Среда: 1 сетевой сервер Win2008R2 (также контроллер домена) 13 рабочих станций или около того.
Традиционно мы всегда использовали учетные данные администратора сервера для присоединения рабочей станции к сети бизнес-домена или 13 рабочим станциям. Однако сейчас мы применяем политики паролей, и требуется, чтобы пароль администратора регулярно менялся.
Пароль учетной записи администратора сетевого сервера был изменен сегодня в результате применения этой политики.
Пароль моей учетной записи сетевого пользователя, который используется на моей рабочей станции, также пришлось обновить.
Я вышел из своей рабочей станции и вернулся после того, как меня попросили изменить пароль. Затем мне потребовалось ввести учетные данные администратора домена для доступа к домену. Я подозреваю, что это произошло из-за того, что был изменен пароль учетной записи администратора сервера.
Я думал, что, поскольку рабочая станция уже была добавлена в AD, ее запомнили, но учетные данные все равно нужно было ввести на рабочей станции.
Так что я подумал, что должен быть лучший / правильный способ сделать это.
Я думал, что могу создать пользователя с правами администратора домена только для этой цели и установить пароль, который никогда не истечет, но я думаю, что это, безусловно, побеждает цель, прежде всего, максимальную безопасность.
Итак, как лучше всего это сделать.
I.E. Какие учетные данные администратора домена необходимо ввести при первом добавлении / присоединении рабочей станции к сетевому домену?
Во всех статьях и видеороликах на YouTube, которые я видел до сих пор, говорится, что нужно войти в Администратор и его пароль.
Пожалуйста, дайте мне знать, если это требует дальнейшего расширения.
После того, как компьютер был присоединен к домену, ему не нужно повторно присоединяться к домену. После того, как учетная запись администратора подтвердила, что система должна быть добавлена в домен, вы можете удалить эту учетную запись администратора, и это не повлияет на компьютер, добавленный с помощью этой учетной записи.
Я не уверен, где пересекаются провода в вашем понимании, но они пересекаются.
Доверительные отношения между доменом и его рядовыми компьютерами НЕ предполагаются и не зависят от учетных записей администратора, используемых для совместной аутентификации различных систем.
Есть много способов решить эту проблему, некоторые из них хороши и должным образом ориентированы на безопасность, а некоторые нет. По этой причине этот вопрос действительно заслуживает более широкого обсуждения в формате открытого обсуждения. Однако вот два знакомых мне метода:
Каждый технический специалист с соответствующей ответственностью имеет две учетные записи пользователей домена: одну учетную запись обычного пользователя, которую они используют для входа на свой компьютер и выполнения большинства своих повседневных задач, а также другую учетную запись с разрешениями администратора домена, которые они используют для открытия инструменты и выполнять задачи, которые этого требуют. У учетной записи администратора более высокие требования к безопасности, более длинный пароль и более частые изменения. Но это принадлежит конкретному технику.
Когда требуются разрешения администратора домена, отправляется форма с указанием необходимости и необходимого времени. Временные учетные данные выдаются с разрешениями, ограниченными конкретными требованиями. Затем они удаляются после завершения задачи.
Бывают ситуации, когда каждый из них может быть уместным. Однако самый простой способ - это иметь два набора учетных данных для технического персонала, и каждый из них отвечает за их надлежащее использование.
Кроме того, создание общих учетных данных - ужасная, ужасная, нехорошая, очень плохая идея. Если их пароль никогда не истечет, это станет еще хуже. Я не знаю, каков ваш фон или опыт, но из контекста вашего вопроса я предполагаю, что вы не занимаетесь авторитетом в своей организации, и вам действительно следует поговорить с теми, кто знает, как лучше всего соблюдайте баланс между безопасностью и удобством.
В идеале каждый технический специалист / администратор должен иметь как минимум две (если не больше) учетные записи.
Соответственно, для присоединения компьютера к домену следует использовать учетную запись администратора рабочей станции технического специалиста. Общие учетные записи - следует использовать только в ситуациях, когда другой вариант недоступен. В качестве альтернативы я мог бы увидеть вариант, в котором инструмент автоматического удаления (например, SCCM или что-то в этом роде) мог бы использовать выделенную учетную запись без доступа, кроме присоединения компьютеров к домену в выделенном OU.
Чтобы он работал должным образом (кроме первых 10 подключенных рабочих станций), вы можете вернуться к этой статье: https://support.microsoft.com/en-us/help/932455/error-message-when-non-administrator-users-who-have-been-delegated-con (старое, но хорошее). Короче говоря, шаги
Уловка заключается в том, что учетная запись администратора рабочей станции должна быть членом группы «администраторов рабочей станции», оттуда весь доступ и разрешения должны предоставляться группе администраторов рабочей станции.
Обычно пользователи, которые могут добавить машину в домен Active Directory, являются членами Domain Admins Группа пользователей Active Directory.
Однако администраторы, не являющиеся администраторами домена, также могут добавлять машины, если им предоставлено соответствующее разрешение. Некоторые компании могут не хотеть, чтобы технические специалисты службы поддержки имели права администратора домена, но они хотят, чтобы они могли присоединять машины к домену. С соответствующими разрешениями это можно сделать. См. Этот Microsoft статья Чтобы получить больше информации.