我决定检查一下我们的分支机构对 Active Directory 计算机对象的委派权限,并稍微重新组织一下。
令我震惊的一件事是,我需要(根据整个互联网上的传说)授予 UO 上相关安全组的“写入所有属性”权限,其中我的计算机将重命名计算机。
因此,我需要分配 1 个权限来启用/禁用计算机帐户,5 个权限来在 OU 之间移动计算机,以及...允许写入计算机的几乎所有属性以简单地重命名某个事物?WTF?
互联网错了吗?微软疯了吗?你们在做什么来限制人们只能重命名计算机?
网络上没有解释为什么像重命名计算机这样简单的任务需要这样的权限,以至于用户可以除了重命名之外使用计算机帐户执行几乎任何操作。
答案1
通过反复试验,我发现在域中重命名计算机对象的最低权限是(c:\Windows\System32\delegwiz.inf 格式):
对象类型 = 计算机
[templateNN.计算机]
cn=WP
名称=WP
专有名称=WP
sAMAccountName=WP
CONTROLRIGHT = "帐户限制","已验证写入 DNS 主机名","已验证写入服务主体名称"
答案2
互联网错了吗?微软疯了吗?你们在做什么来限制人们只能重命名计算机?
这样,随机的流氓/黑客/白痴/不该做这些事的人就不能到处重命名计算机帐户了。
想象一下,如果最终用户能够重命名计算机帐户,并且他们设法重命名域控制器的计算机帐户、Exchange 服务器的计算机帐户或为关键 LOB 应用程序提供服务的任何其他计算机帐户?
答案3
要重命名 AD 中的计算机,需要将以下权限应用于必要的计算机对象:
- 写入计算机名称(Windows 2000 之前)
- 写入帐户限制
- 已验证写入 DNS 主机名
- 已验证写入服务主体名称