Добрый день. Хочу предоставить сотрудникам технической поддержки доступ к AD, расположенному на контроллере домена.
Самим сотрудникам я выдал права в самом AD, но вот оснастку они запустить не могут, так как требуются права администратора, которых у них нет на этом сервере.
Как возможно решить этот вопрос? Чтобы не добавлять роль администратора домена, но при этом чтобы был доступ к AD (для заведения пользователей). Выносить оснастку за контроллер домена не получится, так как на нее завязываются другие сервисы, которые работают только на контроллере и необходимы для заведения пользователей.
У нас дополнительно работает сервис, который позволяет создавать почтовые ящики прямо из AD. И этот сервис устанавливается только на контроллер домена, по RSAT работать не будет. Потому и говорю, что выносить не получится.
MaxKozlov, Это сервис Kerio Connect, который позволяет при заведении пользователя создать почтовый ящик. И да, он просит установку только на контроллере домена.
Jurasz этот сервис создает ящики в какой такой почте? Если в сторонней, такому сервису достаточно иметь доступ по LDAP и права на управление пользователями (роль account operator), если в Exchange, то когда-то давно я создавал ПЯ для пользователей в AD путем записи атрибута legacyExchangeDN, это работало при наличии прав откуда угодно. Имхо ваш керио зажрался и просит себе больше, чем нужно.
MaxKozlov, Kerio впиливает свою вкладку в стандартный диалог создания нового пользователя AD через установку Kerio Active Directory Extension на сервер с ролью Schema Master.
MaxKozlov, по ссылке написано, что не работает - типа установщик падает
- Kerio Active Directory Extensions (KADE) installer failed to run on Microsoft Windows 10 even if Remote Server Administration Tools (RSAT) are installed.
Простой
Средний
