我正在整理一个傀儡配方,它将在 Linux 机器上安装 Likewise Open,并将它们加入到我们的 AD 结构中的特定 OU。
由于唯一可行的方法是将 AD 用户的凭据以纯文本形式存储在 Puppet 清单中,因此我想创建一个专用的 AD 用户,该用户仅具有将计算机加入特定 OU 的权限。
我记得几年前做过类似的事情,但对于细节有点生疏。
我已经创建了一个 AD 用户并确保它位于域来宾组而不是域用户中,但我不确定在 OU 上将权限委托给该用户时应该使用的确切详细信息。
有人能告诉我在委派控制向导中需要使用的具体选项和权限吗?
答案1
我建议创建一个名为账户管理计算机,您将此帐户添加为成员。这样,您可以随时修改组成员以更新委派,而无需更改 ACL。
- 在您想要修改的 OU/CN 上启动委派控制向导。
- 选择组/用户。选择“创建自定义任务以委派”。
- 选择“仅文件夹中的以下对象”。
- 打钩:“计算机对象”和“在此文件夹中创建选定的对象”。
- 在下一页上,勾选“创建所有子对象”。