我的专业是 Linux 管理员,而我的新工作是管理 Windows 服务器。
我正在尝试使用创建 Windows Server 2012 基础映像打包机作为配置的一部分,虚拟机需要通过脚本连接到活动目录。显然我不想将我的个人密码放入脚本中。
是否可以在 Active Directory 中创建一个用户,该用户有权将机器绑定到 AD,但不能执行任何其他操作(为了合规性)?
答案1
通常,每个 Active Directory 用户都可以向域添加最多 10 个计算机帐户,而无需成为域管理员;但是,此行为可以通过域策略进行定制,因此可能不适合您;即使如此,只要需要使用同一个用户帐户添加第 11 台计算机,您就会遇到问题。
正确的做法是授予此用户帐户在 Active Directory 中的“计算机”容器(默认情况下添加新计算机)上以及/或者在可以添加新计算机的任何其他 OU 上的特殊权限“创建计算机对象”(尽管将它们添加到默认“计算机”容器之外的目录中的某个位置有点困难)。
https://technet.microsoft.com/en-us/library/cc780195(v=ws.10).aspx
答案2
当然,创建您的帐户,不要将其加入任何组,并将其放在 AD 中的某个位置,这样它就不会获得组策略分配的任何权限。默认情况下,经过身份验证的用户可以将计算机加入域,如果这已更改,您需要确保您的帐户通过组策略被授予将工作站添加到域的权限。这在计算机配置\Windows 设置\安全设置\本地策略\用户权限分配中。您还可以通过授予帐户对您希望放置计算机的 OU 的权限来执行此操作。为此,授予帐户对您希望它使用的 OU 的创建计算机对象权限。