我希望我能解释清楚:)
我正在尝试创建一个脚本,该脚本允许我在特定 OU 中创建 AD 计算机名称,然后在“安全”选项卡下向此计算机添加安全组,这样只有少数人能够将此计算机添加到域中。问题是我只能将计算机添加到组中,而不能为该组提供前提条件。
在“在此处插入路径”处,我输入了 AD 路径,但我不能在这里写入,因为它是机密的
剧本:
Import-Module ActiveDirectory
New-ADComputer -Name "test1" -SamAccountName "test1" -Path "insert path here"
Add-Acl -Name "test1998" -Path "insert path here"
有什么想法吗?
答案1
将计算机添加到组不会授予组对计算机的任何特殊权限。它只会授予计算机对该组出现在 ACL 中的项目的访问权限。要授予对计算机的访问权限,您需要修改计算机对象的 ACL。最佳实践和更常见的方法是使用控制委派向导 GUI 将这些权限授予计算机对象所在的 OU。您还可以从命令行委派给 OU,如下所述:是否可以使用 PowerShell 向 Active Directory 帐户添加权限?
听起来您想在每台计算机上单独执行此操作?这需要更多的劳动力,并且违背了最佳实践。如果您真的想这样做,您可以在使用“可以加入此计算机”字段创建帐户时通过 GUI 设置这些权限,或者按照此帖子中所述以编程方式处理:https://stackoverflow.com/questions/29037519/set-following-user-or-group-can-join-to-domain-permissions-on-computer-object