如何让非管理员管理所选域组的成员身份？

我在Windows Server 2012上，Active Directory处于运行状态。我们管理的所有项目都有2个专门的小组，一个小组供经理访问所有相关文件（包括发票，时间表以及他们管理项目所需的任何东西），或者至少我想，对于我来说，这可能是一堆动画gif知道），并为实际从事该项目的人员提供一个权限，该人员只能访问项目本身的文件。

我需要让一些项目经理控制允许文件访问其项目的组的成员身份。他们应该不能编辑组的任何其他方面。理想情况下，它应该使用某种GUI，因为用这种方式很难解释它，但是在最坏的情况下，我可以编写一个。

我将管理组添加到管理组的“管理者”选项卡，并启用了“经理可以更新成员资格列表”，这看起来很容易。但..

1. 我应该让管理组看到整个用户列表吗？如果是这样，怎么办？
2. 管理组成员应如何以及在何处登录以编辑组成员身份？

您可以指定managedBy属性，然后选中“经理可以更新成员资格列表”框。（这将授予对Member属性的写权限。）

需要编辑组的人员可以使用DSQuery小部件来完成此操作，您可以为其创建以下快捷方式：

rundll32 dsquery,OpenQueryWindow

他们可以像使用AD用户和计算机一样搜索组，然后编辑属性并添加成员。

可以使用Outlook（如果该组启用了邮件）来执行此操作，但是如果您具有多域环境，则可能更脆弱。

在Windows 10（以及Windows 8）中，您可以打开“文件资源管理器”，从左侧导航窗格中选择“网络”，选择出现在窗口顶部功能区中的“网络”选项卡，然后选择“搜索活动”目录选项。然后，用户应该能够搜索其有权更新和添加/删除成员的AD组。