Điểm tạo đối tượng máy tính trong Active Directory là gì khi bạn vẫn phải tham gia PC?

10

Điểm tạo ra một đối tượng máy tính trong Active Directory là gì khi bạn vẫn phải nối các máy tính với miền, sau đó tạo đối tượng nào?

active-directory

— Scott Johansen
nguồn

Tôi không nghĩ rằng tôi đã từng tạo một đối tượng máy tính bằng tay trước đây, vậy tại sao bạn? Có một lý do để đặc biệt tạo các đối tượng máy tính trong cấu trúc AD mà không nối máy tính đó vào miền không?

— Moo

1

Nếu bạn có cấu trúc chính sách nhóm yêu cầu một số tài khoản máy tính nhất định phải ở một số OU nhất định, bạn có thể đảm bảo nó không bị thất lạc bằng cách tạo nó trước. Mặt khác, nó đi trong OU "Máy chủ" mặc định nếu được tạo động.

— spoulson

1

Nó đi vào "Máy tính" theo mặc định, trừ khi bạn thay đổi mặc định. Đó là một container, không phải là OU.

— ThatGraemeGuy

16

Khi bạn tạo tài khoản trước tiên, bạn có thể đặt nó vào OU bên phải (và với các nhóm bảo mật phù hợp, ghi có vào Evan Anderson) ngay từ đầu.

— Oskar Duveborn
nguồn

2

... và các nhóm bảo mật phù hợp. "Máy tính cũng là con người."

— Evan Anderson

Ít nhất bây giờ họ cũng là người dùng :)

— Oskar Duveborn

1

Tôi thích việc bạn trả lời một bình luận 7 tuổi. Tôi thích hơn nữa rằng tôi đang trả lời câu trả lời đó. > mỉm cười <Rất vui được nghe tin từ bạn, Oskar! Đó là một thời gian dài và tôi không còn loanh quanh những phần này nữa.

— Evan Anderson

9

Bạn có thể tạo trước một đối tượng máy tính và gán quyền cho người không phải quản trị viên để thực hiện tham gia.

— ThatGraemeGuy
nguồn

8

Chúng tôi ủy thác khả năng tạo tài khoản máy tính. Tuy nhiên, chúng tôi đã ủy thác nó cho OU thích hợp cho tổ chức. Vì vậy, với contoso.com điển hình mà Microsoft sử dụng, hãy tưởng tượng rằng có OU cho Châu Âu. Chúng tôi muốn đảm bảo tất cả các đối tượng máy tính được tạo ra ở châu Âu bởi các quản trị viên châu Âu. Điều đó đảm bảo tất cả các GPO áp dụng một cách thích hợp và nó đảm bảo rằng bạn không nhận được thư mục máy tính lộn xộn này ở gốc. Khi quản trị viên Hoa Kỳ xuất hiện, họ chỉ có thể tạo tài khoản máy tính trong OU Mỹ. Một lần nữa, GPO áp dụng đúng cách, v.v. Nó cũng đảm bảo rằng quản trị viên Hoa Kỳ không thể lấy tài khoản máy tính ở Châu Âu. Bạn có được ý tưởng.

— K. Brian Kelley
nguồn

2

Ví dụ hoàn hảo. Nói chung, tôi nghĩ rằng hầu hết các tổ chức nhỏ (dưới 200 - 300 đối tượng máy tính) sẽ không cảm thấy cần phải xử lý trước các đối tượng máy tính miễn là họ có các quy trình tại chỗ để di chuyển đối tượng sau này.

— Dayton Brown

Phân quyền điều khiển và tạo đối tượng máy tính trước là những thứ khác nhau. Bạn muốn các đối tượng máy tính được tạo sẵn. Khi "khỉ công nghệ" của bạn đặt PC lên bàn, đặt tên và tham gia miền bạn muốn các tập lệnh khởi động và GPO cần thiết để chuẩn bị máy và cài đặt tất cả phần mềm lên hình ảnh mới của nhà máy để "chỉ hoạt động". Tôi yêu những kiểu triển khai PC đó và tôi sẽ thực hiện nó trong một tổ chức có 10 PC (vì cuối cùng các máy tính sẽ được thay thế).

— Evan Anderson

Thật ra, chúng được gắn với nhau. Nếu bạn có nhiều nhóm quản trị viên và bạn đã triển khai nhiều mô hình OU để hỗ trợ họ, thì bạn ủy quyền kiểm soát để tạo máy tính ở các OU cụ thể (bạn không cung cấp cho quản trị viên khả năng tạo tài khoản máy tính ở mọi nơi). Điều này đảm bảo các tài khoản máy tính ở đúng nơi. Tuy nhiên, điều đó có nghĩa là chúng phải được tạo trước.

— K. Brian Kelley