AD를 읽고, 컴퓨터를 도메인에 가입시키고, 컴퓨터 계정을 삭제하고, 컴퓨터를 OU로 이동하는 계정

11

다음을 수행 할 계정을 만들고 싶습니다.

  • 컴퓨터를 도메인에 연결 (일반 사용자와 같이 10 개로 제한되지 않음)
  • AD에서 컴퓨터 계정 확인
  • AD에서 컴퓨터 삭제
  • OU간에 컴퓨터 이동

다른 작업을 수행하고 싶지 않으므로 도메인 관리자 계정을 원하지 않습니다.

누구든지 권한 측면에서 올바른 방향으로 나를 안내 할 수 있습니까? 제어 위임 마법사를 사용해야하는지 확실하지 않습니까?

건배,

security  active-directory  permissions 

소스
1
서버 2008 또는 2003 환경에 해당합니까?
Campo
2000/2003 (오래된 스쿨, 나는 두려워-우리는 여전히 2k에 있지만 2k3로 중간 업그레이드)
Ben

답변:

13

나는 실제로 이것을 최근에 스스로 설정해야했습니다. 새 컴퓨터가 PXE 부팅시 서비스 계정으로 실행되는 경우 컴퓨터를 미리 준비하는 사용자 지정 코드가 있습니다.

  • AD에서 컴퓨터 계정 확인

작업 공간에서 기본 권한을 변경하거나 사물에 대한 ACL 거부를 추가하지 않은 한 Domain Users 그룹 의 모든 사용자는 추가 권한없이이 작업을 즉시 수행 할 수 있어야합니다.

  • 컴퓨터를 도메인에 연결 (일반 사용자와 같이 10 개로 제한되지 않음)
  • AD에서 컴퓨터 삭제
  • OU간에 컴퓨터 이동

이를 위해서는 먼저이 액세스 권한을 부여 할 위치를 결정해야합니다. 도메인의 루트에서 권한을 부여하는 것은 쉽지만 현명하지는 않습니다. 일반적으로 컴퓨터 계정이있는 OU 또는 OU 집합이 있습니다. 따라서 해당 컨테이너에 구체적으로 다음 권한을 적용해야합니다. 컴퓨터를 도메인에 가입하려면 컴퓨터 계정을 만들고 속성을 설정해야합니다. OU간에 컴퓨터를 이동하려면 한 곳에서 계정을 삭제하고 다른 곳에서 계정을 만들 수 있어야합니다. 모든 OU에 대해 각 OU에 부여해야하는 권한은 다음과 같습니다.

  • 이 개체와 모든 자손
    • 컴퓨터 객체 생성
    • 컴퓨터 개체 삭제
  • 하위 컴퓨터 개체
    • 모든 속성 읽기
    • 모든 속성 작성
    • 비밀번호 변경
    • 암호를 재설정
    • DNS 호스트 이름에 대한 유효한 쓰기
    • 서비스 주체에 대한 유효한 쓰기

또한 조언이 조금 더 있습니다. 이러한 권한을 서비스 계정에 직접 부여하지 마십시오. Computer Admins 와 같은 그룹을 만들고 서비스 계정을 해당 그룹의 구성원으로 만듭니다. 그런 다음 그룹에 권한을 부여하십시오. 이렇게하면 동일한 권한이 필요한 추가 사람 또는 서비스 계정이있는 경우 그룹의 구성원 만 수정하면됩니다.

라이언 볼거
소스
4

"컴퓨터 관리자"와 같은 그룹을 만든 다음 Active Directory 사용자 및 컴퓨터를 엽니 다. MMC 스냅인은 OU를 마우스 오른쪽 단추로 클릭하고 권한을 부여하려는 경우 전체 도메인에 대한 권한을 부여하려면 도메인 이름을 마우스 오른쪽 단추로 클릭하고 대리인 제어를 선택 합니다. 선택권.

결과 마법사에서 이전에 "컴퓨터 관리자"를 작성한 그룹을 선택하고 다음을 클릭 한 후 사용자 정의 태스크 작성 을 클릭 하여 위임 한 후 다음을 클릭하십시오.

그런 다음 "폴더의 다음 개체 만"을 선택한 다음 목록에서 "컴퓨터 개체" 를 선택하고 아래쪽에있는 두 상자를 선택하십시오. "폴더에서 선택된 객체 생성""폴더에서 선택된 객체 삭제" 다음을 클릭하십시오.

다음 화면 의 목록에서 "모든 권한" 을 선택한 후 다음을 클릭하십시오.

다음 화면에는 위임 요약이 표시되고 완료를 클릭하십시오.

완료되면 사용자 중 하나를 "컴퓨터 관리자"그룹에 추가하고 원하는 다양한 작업을 수행하십시오.

KAPes
소스
1

그렇습니다. 통제 위임을 사용해야합니다. 이 작업을 수행하는 방법을 단계별로 설명하고 설명 할 수는 있지만 더 쉬운 해결책이 있습니다. ManageEngine에서 ADManagerPlus 를 다운로드하여 설치 하고 AD 위임 도구를 사용하여 직접 설정하십시오. 해당 사용자에게 적절한 액세스 권한을 부여하는 데 사용할 수있는 사전 정의 된 헬프 데스크 역할이 있습니다. 그것이 당신이 찾고있는 것이라고 생각하는 Modifiy Computers 역할을 살펴보십시오.

joeqwerty
소스
1

http://www.petri.co.il/create_taskpads_for_ad_operations.htm 과 같이 사용할 특정 "Taskpad"mmc를 만들 수 있습니다 .

기본적으로 사용자 만들기, 컴퓨터 만들기 등과 같은 특정 컨트롤을 사용하도록 고정 된 사용자 지정 MMC 버전은 위임 설정 / 권한에 따라 수행 할 수있는 작업을 결정합니다.

그리즐리
소스
1
좋은 제안이지만 다른 도구 나 방법을 사용하여 액세스 할 수있는 내용을 제한하지는 않습니다. 관리자 팩을 설치하고 ADUC를 시작하면 적절한 유형의 사용자 계정으로 제어 위임을 사용하지 않는 한 모든 것에 액세스 할 수 있습니다. 모호성을 통한 보안이 사용중인 유일한 안전 메커니즘이되어서는 안됩니다.
joeqwerty
일반 사용자가 설정 / 사물을 변경할 수 없도록 aduc ( "보기-> 고급 기능"을 사용하고 OU 등의 보안 탭을 볼 수 있음)를 사용하여 ldap 트리에 대한 권한을 설정할 수 있습니다. 그러나 직원에게 업무를 위임 할 계획이라면이를 신뢰하기를 바랍니다.
Grizly
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.