Обліковий запис для читання AD, приєднання машини до домену, видалення облікових записів комп’ютерів та переміщення комп'ютерів до OU

11

Я хочу створити обліковий запис, який виконуватиме такі дії:

  • Приєднайте комп’ютери до домену (не обмежується 10, як звичайний користувач)
  • Перевірте наявність комп'ютерних рахунків в AD
  • Видаліть комп’ютери з AD
  • Переміщення комп'ютерів між НУ

Я не хочу дозволяти йому робити нічого іншого, тому не хочу облікового запису адміністратора домену.

Чи може хтось направляти мене в правильному напрямку з точки зору дозволів? Не впевнений, чи потрібно використовувати майстра делегування контролю?

Ура,

Бен

security  active-directory  permissions 
Бен
джерело
1
Це для середовища сервера 2008 або 2003?
Кампо
2000/2003 (Старий скол, боюсь - ми все ще на 2 к., Але середнє оновлення до 2k3)
Бен

Відповіді:

13

Мені довелося це нещодавно налаштувати для себе. У нас є спеціальний код, який робить попередню підготовку комп'ютера для нових комп'ютерів, коли вони завантажуються PXE і працюють як обліковий запис служби.

  • Перевірте наявність комп'ютерних рахунків в AD

Будь-який користувач із групи користувачів домену повинен мати змогу робити це поза полем без будь-яких додаткових дозволів, якщо ви не змінили дозволи за замовчуванням місцями чи не додали заборонені ACL-адреси для речей.

  • Приєднайте комп’ютери до домену (не обмежується 10, як звичайний користувач)
  • Видаліть комп’ютери з AD
  • Переміщення комп'ютерів між НУ

Для цього спершу потрібно вирішити, куди ви бажаєте надати цей доступ. Легко надавати дозволи в корені домену, але не дуже мудро. Зазвичай у вас є ОУ або набір НУ, де живуть облікові записи комп'ютерів. Тому слід застосувати такі дозволи саме до цих контейнерів. Дозвіл на приєднання комп'ютера до домену просто вимагає можливості створити обліковий запис комп'ютера та встановити його властивості. Переміщення комп’ютера між НУ вимагає можливості видалити обліковий запис з одного місця та створити його в іншому. Все, що сказано, ось які дозволи потрібно надати для кожного OU:

  • Цей об’єкт і всі нащадки
    • Створення об’єктів Комп'ютер
    • Видалення об'єктів Комп'ютер
  • Об'єкти нащадків
    • Прочитайте всі властивості
    • Напишіть усі властивості
    • Змінити пароль
    • Скинути пароль
    • Затверджене записування до імені хоста DNS
    • Затверджене написання головному сервісу

У мене є ще додатковий рада. Не надайте ці дозволи безпосередньо в обліковий запис служби. Створіть групу, на зразок Computer Admins, і зробіть обліковий запис служби членом цієї групи. Потім надайте дозволу групі. Таким чином, якщо у вас є додаткові облікові записи людей або служб, які потребують однакових дозволів, потрібно лише змінити членство в групі.

Райан Болгер
джерело
4

Створіть групу на кшталт "комп'ютерні адміністратори", потім відкрийте оснащення Active Directory - користувачі та комп’ютери MMC правою кнопкою миші клацніть на OU там, де ви хочете, щоб вони надавали права, якщо ви хочете дати їм права на весь домен, а потім клацніть правою кнопкою миші на ім'я домену, виберіть делегат управління варіант.

у отриманому майстрі виберіть групу, яку ви створили раніше "комп'ютерні адміністратори", натисніть кнопку Далі, потім натисніть кнопку Створити спеціальне завдання для делегування та натисніть кнопку Далі.

потім виберіть "лише наступні об'єкти в папці", потім позначте " список об'єктів комп'ютера" зі списку, а також позначте два поля внизу. "створити вибраний об'єкт у папці" та "видалити вибраний об'єкт у папці" натисніть кнопку Далі.

На наступному екрані виберіть "Повний контроль" зі списку та натисніть кнопку Далі

на наступному екрані з'явиться підсумок делегації, після чого натисніть кнопку "Завершити".

як тільки буде зроблено, додайте одного з користувачів у групу "комп'ютерні адміністратори" і спробуйте виконати різні завдання, які ви хочете.

KAPes
джерело
1

Так, вам слід використовувати делегування контролю. Хоча я міг переглядати та пояснювати крок за кроком, як це зробити, є більш просте рішення. Завантажте та встановіть ADManagerPlus з ManageEngine та використовуйте їх інструмент делегування AD, щоб налаштувати речі для себе. Вони мають заздалегідь визначені ролі довідкової служби, які можна використовувати для надання відповідного доступу до відповідних користувачів. Подивіться на роль Modifiy Computers, як я вважаю, саме цього ви шукаєте.

joeqwerty
джерело
1

Ви можете створити для них спеціальний mmc "Панель завдань", наприклад тут: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

В основному це спеціалізована версія MMC, яка заблокована для використання певних елементів керування, наприклад, створення користувачів, створення комп'ютерів і т.д.

Грізлі
джерело
1
Гарна пропозиція, але вона не обмежує те, що вони мають доступ до використання інших інструментів або методів. Якщо вони встановлять пакет адміністратора і запустить ADUC, вони матимуть доступ до всього, якщо ви не скористаєтеся делегуванням контролю з відповідним типом облікового запису користувача. Безпека через невідомість не повинна бути єдиним механізмом безпеки, який використовується.
joeqwerty
ви можете встановити дозволи на дереві ldap за допомогою aduc (використовуйте "Перегляд -> розширені функції", і ви можете побачити вкладку безпеки на OU тощо), щоб звичайні користувачі не могли змінювати налаштування / речі .. вони можуть лише їх переглядати. Однак якщо ви плануєте делегувати завдання працівникові, можна сподіватися, що ви їм довіряєте
Grizly
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.