Akun untuk membaca AD, gabung mesin ke domain, hapus akun komputer dan pindahkan komputer ke OU

11

Saya ingin membuat akun yang akan melakukan hal berikut:

  • Bergabunglah dengan komputer ke domain (tidak terbatas pada 10, seperti pengguna normal)
  • Periksa akun komputer dalam AD
  • Hapus komputer dari AD
  • Pindahkan komputer di antara OU

Saya tidak ingin mengizinkannya melakukan hal lain, jadi tidak ingin akun admin domain.

Adakah yang bisa memandu saya ke arah yang benar dalam hal izin? Tidak yakin apakah saya harus menggunakan delegasi kontrol penyihir?

Bersulang,

Ben

security  active-directory  permissions 
Ben
sumber
1
Apakah ini untuk lingkungan server 2008 atau 2003?
Campo
2000/2003 (Skool tua, saya khawatir - kita masih menggunakan 2k, tetapi sedang upgrade ke 2k3)
Ben

Jawaban:

13

Saya sebenarnya harus mengatur ini untuk diri saya sendiri baru-baru ini. Kami memiliki beberapa kode khusus yang melakukan pratinjau komputer untuk komputer baru saat PXE boot dan berjalan sebagai akun layanan.

  • Periksa akun komputer dalam AD

Setiap pengguna dalam grup Pengguna Domain harus dapat melakukan ini di luar kotak tanpa izin tambahan kecuali Anda telah mengubah izin default di beberapa tempat atau menambahkan Tolak ACL pada beberapa hal.

  • Bergabunglah dengan komputer ke domain (tidak terbatas pada 10, seperti pengguna normal)
  • Hapus komputer dari AD
  • Pindahkan komputer di antara OU

Untuk ini, pertama-tama Anda harus memutuskan di mana Anda ingin akses ini diberikan. Sangat mudah untuk hanya memberikan izin pada akar domain, tetapi tidak terlalu bijak. Biasanya, Anda memiliki OU atau set OU di mana akun komputer tinggal. Jadi, Anda harus menerapkan izin berikut untuk wadah tersebut secara khusus. Izin untuk bergabung dengan komputer ke domain hanya membutuhkan kemampuan untuk membuat akun komputer dan mengatur propertinya. Memindahkan komputer di antara OU membutuhkan kemampuan untuk menghapus akun dari satu tempat dan membuatnya di tempat lain. Semua yang dikatakan, inilah izin yang perlu Anda berikan pada setiap OU:

  • Objek ini dan semua keturunan
    • Buat objek Komputer
    • Hapus objek Komputer
  • Keturunan objek Komputer
    • Baca semua properti
    • Tulis semua properti
    • Ganti kata sandi
    • Setel ulang kata sandi
    • Tulis ke nama host DNS yang divalidasi
    • Prinsip menulis ke layanan yang divalidasi

Saya juga punya sedikit saran tambahan. Jangan berikan izin ini ke akun layanan secara langsung. Buat grup seperti Admin Komputer dan jadikan akun layanan anggota grup itu. Kemudian, berikan izin kepada grup. Dengan begitu jika Anda memiliki orang tambahan atau akun layanan yang memerlukan izin yang sama, Anda hanya perlu mengubah keanggotaan grup.

Ryan Bolger
sumber
4

Buat grup seperti "admin komputer" lalu buka Active Directory Users & Computers MMC klik kanan snap-in di OU di mana Anda ingin mereka memberikan hak, jika Anda ingin memberi mereka hak atas seluruh domain kemudian klik kanan pada nama domain, pilih kontrol delegasi pilihan.

di wisaya yang dihasilkan pilih grup yang Anda buat sebelumnya "admin komputer" klik berikutnya lalu klik Buat Tugas Kustom untuk didelegasikan lalu klik berikutnya.

lalu pilih "hanya objek berikut dalam folder" lalu centang "objek komputer" dari daftar dan centang juga dua kotak di bagian bawah. "buat objek yang dipilih di folder" dan "hapus objek yang dipilih di folder" klik berikutnya.

Pada layar berikutnya pilih "Kontrol penuh" dari daftar kemudian klik berikutnya

layar berikutnya akan menampilkan ringkasan delegasi, lalu klik selesai.

Setelah selesai, tambahkan salah satu pengguna ke dalam grup "admin komputer" dan cobalah untuk melakukan berbagai tugas yang Anda inginkan.

KAP
sumber
1

Ya, Anda harus menggunakan delegasi kontrol. Sementara saya bisa menjelaskan langkah demi langkah bagaimana melakukan ini, ada solusi yang lebih mudah. Unduh dan instal ADManagerPlus dari ManageEngine dan gunakan alat Delegasi AD mereka untuk mengatur semuanya sendiri. Mereka telah menetapkan peran Meja Bantuan yang dapat Anda gunakan untuk memberikan akses yang sesuai ke pengguna yang dimaksud. Lihatlah peran Modifikasi Komputer karena saya yakin itulah yang Anda cari.

joeqwerty
sumber
1

Anda dapat membuat mmc "Taskpad" khusus untuk digunakan, seperti di sini: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

Pada dasarnya ini adalah versi MMC yang disesuaikan, yang dikunci untuk menggunakan kontrol tertentu, seperti, membuat pengguna, membuat komputer dll. Tergantung pada pengaturan delegasi / izin, menentukan apa yang dapat mereka lakukan dari sana.

Grizly
sumber
1
Saran yang bagus, tetapi itu tidak membatasi apa yang mereka miliki untuk menggunakan alat atau metode lain. Jika mereka menginstal paket admin dan meluncurkan ADUC mereka akan memiliki akses ke semuanya kecuali Anda menggunakan delegasi kontrol dengan jenis akun pengguna yang tepat. Keamanan melalui ketidakjelasan seharusnya bukan satu-satunya mekanisme keselamatan yang digunakan.
joeqwerty
Anda dapat mengatur izin pada pohon ldap menggunakan aduc (gunakan "Lihat -> fitur-fitur canggih" dan Anda dapat melihat tab keamanan pada OU dll) sehingga pengguna biasa tidak dapat mengubah pengaturan / hal .. mereka hanya dapat melihatnya. Namun, jika Anda berencana mendelegasikan tugas kepada karyawan, orang akan berharap Anda memercayai mereka
Grizly
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.