บัญชีเพื่ออ่านโฆษณาเข้าร่วมเครื่องกับโดเมนลบบัญชีคอมพิวเตอร์และย้ายคอมพิวเตอร์ไปยัง OU

ฉันต้องการสร้างบัญชีที่จะทำสิ่งต่อไปนี้:

• เข้าร่วมคอมพิวเตอร์กับโดเมน (ไม่ จำกัด เพียง 10 รายการเช่นผู้ใช้ทั่วไป)
• ตรวจสอบบัญชีคอมพิวเตอร์ใน AD
• ลบคอมพิวเตอร์จาก AD
• ย้ายคอมพิวเตอร์ระหว่าง OU

ฉันไม่ต้องการอนุญาตให้ทำสิ่งอื่นดังนั้นไม่ต้องการบัญชีผู้ดูแลโดเมน

ใครสามารถแนะนำฉันในทิศทางที่ถูกต้องในแง่ของการอนุญาตหรือไม่ ไม่แน่ใจว่าฉันควรจะใช้การมอบหมายของตัวช่วยสร้างการควบคุมหรือไม่?

ไชโย

เบน

ที่จริงฉันต้องตั้งค่านี้ให้กับตัวเองเมื่อเร็ว ๆ นี้ เรามีรหัสที่กำหนดเองบางอย่างที่ทำให้คอมพิวเตอร์เป็นที่รู้จักสำหรับคอมพิวเตอร์ใหม่เมื่อพวกเขาบูต PXE และทำงานเป็นบัญชีบริการ

• ตรวจสอบบัญชีคอมพิวเตอร์ใน AD

ผู้ใช้ใด ๆ ในกลุ่มผู้ใช้โดเมนควรสามารถทำสิ่งนี้ได้โดยไม่ต้องมีการอนุญาตเพิ่มเติมเว้นแต่ว่าคุณได้เปลี่ยนการอนุญาตเริ่มต้นในสถานที่หรือเพิ่ม ACLs ปฏิเสธในสิ่งต่าง ๆ

• เข้าร่วมคอมพิวเตอร์กับโดเมน (ไม่ จำกัด เพียง 10 รายการเช่นผู้ใช้ทั่วไป)
• ลบคอมพิวเตอร์จาก AD
• ย้ายคอมพิวเตอร์ระหว่าง OU

สำหรับสิ่งเหล่านี้คุณต้องตัดสินใจก่อนว่าคุณต้องการให้สิทธิ์การเข้าถึงนี้อยู่ที่ใด ง่ายเพียงให้สิทธิ์ที่รูทของโดเมน แต่ไม่ฉลาดนัก โดยปกติคุณจะมี OU หรือชุด OU ที่บัญชีคอมพิวเตอร์อยู่ ดังนั้นคุณควรใช้การอนุญาตต่อไปนี้กับคอนเทนเนอร์เหล่านั้นโดยเฉพาะ สิทธิ์ในการเข้าร่วมคอมพิวเตอร์กับโดเมนต้องใช้ความสามารถในการสร้างบัญชีคอมพิวเตอร์และตั้งค่าคุณสมบัติ การย้ายคอมพิวเตอร์ระหว่าง OU นั้นต้องใช้ความสามารถในการลบบัญชีจากที่เดียวและสร้างในอีกที่หนึ่ง ทั้งหมดที่กล่าวมานี่คือสิ่งที่สิทธิ์ที่คุณต้องการให้กับแต่ละ OU:

• วัตถุนี้และลูกหลานทั้งหมด
  • สร้างวัตถุคอมพิวเตอร์
  • ลบวัตถุคอมพิวเตอร์
• วัตถุคอมพิวเตอร์ลูกหลาน
  • อ่านคุณสมบัติทั้งหมด
  • เขียนคุณสมบัติทั้งหมด
  • เปลี่ยนรหัสผ่าน
  • รีเซ็ตรหัสผ่าน
  • ตรวจสอบความถูกต้องในการเขียนชื่อโฮสต์ DNS
  • ตรวจสอบการเขียนถึงหลักการบริการ

ฉันยังมีคำแนะนำเพิ่มเติมอีกเล็กน้อย อย่าให้สิทธิ์เหล่านี้กับบัญชีบริการโดยตรง สร้างกลุ่มเช่นผู้ดูแลระบบคอมพิวเตอร์และทำให้บัญชีบริการเป็นสมาชิกของกลุ่มนั้น จากนั้นให้สิทธิ์กับกลุ่ม ด้วยวิธีนี้หากคุณมีบัญชีบุคคลหรือบริการเพิ่มเติมที่ต้องการการอนุญาตแบบเดียวกันคุณจะต้องแก้ไขการเป็นสมาชิกของกลุ่ม

สร้างกลุ่มเช่น "ผู้ดูแลระบบคอมพิวเตอร์" แล้วเปิดผู้ใช้ของ Active Directory และคอมพิวเตอร์ MMC สแนปอินคลิกขวาที่ OU ที่คุณต้องการให้พวกเขาให้สิทธิถ้าคุณต้องการให้พวกเขามีสิทธิในโดเมนทั้งหมดแล้วคลิกขวาที่ชื่อโดเมนเลือกการควบคุมของผู้ร่วมประชุมตัวเลือก

ในตัวช่วยสร้างผลลัพธ์เลือกกลุ่มที่คุณสร้างไว้ก่อนหน้านี้ "ผู้ดูแลระบบคอมพิวเตอร์" คลิกถัดไปจากนั้นคลิกสร้างงานที่กำหนดเองเพื่อมอบสิทธิ์แล้วคลิกถัดไป

จากนั้นเลือก"เฉพาะวัตถุต่อไปนี้ในโฟลเดอร์"จากนั้นทำเครื่องหมาย"วัตถุคอมพิวเตอร์"จากรายการและทำเครื่องหมายที่กล่องสองกล่องที่ด้านล่าง "สร้างวัตถุที่เลือกในโฟลเดอร์"และ"ลบวัตถุที่เลือกในโฟลเดอร์"คลิกถัดไป

ในหน้าจอถัดไปเลือก"Full control"จากรายการจากนั้นคลิกถัดไป

หน้าจอถัดไปจะแสดงสรุปการมอบหมายจากนั้นคลิกเสร็จสิ้น

เมื่อเสร็จแล้วให้เพิ่มผู้ใช้หนึ่งคนลงในกลุ่ม "ผู้ดูแลระบบคอมพิวเตอร์" แล้วลองดำเนินการต่าง ๆ ที่คุณต้องการ

ใช่คุณควรใช้การมอบหมายการควบคุม ในขณะที่ฉันสามารถอธิบายและอธิบายอย่างเป็นขั้นเป็นตอนมีวิธีแก้ปัญหาที่ง่ายกว่า ดาวน์โหลดและติดตั้งADManagerPlusจาก ManageEngine และใช้เครื่องมือ AD Delegation เพื่อตั้งค่าด้วยตัวคุณเอง พวกเขามีบทบาท Help Desk ที่กำหนดไว้ล่วงหน้าซึ่งคุณสามารถใช้เพื่อให้สิทธิ์การเข้าถึงที่เหมาะสมแก่ผู้ใช้ที่เป็นปัญหา ดูบทบาทของ Modifiy Computers ในขณะที่ฉันเชื่อว่านั่นคือสิ่งที่คุณกำลังมองหา

คุณสามารถสร้าง "Taskpad" เฉพาะ mmc เพื่อให้ใช้ได้เช่นที่นี่: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

โดยทั่วไปแล้วเป็นรุ่นที่กำหนดเองของ MMC ซึ่งถูกล็อคไว้โดยใช้การควบคุมบางอย่างเช่นการสร้างผู้ใช้การสร้างคอมพิวเตอร์เป็นต้นโดยขึ้นอยู่กับการตั้งค่า / สิทธิ์การมอบหมายสิทธิ์เป็นตัวกำหนดสิ่งที่พวกเขาสามารถทำได้จากที่นั่น