Назад | Перейти на главную страницу

Учетная запись для чтения AD, присоединения машины к домену, удаления учетных записей компьютеров и перемещения компьютеров в подразделения.

Я хочу создать учетную запись, которая будет выполнять следующие действия:

Я не хочу позволять ему делать что-либо еще, поэтому мне не нужна учетная запись администратора домена.

Может ли кто-нибудь направить меня в правильном направлении с точки зрения разрешений? Не уверены, следует ли использовать мастер делегирования управления?

Привет,

Бен

Мне действительно пришлось недавно настроить это для себя. У нас есть специальный код, который выполняет предварительную настройку компьютеров для новых компьютеров, когда они загружаются с помощью PXE и ​​запускаются как учетная запись службы.

  • Проверьте учетные записи компьютеров в AD

Любой пользователь в Пользователи домена группа должна иметь возможность делать это из коробки без каких-либо дополнительных разрешений, если вы не изменили разрешения по умолчанию в некоторых местах или не добавили запрещающие ACL для вещей.

  • Присоедините компьютеры к домену (не ограничено 10, как обычный пользователь)
  • Удалить компьютеры из AD
  • Перемещение компьютеров между подразделениями

Для них вы сначала должны решить, где вы хотите предоставить этот доступ. Просто предоставить разрешения в корне домена, но это не слишком мудро. Обычно у вас есть подразделение или набор подразделений, в которых находятся учетные записи компьютеров. Таким образом, вы должны применить следующие разрешения конкретно к этим контейнерам. Разрешения на присоединение компьютера к домену просто требуют возможности создать учетную запись компьютера и установить ее свойства. Для перемещения компьютера между подразделениями требуется возможность удалить учетную запись из одного места и создать ее в другом. С учетом всего сказанного, вот какие разрешения вам необходимо предоставить каждому OU:

  • Этот объект и все потомки
    • Создание объектов "Компьютер"
    • Удалить объекты компьютера
  • Дочерние компьютерные объекты
    • Читать все свойства
    • Напишите все свойства
    • Сменить пароль
    • Сброс пароля
    • Подтвержденная запись на имя хоста DNS
    • Подтвержденная запись в субъект-службу

У меня также есть дополнительный совет. Не предоставляйте эти разрешения непосредственно учетной записи службы. Создайте группу лайков Администраторы компьютеров и сделайте учетную запись службы членом этой группы. Затем предоставьте разрешения группе. Таким образом, если у вас есть дополнительные учетные записи людей или служб, которым требуются такие же разрешения, вам нужно всего лишь изменить членство в группе.

Создайте группу, например, «администраторы компьютеров», затем откройте оснастку MMC «Active Directory Users & Computers», щелкните правой кнопкой мыши подразделение, в котором вы хотите, чтобы они предоставили права, если вы хотите предоставить им права для всего домена, затем щелкните правой кнопкой мыши имя домена, выберите делегировать контроль вариант.

в появившемся мастере выберите группу, которую вы создали ранее «администраторы компьютеров», нажмите «Далее», затем нажмите Создать настраиваемую задачу для делегирования затем щелкните "Далее".

затем выберите "в папке только следующие объекты" затем отметьте "компьютерные объекты" из списка, а также отметьте два поля внизу. "создать выбранный объект в папке" и "удалить выбранный объект в папке" Нажмите кнопку "Далее.

На следующем экране выберите "Полный контроль" из списка, затем нажмите Далее

На следующем экране отобразится сводка делегирования, затем нажмите «Готово».

После этого добавьте одного из пользователей в группу «администраторы компьютеров» и попробуйте выполнить различные задачи, которые вы хотите.

Да, вам следует использовать делегирование управления. Хотя я мог бы шаг за шагом объяснить, как это сделать, есть более простое решение. Загрузить и установить ADManagerPlus от ManageEngine и используйте их инструмент делегирования AD, чтобы настроить все для себя. У них есть предопределенные роли службы поддержки, которые вы можете использовать для предоставления соответствующего доступа соответствующим пользователям. Взгляните на роль Modifiy Computers, поскольку я считаю, что это то, что вы ищете.

Вы можете создать для них специальный mmc «Taskpad», например: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

В основном это настроенная версия MMC, которая заблокирована для использования определенных элементов управления, таких как создание пользователей, создание компьютеров и т. Д. В зависимости от настроек / разрешений делегирования определяет, что они могут делать оттуда.