AD okumak, makineyi etki alanına katılmak, bilgisayar hesaplarını silmek ve bilgisayarları OU'lara taşımak için hesap

11

Aşağıdakileri gerçekleştirecek bir hesap oluşturmak istiyorum:

  • Bilgisayarları bir etki alanına katma (normal bir kullanıcı gibi 10 ile sınırlı değildir)
  • AD'deki bilgisayar hesaplarını kontrol edin
  • Bilgisayarları AD'den sil
  • Bilgisayarları OU'lar arasında taşıma

Başka bir şey yapmasına izin vermek istemiyorum, bu yüzden bir etki alanı yönetici hesabı istemiyorum.

Biri bana izinler konusunda doğru yönde rehberlik edebilir mi? Denetim sihirbazı temsilcisini kullanmam gerekip gerekmediğinden emin değil misiniz?

Alkış,

Ben

security  active-directory  permissions 
Ben
kaynak
1
Bu bir sunucu 2008 veya 2003 ortamı için mi?
Campo
2000/2003 (Eski skool, korkarım - hala 2k'dayız, ancak 2k3'e orta yükseltme yaptık)
Ben

Yanıtlar:

13

Aslında bunu son zamanlarda kendim için ayarlamak zorunda kaldım. PXE önyüklemesi yapıldığında ve bir hizmet hesabı olarak çalıştığında yeni bilgisayarlar için bilgisayar ön hazırlığı yapan bazı özel kodlarımız var.

  • AD'deki bilgisayar hesaplarını kontrol edin

Etki Alanı Kullanıcıları grubundaki herhangi bir kullanıcı, yerlerdeki varsayılan izinleri değiştirmediyseniz veya bir şeylere ACL Reddetme özelliğini eklemediyseniz, bunu herhangi bir ek izin olmadan kutudan çıkarabilmelidir.

  • Bilgisayarları bir etki alanına katma (normal bir kullanıcı gibi 10 ile sınırlı değildir)
  • Bilgisayarları AD'den sil
  • Bilgisayarları OU'lar arasında taşıma

Bunlar için önce bu erişimin nereye verilmesini istediğinize karar vermelisiniz. Sadece alan adının kökünde izin vermek kolaydır, ancak çok akıllıca değildir. Genellikle, bilgisayar hesaplarının bulunduğu bir kuruluş biriminiz veya kuruluş biriminiz vardır. Bu nedenle, özellikle bu kapsayıcılara aşağıdaki izinleri uygulamanız gerekir. Bir bilgisayarı etki alanına katılma izinleri, yalnızca bir bilgisayar hesabı oluşturma ve özelliklerini ayarlama yeteneğini gerektirir. Bir bilgisayarı OU'lar arasında taşımak, hesabı bir yerden silebilir ve başka bir yerde oluşturabilir. Tüm bunlar, her bir OU için hangi izinleri vermeniz gerektiğini söyler:

  • Bu nesne ve tüm torunları
    • Bilgisayar nesneleri oluşturma
    • Bilgisayar nesnelerini silme
  • Torun Bilgisayar nesneleri
    • Tüm mülkleri oku
    • Tüm özellikleri yaz
    • Şifre değiştir
    • Şifreyi yenile
    • DNS ana bilgisayar adına doğrulanmış yazma
    • Hizmet müdürüne doğrulanmış yazma

Ayrıca ek bir tavsiyem var. Bu izinleri doğrudan hizmet hesabına vermeyin. Bilgisayar Yöneticileri gibi bir grup oluşturun ve hizmet hesabını bu grubun üyesi yapın. Ardından, gruba izinleri verin. Bu şekilde, aynı izinlere ihtiyaç duyan ek kişi veya hizmet hesaplarınız varsa, yalnızca grubun üyeliğini değiştirmeniz gerekir.

Ryan Bolger
kaynak
4

"Bilgisayar yöneticileri" gibi bir grup oluşturun ve ardından Active Directory Kullanıcıları ve Bilgisayarları MMC ek bileşenini açın, hak vermelerini istediğiniz OU'ya sağ tıklayın, onlara tüm etki alanı üzerinde hak vermek istiyorsanız, etki alanı adına sağ tıklayın, temsilci denetimini seçin seçeneği.

ortaya çıkan sihirbazda daha önce oluşturduğunuz grubu seçin "bilgisayar yöneticileri" İleri'yi tıklayın ve ardından temsilci atamak için Özel Görev Oluştur'u ve ardından İleri'yi tıklatın.

Sonra seçmek "klasöründe yalnızca aşağıdaki nesneler" sonra kene "bilgisayar nesneleri" listesinden ve ayrıca altta iki kutuları işaretleyin. "klasörde seçili nesneyi oluştur" ve "klasörde seçili nesneyi sil" i tıklayın.

Bir sonraki ekranda listeden "Tam kontrol" ü seçin ve ardından tıklayın

bir sonraki ekran size delegasyon özetini gösterecek ve bitir butonuna tıklayacaktır.

tamamlandığında, kullanıcılardan birini "bilgisayar yöneticileri" grubuna ekleyin ve istediğiniz çeşitli görevleri yerine getirmeye çalışın.

KAPes
kaynak
1

Evet, kontrol yetkisi kullanmalısınız. Bunu nasıl yapacağımı adım adım açıklayabilsem de, daha kolay bir çözüm var. ADManagerPlus'ı ManageEngine'den indirip yükleyin ve işleri kendiniz ayarlamak için AD Delegasyon aracını kullanın. Söz konusu kullanıcılara uygun erişimi sağlamak için kullanabileceğiniz önceden tanımlanmış Yardım Masası rolleri vardır. Aradığın şey olduğuna inandığım için Modifiy Bilgisayarlar rolüne bak.

joeqwerty
kaynak
1

Aşağıdaki gibi kullanmaları için belirli bir "Görev Defteri" mmc oluşturabilirsiniz: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

Temel olarak, MMC'nin kullanıcı oluşturma, bilgisayar oluşturma vb. Gibi belirli kontrolleri kullanarak kilitlenmiş özelleştirilmiş bir sürümü. Temsilci ayarlarına / izinlerine bağlı olarak, oradan ne yapabileceklerini belirler.

grizly
kaynak
1
İyi bir öneri, ancak diğer araç veya yöntemleri kullanmaya erişimi olanları kısıtlamaz. Yönetici paketini yükler ve ADUC'u başlatırlarsa, uygun türde kullanıcı hesabıyla denetim yetkisi kullanmadığınız sürece her şeye erişebilirler. Belirsizlik yoluyla güvenlik kullanılan tek emniyet mekanizması olmamalıdır.
joeqwerty
adda'yı kullanarak ldap ağacında izinleri ayarlayabilirsiniz ("Görünüm -> gelişmiş özellikler" kullanın ve OU'ların vb. üzerindeki güvenlik sekmesini görebilirsiniz), böylece normal kullanıcılar ayarları / şeyleri değiştiremezler. Yalnızca bunları görüntüleyebilirler. Ancak, bir çalışana görevler devretmeyi planlıyorsanız, onlara güveneceğinizi umarız
Grizly
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.