作为一家软件公司,我们需要我们的支持人员能够在不同的机器上运行我们软件的多个实例。
我们通常的做法是克隆虚拟机,将其添加到我们的 AD 服务器,然后让它们在克隆系统上使用本地管理员帐户。作为我们的系统管理员,其中一些工作需要我的帮助。
我想要做的是:
- 允许指定用户将计算机添加到我们的本地域(子域)。我知道他们可以添加一些,但我希望添加的数量不受限制。
- 允许同一用户对添加的计算机拥有管理员权限,而无需更改计算机上的配置
有什么办法吗?有人建议我在域中创建一个组织单位来实现这一点,但除此之外,我没有任何线索。
答案1
我会这样做:
- 为 Devs 创建名为 ACL-Local Admin 的权限组
- 将您的开发人员添加到群组
创建新的 GPO 并向其中添加组,然后将其分配给您的开发人员 OU。按如下方式编辑 GPO:
计算机配置->策略->Windows 设置->安全设置->本地策略->用户权限管理->将工作站添加到域
如果计算机仍保留在默认的计算机 OU 中,则用户成为本地管理员会更具挑战性。
您可以将计算机重定向到新的 OU,并将该 OU 权限授予“ACL-开发人员的本地管理员”。您可以根据需要将计算机移动到具有 AD 访问权限的正确 OU
使用以下语法在命令提示符下运行 Redircmp.exe 文件,其中 container-dn 是组织单位的可分辨名称,该组织单位将成为由下级 API 创建的新建计算机对象的默认位置:
redircmp container-dn container-dn
通过 GPO 授予权限
编辑与之前相同的 GPO,并将其附加到计算机 OU 计算机配置 -> 首选项 -> 控制面板设置 -> 本地用户和组 -> 新建 -> 本地组