Учетная запись для чтения AD, присоединение компьютера к домену, удаление учетных записей компьютеров и перемещение компьютеров в подразделения.

11

Я хочу создать учетную запись, которая будет выполнять следующее:

  • Присоедините компьютеры к домену (не ограничиваясь 10, как обычный пользователь)
  • Проверьте учетные записи компьютеров в AD
  • Удалить компьютеры из AD
  • Переместить компьютеры между подразделениями

Я не хочу позволять этому делать что-то еще, поэтому не хочу иметь учетную запись администратора домена.

Кто-нибудь может направить меня в правильном направлении с точки зрения разрешений? Не уверен, стоит ли использовать мастер делегирования управления?

Ура,

Бен

security active-directory permissions Бен
источник
1
Это для среды сервера 2008 или 2003?
Кампо
2000/2003 (я боюсь, старая школа - мы все еще на 2k, но в середине обновления до 2k3)
Бен

Ответы:

13

Я на самом деле должен был установить это для себя недавно. У нас есть некоторый пользовательский код, который выполняет предварительную настройку компьютера для новых компьютеров при загрузке PXE и ​​запускается как учетная запись службы.

  • Проверьте учетные записи компьютеров в AD

Любой пользователь в группе « Пользователи домена » должен иметь возможность делать это «из коробки» без каких-либо дополнительных разрешений, если только вы не изменили разрешения по умолчанию в некоторых местах или не добавили запрещающие списки ACL для вещей.

  • Присоедините компьютеры к домену (не ограничиваясь 10, как обычный пользователь)
  • Удалить компьютеры из AD
  • Переместить компьютеры между подразделениями

Для этого вы сначала должны решить, где вы хотите, чтобы этот доступ был предоставлен. Легко просто предоставить разрешения в корне домена, но не очень мудро. Обычно у вас есть подразделение или набор подразделений, в которых находятся учетные записи компьютеров. Таким образом, вы должны применить следующие разрешения для этих контейнеров специально. Для разрешения присоединения компьютера к домену требуется только возможность создать учетную запись компьютера и задать ее свойства. Перемещение компьютера между подразделениями требует возможности удалить учетную запись из одного места и создать ее в другом. Все это говорит о том, какие разрешения необходимо предоставить для каждого подразделения:

  • Этот объект и все потомки
    • Создание объектов компьютера
    • Удалить объекты компьютера
  • Потомок Компьютерные объекты
    • Читать все свойства
    • Написать все свойства
    • Изменить пароль
    • Сброс пароля
    • Проверенная запись на имя хоста DNS
    • Подтвержденная запись в сервис-принципал

У меня также есть дополнительный совет. Не предоставляйте эти разрешения учетной записи службы напрямую. Создайте группу, такую ​​как « Администраторы компьютера», и сделайте учетную запись службы членом этой группы. Затем предоставьте разрешения группе. Таким образом, если у вас есть дополнительные люди или учетные записи служб, которым требуются те же разрешения, вам нужно только изменить членство в группе.

Райан Болджер
источник
4

Создайте группу, подобную «администраторам компьютеров», затем откройте оснастку MMC «Active Directory - пользователи и компьютеры», щелкните правой кнопкой мыши на подразделении, где вы хотите, чтобы они предоставили права, если вы хотите дать им права на весь домен, щелкните правой кнопкой мыши на имени домена, выберите делегировать управление. вариант.

В появившемся мастере выберите группу, которую вы создали ранее, «администраторы компьютера», нажмите «Далее», затем нажмите « Создать пользовательскую задачу» для делегирования, затем нажмите «Далее».

затем выберите «только следующие объекты в папке», затем отметьте «компьютерные объекты» из списка, а также отметьте два поля внизу. «создать выбранный объект в папке» и «удалить выбранный объект в папке» нажмите «Далее».

На следующем экране выберите «Полный контроль» из списка, затем нажмите «Далее».

На следующем экране отобразится сводная информация о делегировании, а затем нажмите «Готово».

После этого добавьте одного из пользователей в группу «администраторы компьютера» и попробуйте выполнить различные задачи, которые вы хотите.

Kapes
источник
1

Да, вы должны использовать делегирование контроля. Хотя я мог бы пройтись и объяснить шаг за шагом, как это сделать, есть более простое решение. Загрузите и установите ADManagerPlus из ManageEngine и используйте инструмент делегирования AD, чтобы настроить его самостоятельно. У них есть предопределенные роли службы поддержки, которые вы можете использовать для предоставления соответствующего доступа нужным пользователям. Посмотрите на роль Modifiy Computers, так как я считаю, что это то, что вы ищете.

joeqwerty
источник
1

Вы можете создать определенную «панель задач» mmc для их использования, как здесь: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

В основном это настраиваемая версия MMC, которая заблокирована для использования определенных элементов управления, таких как создание пользователей, создание компьютеров и т. Д. В зависимости от настроек / разрешений делегирования определяет, что они могут делать оттуда.

Grizly
источник
1
Хорошее предложение, но оно не ограничивает доступ к другим инструментам или методам. Если они установят пакет администратора и запустят ADUC, у них будет доступ ко всему, если вы не используете делегирование контроля с соответствующим типом учетной записи пользователя. Безопасность через неизвестность не должна быть единственным механизмом безопасности в использовании.
Joeqwerty
вы можете установить разрешения для дерева ldap с помощью aduc (используйте «Просмотр -> дополнительные функции» и вы можете увидеть вкладку безопасности в подразделениях и т. д.), чтобы обычные пользователи не могли изменять настройки / вещи ... они могут только просматривать их. Однако, если вы планируете делегировать задачи сотруднику, можно надеяться, что вы им доверяете
Grizly