Удобная штука для делегирования прав в Active Directory – Account Operators. Вроде и прав с достатком: заведение-изменение-удаление учетных записей, компьютеров, групп; а все еще не полноправен. Теперь уже в двух доменах из восьми вхожу в группу «Account Operators». Права делегировать-то делегировали, но потом как искать и смотреть, у кого и чего есть стало совсем не ясно. Странно, что раньше такой чудесной группой по не выясненным причинам не пользовались.
Довольно странная политика при централизации всех ИТ-систем – давать отличные права в разных доменах сотрудникам. Казалось бы, поддержка-то единая и везде должна быть. То есть, если ты в Domain Admins в одном домене, для выполнения служебных обязанностей нужно иметь права и в других доменах. Так почему бы не дать, где логика?
PS: Кстати, проникся идеей насчет того, что пользователя заводить и блокировать в AD просто обязаны в отделе кадров. Конечно не руками, а с помощью дополнительного спец. по. Ведь удобно получается. Устраивается человек на работу – вот тебе, мил человек, учетная запись плюс почта. Нужно что-то еще? Обращайся в тех. поддержку. Уволился, с документами пришел – все, прощай. Все чаще начинаю думать, что многие процессы сильно нуждаются в строгом регламентировании/стандартизации и оптимизации.