Я работаю в крупной компании, которая приобрела несколько дополнительных сайтов за последние 5 лет. Мы полностью интегрировали эти сайты в наш корпоративный сайт. Проблема, с которой я сейчас сталкиваюсь, заключается в том, что у большинства сайтов есть локальный администратор, и эти администраторы не всегда хорошо с нами ладят.
Итак, что происходит, иногда мы добавляем новые серверы и списываем старые серверы на этих сайтах без участия серверной команды. Я ищу способ ограничить привилегию присоединения к домену в зависимости от типа операционной системы. Поэтому я хочу ограничить все функции присоединения к домену сервера только серверной командой. Пользователи сайта по-прежнему должны иметь возможность добавлять рабочие станции в домен.
Если вы не хотите, чтобы эти люди присоединяли серверы к домену, вы, вероятно, не хотите, чтобы они были администраторами домена.
Вы можете предоставить им учетные записи с ограниченными разрешениями, которые просто имеют делегированные права на присоединение машин к домену в рамках замкнутой структуры OU и запускают отчеты о предпринятых там действиях для «перехвата» неавторизованных присоединений, но на самом деле это не техническая проблема; ваша проблема в том, что у вас есть люди с правами администратора домена, которым вы не доверяете управлять доменом, и лучший ответ всегда будет заключаться в том, чтобы отобрать права администратора у людей, которым нельзя доверять.