创建一个安全组,该组可以将成员服务器提升为域控制器,而无需属于域管理员组

创建一个安全组,该组可以将成员服务器提升为域控制器,而无需属于域管理员组

我正在尝试找出一种方法来将权限委托给安全组以将域控制器添加到域中。问题是我不想将它们添加到域管理员或企业管理员组。有人尝试过吗?您是如何成功实现的?

我想要实现的是https://technet.microsoft.com/en-us/library/cc773327%28v=ws.10%29.aspx

我正在将以下所有权限授予特定的安全组。问题是我不希望这些管理员拥有添加机器、用户和 OU 的域管理员权限,而如果我将他们添加到域管理员组,他们就会获得这些权限。我尝试过使用受限组..安全委派,但无论如何,允许他们向域添加副本的唯一方法是授予他们域管理员权限。完美的世界是..将组“安装任务”放在服务器的管理员组中,但不要将该关联与域上的管理员联系起来...希望这有意义。

用户必须是所提升的成员服务器上的管理员组的成员。

必须预先创建 CN=Partitions、CN=Configuration、DC= 下的 crossRef 对象

CN=Servers、CN=、CN=Sites、CN=Configuration、DC= 上的可继承 RP

CN=Servers、CN=、CN=Sites、CN=Configuration、DC= 上的可继承 CC

CC 在 OU=域控制器,DC= 上创建计算机对象

对正在升级的服务器的计算机对象拥有完全控制权

完全控制权归 CN=、CN=Sites、CN=Configuration、DC= 上的“创建者所有者”所有

在 CN=Configuration, DC= 上扩展权限 DS-Replication-Get-Changes

在 CN=Schema、CN=Configuration、DC= 上扩展权限 DS-Replication-Get-Changes

在 CN=Configuration, DC= 上扩展权限 DS-Replication-Get-Changes-All

在 CN=Schema、CN=Configuration、DC= 上扩展权限 DS-Replication-Get-Changes-All

在 CN=Configuration, DC= 上扩展权限 DS-Replication-Manage-Topology

在 CN=Schema、CN=Configuration、DC= 上扩展权限 DS-Replication-Manage-Topology

在 CN=Configuration, DC= 上扩展右 DS-Replication-Monitor-Topology

在 CN=Schema、CN=Configuration、DC= 上扩展了右侧 DS-Replication-Monitor-Topology

在 CN=Configuration, DC= 上扩展权限 DS-Replication-Synchronize

在 CN=Schema、CN=Configuration、DC= 上扩展权限 DS-Replication-Synchronize

答案1

这在较大的环境中实际上相当常见,因为可能存在用于管理帐户的单独域或林。在这种情况下,您绝对不能将它们添加到域管理员中,并且您可能不希望每个人都在企业管理员中。

Paul Williams 有一篇很好的文章,记录了各种对象和所需的权限。不幸的是,该链接已损坏,但您仍然可以在 Wayback Machine 上查看它。

https://web.archive.org/web/20081006114434/http://www.msresource.net/articles/how_to_delegate_the_ability_to_add_a_domain_controller_to_the_domain_%28using_minimum_permissions%29.html

在此处输入图片描述

相关内容