Jaki jest sens tworzenia obiektu komputerowego w usłudze Active Directory, gdy nadal musisz dołączyć do komputera?

11

Jaki jest sens tworzenia obiektu komputerowego w usłudze Active Directory, gdy nadal trzeba dołączyć komputery do domeny, która i tak tworzy obiekt?

active-directory Scott Johansen
źródło
Nie sądzę, żebym kiedykolwiek wcześniej ręcznie tworzył obiekt komputerowy, więc dlaczego miałbyś? Czy istnieje powód, aby specjalnie tworzyć obiekty komputerowe w strukturze AD bez dołączania tego komputera do domeny?
Moo
1
Jeśli masz strukturę zasad grupy, która wymaga, aby niektóre konta komputerów znajdowały się w określonych jednostkach organizacyjnych, możesz upewnić się, że nie zostanie ona źle umieszczona, tworząc ją najpierw. W przeciwnym razie przejdzie do domyślnej jednostki organizacyjnej „Serwery”, jeśli zostanie utworzona dynamicznie.
spoulson
1
Domyślnie przechodzi w „Komputery”, chyba że zmienisz wartość domyślną. To pojemnik, a nie jednostka organizacyjna.
ThatGraemeGuy

Odpowiedzi:

16

Podczas tworzenia konta możesz od początku umieścić je we właściwej jednostce organizacyjnej (i z odpowiednimi grupami zabezpieczeń, przypisuje to Evanowi Andersonowi).

Oskar Duveborn
źródło
2
... i odpowiednie grupy bezpieczeństwa. „Komputery to także ludzie”.
Evan Anderson
Przynajmniej na razie też są użytkownikami :)
Oskar Duveborn
1
Podoba mi się, że odpowiedziałeś na komentarz, który ma 7 lat. Uwielbiam też to, że odpowiadam na tę odpowiedź. > uśmiech <Miło cię słyszeć, Oskar! Minęło dużo czasu i nie poruszam się już zbyt często po tych częściach.
Evan Anderson
9

Możesz wstępnie utworzyć obiekt komputerowy i przypisać uprawnienia nie-administratorowi do wykonania łączenia.

ThatGraemeGuy
źródło
8

Przekazaliśmy możliwość tworzenia kont komputerowych. Przekazaliśmy go jednak odpowiedniej jednostce organizacyjnej organizacji. Biorąc pod uwagę typowy contoso.com, z którego korzysta Microsoft, wyobraź sobie, że istnieje jednostka organizacyjna dla Europy. Chcemy mieć pewność, że wszystkie obiekty komputerowe zostaną utworzone w Europie przez europejskich administratorów. To gwarantuje, że wszystkie obiekty GPO są stosowane poprawnie, i że nie dostajesz tego zagraconego folderu komputerów w katalogu głównym. Gdy przyjdą amerykańscy administratorzy, mogą tworzyć konta komputerowe tylko w amerykańskiej jednostce organizacyjnej. Ponownie, obiekty GPO mają zastosowanie poprawnie itp. Zapewnia to również, że amerykański administrator nie może wyjąć europejskiego konta komputerowego. Masz pomysł.

K. Brian Kelley
źródło
2
Idealny przykład. Ogólnie rzecz biorąc, myślę, że większość małych organizacji (mniej niż 200 - 300 obiektów komputerowych) nie będzie odczuwać potrzeby wstępnego tworzenia obiektów komputerowych, dopóki będą miały procesy umożliwiające późniejsze przeniesienie obiektu.
Dayton Brown,
Delegowanie kontroli i wstępne tworzenie obiektów komputerowych to różne rzeczy. Chcesz wstępnie utworzone obiekty komputerowe. Gdy „małpa technologiczna” położy komputer na biurku, ustawi nazwę i dołączy do domeny, w której potrzebne są skrypty startowe i obiekty GPO niezbędne do przygotowania komputera i zainstalowania całego oprogramowania na fabrycznym świeżym obrazie, aby „po prostu działał”. Uwielbiam tego rodzaju wdrożenia na PC i strzelałbym do niego w organizacji z 10 komputerami (bo w końcu komputery zostaną wymienione).
Evan Anderson
W rzeczywistości są ze sobą powiązane. Jeśli masz wiele grup administratorów i wdrożyłeś model wielu jednostek organizacyjnych w celu ich obsługi, wówczas przekazujesz kontrolę, aby tworzyć komputery w poszczególnych jednostkach organizacyjnych (nie dajesz administratorowi możliwości tworzenia kont komputerów wszędzie). Zapewnia to, że konta komputerowe pozostają we właściwym miejscu. Oznacza to jednak, że muszą one zostać wcześniej utworzone.
K. Brian Kelley,