Saya ingin membuat akun yang akan melakukan hal berikut:
- Bergabunglah dengan komputer ke domain (tidak terbatas pada 10, seperti pengguna normal)
- Periksa akun komputer dalam AD
- Hapus komputer dari AD
- Pindahkan komputer di antara OU
Saya tidak ingin mengizinkannya melakukan hal lain, jadi tidak ingin akun admin domain.
Adakah yang bisa memandu saya ke arah yang benar dalam hal izin? Tidak yakin apakah saya harus menggunakan delegasi kontrol penyihir?
Bersulang,
Ben
Jawaban:
Saya sebenarnya harus mengatur ini untuk diri saya sendiri baru-baru ini. Kami memiliki beberapa kode khusus yang melakukan pratinjau komputer untuk komputer baru saat PXE boot dan berjalan sebagai akun layanan.
Setiap pengguna dalam grup Pengguna Domain harus dapat melakukan ini di luar kotak tanpa izin tambahan kecuali Anda telah mengubah izin default di beberapa tempat atau menambahkan Tolak ACL pada beberapa hal.
Untuk ini, pertama-tama Anda harus memutuskan di mana Anda ingin akses ini diberikan. Sangat mudah untuk hanya memberikan izin pada akar domain, tetapi tidak terlalu bijak. Biasanya, Anda memiliki OU atau set OU di mana akun komputer tinggal. Jadi, Anda harus menerapkan izin berikut untuk wadah tersebut secara khusus. Izin untuk bergabung dengan komputer ke domain hanya membutuhkan kemampuan untuk membuat akun komputer dan mengatur propertinya. Memindahkan komputer di antara OU membutuhkan kemampuan untuk menghapus akun dari satu tempat dan membuatnya di tempat lain. Semua yang dikatakan, inilah izin yang perlu Anda berikan pada setiap OU:
Saya juga punya sedikit saran tambahan. Jangan berikan izin ini ke akun layanan secara langsung. Buat grup seperti Admin Komputer dan jadikan akun layanan anggota grup itu. Kemudian, berikan izin kepada grup. Dengan begitu jika Anda memiliki orang tambahan atau akun layanan yang memerlukan izin yang sama, Anda hanya perlu mengubah keanggotaan grup.
sumber
Buat grup seperti "admin komputer" lalu buka Active Directory Users & Computers MMC klik kanan snap-in di OU di mana Anda ingin mereka memberikan hak, jika Anda ingin memberi mereka hak atas seluruh domain kemudian klik kanan pada nama domain, pilih kontrol delegasi pilihan.
di wisaya yang dihasilkan pilih grup yang Anda buat sebelumnya "admin komputer" klik berikutnya lalu klik Buat Tugas Kustom untuk didelegasikan lalu klik berikutnya.
lalu pilih "hanya objek berikut dalam folder" lalu centang "objek komputer" dari daftar dan centang juga dua kotak di bagian bawah. "buat objek yang dipilih di folder" dan "hapus objek yang dipilih di folder" klik berikutnya.
Pada layar berikutnya pilih "Kontrol penuh" dari daftar kemudian klik berikutnya
layar berikutnya akan menampilkan ringkasan delegasi, lalu klik selesai.
Setelah selesai, tambahkan salah satu pengguna ke dalam grup "admin komputer" dan cobalah untuk melakukan berbagai tugas yang Anda inginkan.
sumber
Ya, Anda harus menggunakan delegasi kontrol. Sementara saya bisa menjelaskan langkah demi langkah bagaimana melakukan ini, ada solusi yang lebih mudah. Unduh dan instal ADManagerPlus dari ManageEngine dan gunakan alat Delegasi AD mereka untuk mengatur semuanya sendiri. Mereka telah menetapkan peran Meja Bantuan yang dapat Anda gunakan untuk memberikan akses yang sesuai ke pengguna yang dimaksud. Lihatlah peran Modifikasi Komputer karena saya yakin itulah yang Anda cari.
sumber
Anda dapat membuat mmc "Taskpad" khusus untuk digunakan, seperti di sini: http://www.petri.co.il/create_taskpads_for_ad_operations.htm
Pada dasarnya ini adalah versi MMC yang disesuaikan, yang dikunci untuk menggunakan kontrol tertentu, seperti, membuat pengguna, membuat komputer dll. Tergantung pada pengaturan delegasi / izin, menentukan apa yang dapat mereka lakukan dari sana.
sumber