遵循原则最小权限管理模型我正在创建自定义组来管理域,该组的权限低于域管理员。首先,它应该具有将计算机添加到域的权限。
我正在测试实现这一目标的许多不同方法,并且偶然发现了微软的这篇文章: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
它指出:
找到并右键单击要修改的 OU,然后选择“委派控制”。
但是我不确定我实际上应该选择哪个 OU,而且我在文章中找不到任何解释(或者我是瞎了?)。
那么它应该是哪个 OU?内置计算机?我希望计算机最终驻留在哪个 OU(如自定义 OU“服务器”或“工作站”)?还是其他?
目前,我委托了整个域的控制权(我的环境中只有一个域)并且它正在运行,但我不确定它是否安全或是否是好的做法?
答案1
您的 AD 环境应以最适合您/您的公司需求的方式进行组织。
一种常见的方法是为各个部门创建 OU,并为计算机和用户创建子 OU。
然后,例如,如果您只想将一个部门的控制权委托给某人,您可以选择代表该部门的 OU 并将控制权委托给那里。