Tài khoản để đọc quảng cáo, nối máy với miền, xóa tài khoản máy tính và di chuyển máy tính sang OU

11

Tôi muốn tạo một tài khoản sẽ thực hiện như sau:

  • Tham gia máy tính vào một miền (không giới hạn ở 10, như người dùng bình thường)
  • Kiểm tra tài khoản máy tính trong AD
  • Xóa máy tính khỏi AD
  • Di chuyển máy tính giữa các OU

Tôi không muốn cho phép nó làm bất cứ điều gì khác, vì vậy đừng muốn có tài khoản quản trị viên tên miền.

Bất cứ ai có thể hướng dẫn tôi đi đúng hướng về các điều khoản? Không chắc chắn nếu tôi nên sử dụng ủy quyền của trình hướng dẫn điều khiển?

Chúc mừng

Bến

security  active-directory  permissions 
Bến
nguồn
1
Đây là cho một môi trường máy chủ 2008 hoặc 2003?
Campo
2000/2003 (Skool cũ, tôi sợ - chúng tôi vẫn còn trên 2k, nhưng giữa nâng cấp lên 2k3)
Ben

Câu trả lời:

13

Tôi thực sự đã phải thiết lập điều này cho bản thân mình gần đây. Chúng tôi có một số mã tùy chỉnh giúp máy tính tạo uy tín cho máy tính mới khi PXE khởi động và chạy như một tài khoản dịch vụ.

  • Kiểm tra tài khoản máy tính trong AD

Bất kỳ người dùng nào trong nhóm Người dùng Miền sẽ có thể thực hiện việc này ngay lập tức mà không cần bất kỳ quyền bổ sung nào trừ khi bạn thay đổi quyền mặc định ở các địa điểm hoặc thêm Từ chối ACL vào mọi thứ.

  • Tham gia máy tính vào một miền (không giới hạn ở 10, như người dùng bình thường)
  • Xóa máy tính khỏi AD
  • Di chuyển máy tính giữa các OU

Đối với những điều này, trước tiên bạn phải quyết định nơi bạn muốn quyền truy cập này được cung cấp. Thật dễ dàng để chỉ cấp quyền ở thư mục gốc, nhưng không quá khôn ngoan. Thông thường, bạn có OU hoặc bộ OU nơi có tài khoản máy tính. Vì vậy, bạn nên áp dụng các quyền sau đây cho các container cụ thể. Quyền tham gia máy tính vào miền chỉ cần khả năng tạo tài khoản máy tính và đặt thuộc tính của nó. Di chuyển máy tính giữa các OU yêu cầu khả năng xóa tài khoản từ một nơi và tạo tài khoản ở nơi khác. Tất cả những gì đã nói, đây là những quyền bạn cần cấp cho mỗi OU:

  • Đối tượng này và tất cả con cháu
    • Tạo các đối tượng máy tính
    • Xóa các đối tượng máy tính
  • Đối tượng máy tính con cháu
    • Đọc tất cả các thuộc tính
    • Viết tất cả các thuộc tính
    • Đổi mật khẩu
    • Đặt lại mật khẩu
    • Xác thực ghi vào tên máy chủ DNS
    • Xác thực ghi vào dịch vụ chính

Tôi cũng có một chút lời khuyên. Không cấp các quyền này cho tài khoản dịch vụ trực tiếp. Tạo một nhóm như Quản trị viên máy tính và biến tài khoản dịch vụ thành thành viên của nhóm đó. Sau đó, cấp quyền cho nhóm. Theo cách đó, nếu bạn có thêm người hoặc tài khoản dịch vụ cần cùng quyền, bạn chỉ cần sửa đổi tư cách thành viên của nhóm.

Ryan Bolger
nguồn
4

Tạo một nhóm như "quản trị viên máy tính", sau đó mở snap-in Active Directory Users & Computer MMC nhấp chuột phải vào OU nơi bạn muốn họ trao quyền, nếu bạn muốn trao cho họ quyền trên toàn bộ tên miền, sau đó nhấp chuột phải vào tên miền, chọn điều khiển ủy nhiệm Lựa chọn.

trong trình hướng dẫn kết quả, chọn nhóm bạn đã tạo trước đó "quản trị viên máy tính" nhấp vào tiếp theo, sau đó nhấp vào Tạo tác vụ tùy chỉnh để ủy quyền, sau đó nhấp vào tiếp theo.

sau đó chọn "chỉ các đối tượng sau trong thư mục" rồi đánh dấu "đối tượng máy tính" từ danh sách và đánh dấu vào hai ô ở phía dưới. "Tạo đối tượng được chọn trong thư mục""xóa đối tượng đã chọn trong thư mục" nhấp vào tiếp theo.

Trên màn hình tiếp theo, chọn "Toàn quyền kiểm soát" từ danh sách, sau đó nhấp vào tiếp theo

màn hình tiếp theo sẽ hiển thị cho bạn tóm tắt về ủy quyền sau đó nhấp vào kết thúc.

Sau khi hoàn thành, hãy thêm một trong những người dùng vào nhóm "quản trị viên máy tính" và cố gắng thực hiện các tác vụ khác nhau mà bạn muốn.

KAP
nguồn
1

Có, bạn nên sử dụng ủy quyền kiểm soát. Trong khi tôi có thể đi qua và giải thích từng bước làm thế nào để làm điều này, có một giải pháp dễ dàng hơn. Tải xuống và cài đặt ADManagerPlus từ ManageEngine và sử dụng công cụ Phân quyền AD của họ để thiết lập mọi thứ cho chính bạn. Họ có các vai trò Bàn trợ giúp được xác định trước mà bạn có thể sử dụng để cấp quyền truy cập phù hợp cho người dùng đang đề cập. Nhìn vào vai trò của Modifiy Computer vì tôi tin rằng đó là những gì bạn đang tìm kiếm.

joeqwerty
nguồn
1

Bạn có thể tạo một mmc "Bàn phím tác vụ" cụ thể để họ sử dụng, như ở đây: http://www.petri.co.il/create_taskpads_for_ad_operations.htmlm

Về cơ bản, đây là phiên bản tùy chỉnh của MMC, được khóa để sử dụng một số điều khiển nhất định, như tạo người dùng, tạo máy tính, v.v. Tùy thuộc vào cài đặt / quyền ủy nhiệm, xác định những gì họ có thể làm từ đó.

Grizly
nguồn
1
Đề xuất tốt, nhưng nó không hạn chế những gì họ có quyền truy cập bằng cách sử dụng các công cụ hoặc phương pháp khác. Nếu họ cài đặt gói quản trị và khởi chạy ADUC, họ sẽ có quyền truy cập vào mọi thứ trừ khi bạn sử dụng ủy quyền kiểm soát với loại tài khoản người dùng phù hợp. Bảo mật thông qua che khuất không nên là cơ chế an toàn duy nhất được sử dụng.
joeqwerty
bạn có thể đặt quyền trên cây ldap bằng cách sử dụng aduc (sử dụng "Xem -> tính năng nâng cao" và bạn có thể thấy tab bảo mật trên OU, v.v.) để người dùng thông thường không thể thay đổi cài đặt / thứ .. họ chỉ có thể xem chúng. Tuy nhiên, nếu bạn có kế hoạch ủy thác nhiệm vụ cho một nhân viên, người ta sẽ hy vọng bạn tin tưởng họ
Grizly
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.