Создайте группу безопасности, которая может повысить рядовой сервер до контроллера домена, не входя в группу администраторов домена.
Я пытаюсь найти способ делегировать разрешение группе безопасности на добавление контроллеров домена в домен. Загвоздка в том, что я не хочу добавлять их в группы администраторов домена или администраторов предприятия. Кто-нибудь пробовал это раньше и что вы сделали, чтобы успешно реализовать?
Я пытаюсь достичь этого https://technet.microsoft.com/en-us/library/cc773327%28v=ws.10%29.aspx
Я предоставляю все права ниже определенной группе безопасности, что я и сделал. Проблема в том, что я не хочу, чтобы эти администраторы имели права администратора домена для добавления машин, пользователей и пользователей, что они и получат, если я добавлю их в группу администраторов домена. Я пробовал использовать группы с ограниченным доступом ... Делегирование безопасности, но несмотря ни на что, единственный способ разрешить им добавлять реплики в домен - это дать им права администратора домена. Идеальный мир был бы ... поместите группу "задачи установки" в группу администраторов для серверов, но не связывайте эту связь с администратором домена ... Надеюсь, это имеет смысл.
Пользователь должен быть членом группы администраторов на продвигаемом рядовом сервере.
Объект crossRef в CN = Partitions, CN = Configuration, DC = должен быть предварительно создан.
Наследуемые RP на CN = Серверы, CN =, CN = Сайты, CN = Конфигурация, DC =
Наследуемые CC на CN = Серверы, CN =, CN = Сайты, CN = Конфигурация, DC =
CC на OU = контроллеры домена, DC = для создания объектов компьютера
Полный доступ к объекту "Компьютер" для продвигаемого сервера
Полный доступ для «Создателя-владельца» на CN =, CN = Sites, CN = Configuration, DC =
Расширенная правая репликация DS-Get-Changes на CN = Configuration, DC =
Расширенная правая репликация DS-Get-Changes на CN = Схема, CN = Конфигурация, DC =
Расширенная правая репликация DS-Replication-Get-Changes-All на CN = Configuration, DC =
Расширенная правая репликация DS-Replication-Get-Changes-All на CN = Схема, CN = Конфигурация, DC =
Расширенная правая DS-репликация-управление-топология на CN = Configuration, DC =
Расширенная правая репликация DS-топология управления на CN = схема, CN = конфигурация, DC =
Расширенная правая DS-репликация-топология монитора на CN = Конфигурация, DC =
Расширенная правая DS-репликация-топология монитора на CN = схема, CN = конфигурация, DC =
Расширенная правая репликация DS-синхронизация на CN = Конфигурация, DC =
Расширенная правая репликация DS-синхронизация на CN = схема, CN = конфигурация, DC =
На самом деле это довольно распространено в более крупных средах, где для административных учетных записей может быть отдельный домен или лес. В этом случае вы определенно не сможете добавить их в список администраторов домена и, вероятно, не хотите, чтобы все были в группе администраторов предприятия.
У Пола Уильямса была хорошая статья, в которой описаны различные объекты и необходимые разрешения. К сожалению, эта ссылка не работает, но вы все еще можете просмотреть ее на машине возврата.
