读取 AD、将计算机加入域、删除计算机帐户以及将计算机移动到 OU 的帐户

读取 AD、将计算机加入域、删除计算机帐户以及将计算机移动到 OU 的帐户

我想创建一个帐户来执行以下操作:

  • 将计算机加入域(不限于 10 台,就像普通用户一样)
  • 检查 AD 中的计算机帐户
  • 从 AD 中删除计算机
  • 在 OU 之间移动计算机

我不想允许它做任何其他事情,所以不想要域管理员帐户。

有人能指导我有关权限的正确方向吗?不确定我是否应该使用控制委派向导?

干杯,

答案1

事实上,我最近必须自己设置它。我们有一些自定义代码,当新计算机进行 PXE 启动并以服务帐户运行时,它们会为新计算机进行计算机预登台。

  • 检查 AD 中的计算机帐户

任何用户域用户除非您更改了某些位置的默认权限或在事物上添加了拒绝 ACL,否则组应该能够立即执行此操作而无需任何额外权限。

  • 将计算机加入域(不限于 10 台,就像普通用户一样)
  • 从 AD 中删除计算机
  • 在 OU 之间移动计算机

对于这些,您首先必须决定要在哪里授予此访问权限。在域的根目录下授予权限很容易,但不太明智。通常,您有一个 OU 或一组 OU,其中存放计算机帐户。因此,您应该将以下权限专门应用于这些容器。将计算机加入域的权限只需要能够创建计算机帐户并设置其属性。在 OU 之间移动计算机需要能够从一个地方删除帐户并在另一个地方创建帐户。综上所述,以下是您需要在每个 OU 上授予的权限:

  • 此对象及其所有后代
    • 创建计算机对象
    • 删除计算机对象
  • 后代计算机对象
    • 读取所有属性
    • 写入所有属性
    • 更改密码
    • 重设密码
    • 已验证写入 DNS 主机名
    • 已验证写入服务主体

我还有一点建议。不要直接将这些权限授予服务帐户。创建一个组,例如计算机管理员并使服务帐户成为该组的成员。然后,向该组授予权限。这样,如果您有其他人或服务帐户需要相同的权限,则只需修改该组的成员身份即可。

答案2

创建一个组,如“计算机管理员”,然后打开 Active Directory 用户和计算机 MMC 管理单元,右键单击您希望他们授予权限的 OU,如果您希望授予他们整个域的权限,则右键单击域名,选择委托控制选项。

在出现的向导中选择您之前创建的组“计算机管理员”,单击下一步,然后单击创建自定义任务以委派然后单击下一步。

然后选择“仅文件夹中的以下对象”然后勾选“计算机对象”从列表中,并勾选底部的两个框。“在文件夹中创建选定的对象”“删除文件夹中选定的对象”点击下一步。

在下一个屏幕上选择“完全控制”从列表中单击下一步

下一个屏幕将显示委派摘要,然后单击“完成”。

完成后,将其中一名用户添加到“计算机管理员”组并尝试执行您想要的各种任务。

答案3

是的,你应该使用控制委派。虽然我可以一步一步地解释如何做到这一点,但有一个更简单的解决方案。下载并安装AD管理器从 ManageEngine 中下载并使用其 AD 委派工具自行设置。他们有预定义的服务台角色,您可以使用这些角色向相关用户授予适当的访问权限。查看 Modifiy Computers 角色,因为我相信这就是您要找的。

答案4

您可以为他们创建一个特定的“Taskpad”mmc,如下所示:http://www.petri.co.il/create_taskpads_for_ad_operations.htm

基本上,它是 MMC 的定制版本,锁定使用某些控件,例如创建用户、创建计算机等。根据委派设置/权限,确定他们可以从那里做什么。

相关内容