx?id=16770
Windows 7: Установка AdminPack for Windows 7 x86 / x64.
И запустить оснастку «Start» – «Control Panel» – «Administrative Tools» -«Active Directory Users and Computers», выбрать контейнер и на внутренних пользователях произвести требуемые действия: разблокировка учётных записей или смена пароля.