Quero criar uma conta que execute o seguinte:
- Associe computadores a um domínio (não restrito a 10, como um usuário normal)
- Verifique contas de computador no AD
- Excluir computadores do AD
- Mover computadores entre UOs
Não quero permitir que ele faça mais nada; portanto, não quero uma conta de administrador de domínio.
Alguém pode me orientar na direção certa em termos de permissões? Não tem certeza se devo usar o assistente de delegação de controle?
Felicidades,
Ben
Respostas:
Na verdade, eu tive que configurar isso para mim recentemente. Temos um código personalizado que faz a pré-teste do computador para novos computadores quando o PXE inicializa e é executado como uma conta de serviço.
Qualquer usuário do grupo Usuários do Domínio deve poder fazer isso imediatamente, sem permissões adicionais, a menos que você tenha alterado as permissões padrão em alguns locais ou adicionado Negar ACLs às coisas.
Para isso, primeiro você precisa decidir onde deseja que esse acesso seja concedido. É fácil apenas conceder permissões na raiz do domínio, mas não muito sensato. Normalmente, você tem uma UO ou conjunto de UOs em que as contas de computador estão ativas. Portanto, você deve aplicar as seguintes permissões especificamente a esses contêineres. As permissões para ingressar um computador no domínio exigem apenas a capacidade de criar uma conta de computador e definir suas propriedades. Mover um computador entre UOs requer a capacidade de excluir a conta de um local e criá-la em outro. Tudo isso dito, eis as permissões que você precisa conceder em cada UO:
Eu também tenho um conselho adicional. Não conceda essas permissões diretamente à conta de serviço. Crie um grupo como Administradores de Computador e torne a conta de serviço um membro desse grupo. Em seguida, conceda as permissões ao grupo. Dessa forma, se você tiver pessoas ou contas de serviço adicionais que precisem das mesmas permissões, precisará modificar apenas a associação do grupo.
fonte
Crie um grupo como "administradores de computadores" e abra o snap-in MMC Usuários e Computadores do Active Directory, clique com o botão direito do mouse na UO onde deseja que eles concedam direitos; se você deseja conceder direitos sobre todo o domínio, clique com o botão direito do mouse no nome de domínio e selecione delegar controle opção.
no assistente resultante, selecione o grupo que você criou anteriormente "administradores do computador", clique em Avançar, clique em Criar uma tarefa personalizada para delegar e clique em Avançar.
selecione "apenas os seguintes objetos na pasta" e marque "objetos de computador" na lista e marque as duas caixas na parte inferior. "criar objeto selecionado na pasta" e "excluir objeto selecionado na pasta" clique em Avançar.
Na próxima tela, selecione "Controle total" na lista e clique em Avançar.
A próxima tela mostrará o resumo da delegação e clique em Concluir.
Quando terminar, adicione um dos usuários ao grupo "administradores do computador" e tente executar várias tarefas que você deseja.
fonte
Sim, você deve usar a delegação de controle. Embora eu possa explicar e explicar passo a passo como fazer isso, há uma solução mais fácil. Faça o download e instale o ADManagerPlus no ManageEngine e use a ferramenta de delegação do AD para configurar as coisas por conta própria. Eles têm funções de suporte técnico predefinidas que você pode usar para conceder o acesso apropriado aos usuários em questão. Olhe para o papel de Modifiy Computers, pois acredito que é isso que você está procurando.
fonte
Você pode criar um mmc "Taskpad" específico para uso, como aqui: http://www.petri.co.il/create_taskpads_for_ad_operations.htm
Basicamente, é uma versão personalizada do MMC, que está bloqueada para o uso de certos controles, como criar usuários, criar computadores etc. Dependendo das configurações / permissões da delegação, determina o que eles podem fazer a partir daí.
fonte