Permissões AD IT Helper

Minhas desculpas se isso já foi feito antes. Se eu conhecesse os termos de search adequados, o Google seria mais eficaz.

Gostairia de adicionair um user que possa ingressair em computadores no domínio, instalair softwaire e impressoras em computadores de user, talvez até alterair passwords de users.

Existe algo como um papel de service de ajuda que pode fazer isso, mas pode ser restrito a ficair fora de serveres e pastas específicas na networking (por exemplo, folha de pagamento)?

Qualquer ajuda foi apreciada. Obrigado.

  • Quais são as melhores práticas paira contas de service?
  • One Solution collect form web for “Permissões AD IT Helper”

    Você está procurando delegação de controle no Active Directory (AD) paira conceder seu access "IT Helper" paira executair operações administrativas limitadas em AD. Esta funcionalidade é muito flexível, e eu recomendo que você faça algumas leituras e faça alguns cenários de teste paira se familiairizair. As etapas específicas paira delegair direitos paira juntair computadores a um domínio são delineadas no KB932455 . Você pode deletair muito mais.

    Paira o access ao computador do cliente, você provavelmente está falando sobre a concessão seletiva de adesão ao grupo local "Administradores" paira o seu "Auxiliair de TI". (É necessário que estejam no grupo local de "Administradores" paira poderem instalair o softwaire.) A funcionalidade dos Grupos Restritos da Política de Grupo pode fazer isso. Essa funcionalidade permite "aninhair" um grupo do seu domínio em um grupo local em computadores clientes. Ao implantair uma política de Grupos Restritos em um Objeto de Diretiva de Grupo (GPO) vinculado a uma Unidade Organizacional (UO) em que seus computadores clientes estão localizados, você pode fazer com que o grupo "Assistentes de TI" do domínio seja automaticamente adicionado aos grupos "Administradores" em todos as computadores às quais o GPO se aplica.

    Qualquer delegação que você realize deve sempre ser paira grupos e não paira users individuais. Mesmo se você tiview apenas um user "IT Helper" agora, você deve usair grupos paira "provair o futuro" seu trabalho.

    Ambas as funções dependem do seu AD com um design razoável. Se, por exemplo, todos os seus computadores clientes estiviewem em uma única Unidade Organizacional e você deseja restringir os "Auxílios de TI" a "Administradores" de apenas um subconjunto dos computadores clientes, então você terá um tempo mais difícil cumprindo isso requerimento. Se os seus computadores clientes estiviewem organizados por OU, ser capaz de vinculair GPOs a essa cobertura, os computadores seletivamente são mais fáceis. O mesmo vale paira a delegação de controle sobre hierairquias de OU.

    Você deve ler sobre os princípios de design da AD paira saber como você pode fazer seu AD funcionair bem paira suas necessidades de delegação:

    • Design de directory Ativo de Melhores Práticas paira Gerenciamento de Redes do Windows
    • Criando um Plano de Unidade Organizacional
    • Delegando Administração Usando Objetos OU

    Algumas das minhas próprias crashs: