จำกัด ผู้ดูแลโดเมนจากการเข้าร่วมเซิร์ฟเวอร์กับโดเมน

ฉันทำงานให้กับ บริษัท ขนาดใหญ่ที่ได้รับเว็บไซต์เพิ่มเติมหลายแห่งในช่วง 5 ปีที่ผ่านมา เรารวมเว็บไซต์เหล่านี้เข้ากับเว็บไซต์ บริษัท ของเราอย่างสมบูรณ์ ปัญหาที่ฉันพบในตอนนี้คือไซต์ส่วนใหญ่มีผู้ดูแลระบบในพื้นที่และผู้ดูแลระบบเหล่านี้ก็ไม่ได้เล่นกับเราเสมอไป

ดังนั้นสิ่งที่เกิดขึ้นคือบางครั้งเรามีเซิร์ฟเวอร์ใหม่เพิ่มและเซิร์ฟเวอร์เก่าที่เลิกใช้งานที่ไซต์เหล่านี้โดยไม่เกี่ยวข้องกับทีมเซิร์ฟเวอร์ ฉันกำลังมองหาวิธีในการ จำกัด สิทธิ์การเข้าร่วมโดเมนตามประเภทระบบปฏิบัติการ ดังนั้นฉันต้องการ จำกัด ฟังก์ชั่นการเข้าร่วมโดเมนเซิร์ฟเวอร์ทั้งหมดให้กับทีมเซิร์ฟเวอร์เท่านั้น คนไซต์ยังคงต้องสามารถเพิ่มเวิร์กสเตชันในโดเมน

windows active-directory user-permissions

— Brum
แหล่งที่มา

ไม่มีการส่งข้อมูลระบบปฏิบัติการเป็นส่วนหนึ่งของกระบวนการเข้าร่วม จะตรวจสอบชื่อ SPN แล้วสิทธิ์การเข้าร่วมโดเมนของเจ้าของบัญชี คุณสามารถ จำกัด ให้พวกเขาเข้าร่วมคอมพิวเตอร์ใน OU เฉพาะ (บล็อกย้าย perms จากพวกเขา) และวิธีที่คุณสามารถตรวจสอบการเพิ่มใหม่

— spacenomyous

หากคุณไม่ต้องการให้บุคคลเหล่านี้เข้าร่วมเซิร์ฟเวอร์กับโดเมนคุณอาจไม่ต้องการให้พวกเขาเป็นผู้ดูแลโดเมน

คุณสามารถให้บัญชีการอนุญาตที่ จำกัด ซึ่งมีสิทธิ์มอบสิทธิ์ในการเข้าร่วมเครื่องกับโดเมนภายในโครงสร้าง OU ที่ล้อมรอบและเรียกใช้รายงานการกระทำที่เกิดขึ้นเพื่อเข้าร่วม 'ดัก' โดยไม่ได้รับอนุญาต แต่นี่ไม่ใช่ปัญหาทางเทคนิคจริงๆ ปัญหาของคุณคือคุณมีผู้ที่มีสิทธิ์ผู้ดูแลระบบโดเมนซึ่งคุณไม่ไว้วางใจในการจัดการโดเมนและคำตอบที่ดีที่สุดคือการให้สิทธิ์ผู้ดูแลระบบจากผู้ที่ไม่สามารถเชื่อถือได้

— Rob Moir
แหล่งที่มา

ขอบคุณสำหรับคำตอบนั่นคือสิ่งที่ฉันคิด แต่ต้องการตรวจสอบ

— Brum

นอกจากนี้โดยค่าเริ่มต้นผู้ใช้ที่ได้รับการรับรองความถูกต้องสามารถเข้าร่วม 10 เครื่องกับโดเมนไม่ว่าจะเป็นเวิร์กสเตชันหรือเซิร์ฟเวอร์ ... ดังนั้นคุณอาจต้องการตรวจสอบและเปลี่ยนแปลงอย่างเหมาะสมหากจำเป็น

— joeqwerty

ใช่สามารถแก้ไขได้ด้วยวิธีใดวิธีหนึ่งตามsocial.technet..com / wiki / เนื้อหา / บทความ / …

— Rob Moir