Какой смысл создавать компьютерный объект в Active Directory, когда вам все еще нужно подключиться к ПК?

10

Какой смысл создавать компьютерный объект в Active Directory, когда вам все еще нужно присоединить компьютеры к домену, который затем все равно создает объект?

active-directory Скотт Йохансен
источник
Я не думаю, что когда-либо создавал компьютерный объект вручную, так почему бы вам? Есть ли причина специально создавать объекты компьютеров в структуре AD, не подключая этот компьютер к домену?
Му
1
Если у вас есть структура групповой политики, которая требует, чтобы определенные учетные записи компьютеров находились в определенных подразделениях, вы можете убедиться, что она не смещена, создав ее сначала. В противном случае он добавляется в подразделение «Серверы» по умолчанию, если создается динамически.
Спулсон
1
Он переходит в «Компьютеры» по умолчанию, если вы не измените значение по умолчанию. Это контейнер, а не OU.
ThatGraemeGuy

Ответы:

16

Когда вы сначала создаете учетную запись, вы можете с самого начала разместить ее в нужном подразделении (и с соответствующими группами безопасности, кредитами для Эвана Андерсона).

Оскар Дювеборн
источник
2
... и правильные группы безопасности. «Компьютеры тоже люди».
Эван Андерсон
По крайней мере, они тоже пользователи, пока :)
Оскар Дювеборн
1
Мне нравится, что вы ответили на комментарий, которому 7 лет. Мне также нравится, что я отвечаю на этот ответ. > улыбка <Рад тебя слышать, Оскар! Это было давно, и я больше не обхожу эти места.
Эван Андерсон
9

Вы можете предварительно создать объект компьютера и назначить разрешение не администратору для выполнения объединения.

ThatGraemeGuy
источник
8

Мы делегировали возможность создавать учетные записи компьютеров. Однако мы делегировали его в соответствующее подразделение организации. Итак, учитывая типичный contoso.com, который использует Microsoft, представьте, что для Европы существует подразделение. Мы хотим убедиться, что все компьютерные объекты создаются в Европе европейскими администраторами. Это гарантирует, что все объекты групповой политики применяются соответствующим образом, и гарантирует, что вы не получите эту загроможденную папку компьютеров в корне. Когда приходят администраторы США, они могут создавать только учетные записи компьютеров в подразделении США. Опять же, объекты групповой политики применяются правильно и т. Д. Это также гарантирует, что администратор США не сможет получить учетную запись компьютера в Европе. Вы поняли идею.

К. Брайан Келли
источник
2
Прекрасный пример. В целом, я думаю, что большинство небольших организаций (менее 200–300 компьютерных объектов) не будут ощущать необходимость в предварительной обработке компьютерных объектов, если у них есть процессы для перемещения объекта позднее.
Дейтон Браун
Делегирование управления и предварительное создание компьютерных объектов - разные вещи. Вы хотите предварительно созданные компьютерные объекты. Когда ваша «техническая обезьяна» ставит ПК на рабочий стол, задает имя и присоединяется к домену, для которого вам нужны сценарии запуска и объекты групповой политики, необходимые для подготовки машины и установки всего программного обеспечения на заводской свежий образ, чтобы «просто работать». Мне нравятся подобные развертывания на ПК, и я хотел бы использовать их в организации с 10 ПК (потому что в конечном итоге компьютеры будут заменены).
Эван Андерсон
На самом деле, они связаны друг с другом. Если у вас есть несколько групп администраторов, и вы развернули модель нескольких подразделений для их поддержки, то вы делегируете управление созданию компьютеров в определенных подразделениях (вы не предоставляете администратору возможность создавать учетные записи компьютеров везде). Это гарантирует, что учетные записи компьютеров остаются в нужном месте. Однако это означает, что они должны быть предварительно созданы в результате.
К. Брайан Келли