遵循原则最小权限管理模型我需要创建自定义组,授予其成员将计算机添加到域的权限,但不授予其他可能带来安全风险的权限。
因此,我在 AD 中创建了我的自定义组(我们称之为“域管理器”),并将测试域用户分配给该组。
然后我转到组策略管理器并创建 GPO。在我的 GPO 中,我转到计算机配置>Windows 设置>安全设置>本地策略>用户权限分配。并将我的自定义组添加到将工作站添加到域政策。
完全按照本文中的方法 1 进行操作: https://www.prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/
接下来,我将 GPO 链接到一个只有一台计算机的 OU 以进行测试(并运行gpupdate /force以进行良好的测量)。我从域中删除了这台计算机,并尝试使用我的测试用户的凭据再次添加它(添加到自定义组) - 它没有工作(出现“访问被拒绝”错误)。接下来,我尝试执行相同的操作,但将 GPO 分配给整个域 - 再次出现相同的错误。
我搜索了一下,发现了微软的这条消息
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
这是有道理的,因为我的测试计算机之前在域中,所以我需要重置密码。但我无法在 GPO 中找到此设置。
不使用委派是否可以实现此目的?我是否遗漏了 GPO 中的某些内容?
答案1
好的,您已为此创建了 GPO 策略,但您没有正确应用它。该策略必须链接到具有域控制器的 OU,最好将其链接到域。您只需将该 GPO 策略分配给特定安全组,然后它就会起作用。
答案2
此功能通常需要的不仅仅是 AD 权限。您应该做的是创建一个组,并为该组分配 OU 的创建/删除计算机对象权限,以及 OU 中后代计算机对象的适当/所需权限(删除/修改/自定义权限)。您可以对计算机容器执行相同操作,但更有序的做法是不使用它,而是在正确的目标 OU 中创建计算机。