Який сенс створювати комп'ютерний об’єкт в Active Directory, коли вам все одно доведеться приєднатися до ПК?

11

Який сенс створювати комп'ютерний об’єкт в Active Directory, коли вам все-таки доведеться приєднати комп'ютери до домену, який потім все-таки створює об’єкт?

active-directory

— Скотт Йохансен
джерело

Я не думаю, що я ніколи раніше не створював об’єкт комп'ютера вручну, то чому б це зробити? Чи є причина спеціально створювати комп'ютерні об’єкти в структурі AD, не приєднуючи цей комп'ютер до домену?

— Moo

1

Якщо у вас є структура групової політики, яка вимагає, щоб певні облікові записи комп’ютерів були в певних НУ, ви можете переконатися, що вона не буде замінена, створивши її спочатку. В іншому випадку він переходить у стандартний OU "Сервери", якщо створюється динамічно.

— spoulson

1

За замовчуванням він переходить у "Комп'ютери", якщо ви не зміните типово. Це контейнер, а не НУ.

— ThatGraemeGuy

16

Створюючи обліковий запис спочатку, ви можете розмістити його в правому OU (і з правильними групами безпеки, зараховуючи Евана Андерсона) з самого початку.

— Оскар Дювеборн
джерело

2

... і правильні групи безпеки. "Комп'ютери теж люди".

— Еван Андерсон

Принаймні, вони теж зараз користувачі :)

— Oskar Duveborn

1

Мені подобається, що ти відповів на коментар, якому 7 років. Я ще більше люблю, що я відповідаю на цю відповідь. > посмішка <Приємно почути від тебе, Оскаре! Минуло давно, і я вже не дуже обходжу ці частини.

— Еван Андерсон

9

Ви можете заздалегідь створити комп'ютерний об’єкт і призначити дозвіл не-адміністратору на виконання з'єднання.

— ThatGraemeGuy
джерело

8

Ми делегували можливість створення облікових записів на комп’ютері. Однак ми делегували його до відповідного ОУ для організації. Отже, враховуючи типовий contoso.com, який використовує Microsoft, уявіть, що існує Європейський союз. Ми хочемо переконатися, що всі комп'ютерні об'єкти створені в Європі європейськими адміністраторами. Це забезпечує, що всі GPO застосовуються належним чином, і це забезпечує те, що ви не отримаєте цю забиту комп’ютерну папку в корені. Коли адміністратори США приходять разом, вони можуть створювати комп'ютерні рахунки лише в США. Знову ж таки, групові організації застосовуються належним чином і т. Д. Це також гарантує, що адміністратор США не може взяти обліковий запис на комп'ютері в Європі. Ви отримуєте ідею.

— К. Брайан Келлі
джерело

2

Ідеальний приклад. Взагалі, я думаю, що більшість малих організацій (менше 200 - 300 комп'ютерних об'єктів) не відчують необхідності попередньо створювати комп'ютерні об'єкти, доки у них є процеси для переміщення об'єкта пізніше.

— Дейтон Браун

Делегування контролю та попереднє створення комп'ютерних об'єктів - це різні речі. Ви хочете заздалегідь створені комп'ютерні об’єкти. Коли ваша "технічна мавпа" ставить ПК на стіл, встановлює ім'я та приєднується до домену, який ви хочете, щоб сценарії запуску та GPO, необхідні для попередньої підготовки машини та встановлення всього програмного забезпечення на свіже заводське зображення, щоб воно "просто працювало". Мені подобається такий тип розгортання ПК, і я би знімав його в організації з 10 ПК (адже врешті-решт комп'ютери будуть замінені).

— Еван Андерсон

Насправді вони пов'язані між собою. Якщо у вас є кілька груп адміністраторів, і ви розгорнули кілька моделей OU для їх підтримки, то ви делегуєте контроль для створення комп'ютерів, зокрема, ОУ (ви не даєте адміністратору можливості створювати комп'ютерні облікові записи скрізь). Це забезпечує збереження облікових записів комп'ютерів у потрібному місці. Однак це означає, що їх потрібно заздалегідь створити.

— К. Брайан Келлі