Account per leggere AD, unire la macchina al dominio, eliminare gli account dei computer e spostare i computer nelle unità organizzative

11

Voglio creare un account che eseguirà le seguenti operazioni:

  • Unisci computer a un dominio (non limitato a 10, come un normale utente)
  • Controlla gli account del computer in AD
  • Elimina computer da AD
  • Sposta i computer tra unità organizzative

Non voglio permettergli di fare nient'altro, quindi non voglio un account amministratore di dominio.

Qualcuno può guidarmi nella giusta direzione in termini di autorizzazioni? Non sei sicuro che dovrei utilizzare la delega della procedura guidata di controllo?

Saluti,

Ben

security  active-directory  permissions 
Ben
fonte
1
È per un ambiente server 2008 o 2003?
Campo
2000/2003 (Old skool, temo - siamo ancora su 2k, ma aggiornamento medio a 2k3)
Ben

Risposte:

13

In realtà ho dovuto crearlo da solo di recente. Abbiamo un codice personalizzato che fornisce il prestaging del computer per i nuovi computer quando si avviano PXE e vengono eseguiti come account di servizio.

  • Controlla gli account del computer in AD

Qualsiasi utente nel gruppo Domain Users dovrebbe essere in grado di farlo immediatamente senza alcuna autorizzazione aggiuntiva a meno che tu non abbia modificato le autorizzazioni predefinite in alcuni punti o aggiunto Deny ACLs su cose.

  • Unisci computer a un dominio (non limitato a 10, come un normale utente)
  • Elimina computer da AD
  • Sposta i computer tra unità organizzative

Per questi, devi prima decidere dove vuoi che questo accesso sia dato. È facile concedere solo le autorizzazioni alla radice del dominio, ma non terribilmente saggio. Di solito, hai un'unità organizzativa o un set di unità organizzative in cui vivono gli account dei computer. Quindi è necessario applicare le seguenti autorizzazioni a tali contenitori in modo specifico. Le autorizzazioni per unire un computer al dominio richiedono solo la possibilità di creare un account computer e impostarne le proprietà. Lo spostamento di un computer tra unità organizzative richiede la possibilità di eliminare l'account da una posizione e crearlo in un'altra. Detto questo, ecco quali autorizzazioni devi concedere su ogni unità organizzativa:

  • Questo oggetto e tutti i discendenti
    • Crea oggetti Computer
    • Elimina oggetti Computer
  • Discendente oggetti del computer
    • Leggi tutte le proprietà
    • Scrivi tutte le proprietà
    • Cambia la password
    • Resetta la password
    • Scrittura convalidata sul nome host DNS
    • Scrittura convalidata sull'entità servizio

Ho anche un altro consiglio. Non concedere queste autorizzazioni direttamente all'account del servizio. Crea un gruppo come Computer Admins e rendi l'account del servizio un membro di quel gruppo. Quindi, concedere le autorizzazioni al gruppo. In questo modo, se hai altre persone o account di servizio che richiedono le stesse autorizzazioni, devi solo modificare l'appartenenza al gruppo.

Ryan Bolger
fonte
4

Crea un gruppo come "amministratori di computer", quindi apri lo snap-in MMC Utenti e computer di Active Directory fai clic con il pulsante destro del mouse su OU nel punto in cui desideri assegnare loro i diritti, se desideri concedere loro diritti su tutto il dominio, fai clic con il pulsante destro del mouse sul nome di dominio, seleziona il controllo delegato opzione.

nella procedura guidata risultante selezionare il gruppo creato in precedenza "amministratori del computer" fare clic su Avanti, quindi fare clic su Crea un'attività personalizzata da delegare, quindi fare clic su Avanti.

quindi seleziona "solo i seguenti oggetti nella cartella" quindi seleziona "oggetti computer" dalla lista e seleziona anche le due caselle in basso. "Crea oggetto selezionato nella cartella" ed "Elimina oggetto selezionato nella cartella" fai clic su Avanti.

Nella schermata successiva selezionare "Controllo completo" dall'elenco, quindi fare clic su Avanti

la schermata successiva mostrerà il riepilogo della delega, quindi fare clic su Fine.

una volta fatto, aggiungi uno degli utenti nel gruppo "amministratori di computer" e prova a svolgere le varie attività che desideri.

Kapeš
fonte
1

Sì, dovresti utilizzare la delega di controllo. Mentre potrei passare attraverso e spiegare passo dopo passo come fare questo, c'è una soluzione più semplice. Scarica e installa ADManagerPlus da ManageEngine e usa il loro strumento di delega AD per impostare le cose per te. Hanno ruoli di Help Desk predefiniti che è possibile utilizzare per concedere l'accesso appropriato agli utenti in questione. Guarda il ruolo di Modifica computer poiché credo che sia quello che stai cercando.

joeqwerty
fonte
1

È possibile creare un mmc "Taskpad" specifico da utilizzare, come qui: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

Fondamentalmente si tratta di una versione personalizzata di MMC, bloccata all'utilizzo di determinati controlli, come la creazione di utenti, la creazione di computer, ecc. A seconda delle impostazioni / autorizzazioni della delega, determina cosa possono fare da lì.

grizly
fonte
1
Un buon suggerimento, ma non limita ciò a cui hanno accesso utilizzando altri strumenti o metodi. Se installano il pacchetto di amministrazione e avviano ADUC avranno accesso a tutto, a meno che non si utilizzi la delega di controllo con il tipo corretto di account utente. La sicurezza attraverso l'oscurità non dovrebbe essere l'unico meccanismo di sicurezza in uso.
joeqwerty,
puoi impostare le autorizzazioni sull'albero di ldap usando aduc (usa "Visualizza -> funzionalità avanzate" e puoi vedere la scheda di sicurezza delle unità organizzative ecc.) in modo che gli utenti normali non possano modificare le impostazioni / cose .. possono solo visualizzarle. Tuttavia, se hai intenzione di delegare compiti a un dipendente, si spera che ti fidi di loro
Grizly
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.