Chcę utworzyć konto, które wykona następujące czynności:
- Dołącz komputery do domeny (nieograniczone do 10, jak zwykły użytkownik)
- Sprawdź konta komputerów w AD
- Usuń komputery z AD
- Przenieś komputery między jednostkami organizacyjnymi
Nie chcę pozwalać na nic innego, więc nie chcę konta administratora domeny.
Czy ktoś może poprowadzić mnie we właściwym kierunku pod względem uprawnień? Nie wiesz, czy powinienem używać kreatora delegowania kontroli?
Twoje zdrowie,
Ben
Odpowiedzi:
Ostatnio musiałem to sobie skonfigurować. Mamy jakiś niestandardowy kod, który dokonuje wstępnego przygotowywania komputera dla nowych komputerów, gdy uruchamiają PXE i działają jako konto usługi.
Każdy użytkownik w grupie Użytkownicy domeny powinien móc to zrobić natychmiast po wyjęciu z pudełka, bez żadnych dodatkowych uprawnień, chyba że zmieniłeś domyślne uprawnienia w miejscach lub dodałeś Odmów listy kontroli dostępu do rzeczy.
W przypadku tych musisz najpierw zdecydować, gdzie chcesz uzyskać dostęp. Łatwo jest udzielić uprawnień w katalogu głównym domeny, ale nie strasznie mądrze. Zwykle masz jednostkę organizacyjną lub zestaw jednostek organizacyjnych, na których działają konta komputerowe. Powinieneś więc zastosować następujące uprawnienia do tych kontenerów. Uprawnienia do przyłączenia komputera do domeny wymagają jedynie możliwości utworzenia konta komputera i ustawienia jego właściwości. Przenoszenie komputera między jednostkami organizacyjnymi wymaga możliwości usunięcia konta z jednego miejsca i utworzenia go w innym. To powiedziawszy, oto uprawnienia, które musisz udzielić każdej jednostce organizacyjnej:
Mam też dodatkową radę. Nie udzielaj tych uprawnień bezpośrednio do konta usługi. Utwórz grupę taką jak Administratorzy komputerowi i ustaw konto usługi jako członek tej grupy. Następnie nadaj uprawnienia grupie. W ten sposób, jeśli masz dodatkowe konta osób lub usług, które potrzebują tych samych uprawnień, wystarczy zmodyfikować członkostwo grupy.
źródło
Utwórz grupę, taką jak „administratorzy komputerów”, a następnie otwórz przystawkę Użytkownicy i komputery usługi Active Directory MMC Kliknij prawym przyciskiem myszy jednostkę organizacyjną w miejscu, w którym chcesz nadać uprawnienia, jeśli chcesz nadać im uprawnienia do całej domeny, a następnie kliknij prawym przyciskiem myszy nazwę domeny, wybierz kontrolę delegowania opcja.
w wynikowym kreatorze wybierz grupę, którą utworzyłeś wcześniej „administratorzy komputerów” kliknij przycisk Dalej, a następnie kliknij opcję Utwórz niestandardowe zadanie do przekazania, a następnie kliknij przycisk Dalej.
następnie wybierz „tylko następujące obiekty w folderze”, a następnie zaznacz „obiekty komputerowe” z listy, a także zaznacz dwa pola u dołu. „utwórz wybrany obiekt w folderze” i „usuń wybrany obiekt w folderze” kliknij dalej.
Na następnym ekranie wybierz z listy „Pełna kontrola”, a następnie kliknij przycisk Dalej
następny ekran pokaże podsumowanie przekazania, a następnie kliknij przycisk Zakończ.
po zakończeniu dodaj jednego z użytkowników do grupy „administratorów komputerów” i spróbuj wykonać różne zadania.
źródło
Tak, powinieneś używać delegowania kontroli. Chociaż mógłbym przejść i wyjaśnić krok po kroku, jak to zrobić, istnieje łatwiejsze rozwiązanie. Pobierz i zainstaluj ADManagerPlus z ManageEngine i użyj narzędzia Delegowanie AD, aby skonfigurować własne ustawienia. Zdefiniowały wstępnie role pomocy technicznej, których można użyć do zapewnienia odpowiedniego dostępu użytkownikom, o których mowa. Przyjrzyj się roli Modifiy Computers, ponieważ uważam, że właśnie tego szukasz.
źródło
Możesz utworzyć dla nich specjalny „Taskpad” mmc, np. Tutaj: http://www.petri.co.il/create_taskpads_for_ad_operations.htm
Zasadniczo jest to dostosowana wersja programu MMC, która jest zablokowana do korzystania z określonych elementów sterujących, takich jak tworzenie użytkowników, tworzenie komputerów itp. W zależności od ustawień / uprawnień delegowania określa, co mogą z tego zrobić.
źródło