ADの読み取り、コンピューターのドメインへの参加、コンピューターアカウントの削除、コンピューターのOUへの移動を行うアカウント

11

次を実行するアカウントを作成したい:

  • コンピューターをドメインに参加させます(通常のユーザーのように、10に制限されません)
  • ADのコンピューターアカウントを確認する
  • ADからコンピューターを削除する
  • OU間でコンピューターを移動する

他の操作を許可したくないので、ドメイン管理者アカウントは必要ありません。

誰かが許可の面で正しい方向に私を導くことができますか?委任制御ウィザードを使用する必要があるかどうかわからない場合

乾杯、

ベン

security  active-directory  permissions 
ベン
ソース
1
これはサーバー2008または2003環境向けですか?
カンポ
2000年/ 2003年(古い学校、私は怖い-私たちはまだ2kであるが、2k3への中間アップグレード)
ベン

回答:

13

私は最近、自分でこれを設定しなければなりませんでした。新しいコンピューターがPXEブートしてサービスアカウントとして実行されるときに、コンピューターの事前ステージングを行うカスタムコードがいくつかあります。

  • ADのコンピューターアカウントを確認する

Domain Usersグループのすべてのユーザーは、場所の既定のアクセス許可を変更するか、物に対するACLの拒否を追加しない限り、追加のアクセス許可なしですぐにこれを行うことができます。

  • コンピューターをドメインに参加させます(通常のユーザーのように、10に制限されません)
  • ADからコンピューターを削除する
  • OU間でコンピューターを移動する

これらの場合、最初にこのアクセスを許可する場所を決定する必要があります。ドメインのルートでアクセス許可を付与するのは簡単ですが、それほど賢明ではありません。通常、コンピューターアカウントが存在するOUまたはOUのセットがあります。そのため、これらのコンテナには特に次の権限を適用する必要があります。コンピューターをドメインに参加させる権限には、コンピューターアカウントを作成し、そのプロパティを設定する機能が必要です。OU間でコンピューターを移動するには、アカウントをある場所から削除し、別の場所に作成する機能が必要です。つまり、各OUに付与する必要があるアクセス許可は次のとおりです。

  • このオブジェクトとすべての子孫
    • コンピューターオブジェクトを作成する
    • コンピューターオブジェクトを削除する
  • 子孫コンピューターオブジェクト
    • すべてのプロパティを読む
    • すべてのプロパティを書く
    • パスワードを変更する
    • パスワードを再設定する
    • DNSホスト名への検証された書き込み
    • サービスプリンシパルへの検証された書き込み

また、少しアドバイスがあります。これらのアクセス許可をサービスアカウントに直接付与しないでください。Computer Adminsなどのグループを作成し、サービスアカウントをそのグループのメンバーにします。次に、グループにアクセス許可を付与します。そのため、同じ権限を必要とする追加のユーザーまたはサービスアカウントがある場合、グループのメンバーシップを変更するだけで済みます。

ライアン・ボルジャー
ソース
4

ドメイン名を右クリックし、選択して[開くActive DirectoryユーザーとコンピュータMMCスナップインで、右クリックして、あなたは彼らが権利を与えたいOUに、あなたがそれらをドメイン全体にわたる権限を付与したい場合は、「コンピュータの管理者」のようなグループを作成し、デリゲートコントロールオプション。

表示されるウィザードで、以前に作成した「コンピューター管理者」グループを選択し、[次へ]をクリックし、[ カスタムタスクの作成 ]をクリックして委任し、[次 ]をクリックします。

[ フォルダ内の次のオブジェクトのみ]を選択し、リストから[ コンピュータオブジェクト]にチェックマークを付け、下部の2つのボックスにもチェックマークを付けます。「フォルダ内の選択したオブジェクトを作成する」およびフォルダ内の選択したオブジェクトを削除する」をクリックします。

次の画面で、リストから[ フルコントロール ]を選択し、[次へ]をクリックします

次の画面に委任の概要が表示されたら、[完了]をクリックします。

完了したら、ユーザーの1人を「コンピューター管理者」グループに追加して、必要なさまざまなタスクを実行します。

KAPes
ソース
1

はい、コントロールの委任を使用する必要があります。これを行う方法をステップごとに説明することはできますが、簡単な解決策があります。ManageEngineからADManagerPlusをダウンロードしてインストールし、AD委任ツールを使用して自分で設定します。これらには、問題のユーザーに適切なアクセスを許可するために使用できる、事前定義されたヘルプデスクの役割があります。Modifiy Computersの役割を調べてください。あなたが探しているものだと思います。

joeqwerty
ソース
1

次のように、使用する特定の「タスクパッド」mmcを作成できます。http//www.petri.co.il/create_taskpads_for_ad_operations.htm

基本的に、MMCのカスタマイズバージョンであり、ユーザーの作成、コンピューターの作成などの特定のコントロールの使用にロックされています。委任設定/権限に応じて、そこから何ができるかを決定します。

グリズリー
ソース
1
良い提案ですが、他のツールや方法を使用してアクセスできるものを制限するものではありません。管理者パックをインストールしてADUCを起動すると、適切な種類のユーザーアカウントで制御の委任を使用しない限り、すべてにアクセスできます。あいまいさによるセキュリティは、使用中の唯一の安全メカニズムではありません。
joeqwerty
aducを使用してLDAPツリーのアクセス許可を設定し([表示]-> [拡張機能]を使用し、OUなどのセキュリティタブを表示できます)、通常のユーザーは設定やものを変更できません。ただし、従業員にタスクを委任することを計画している場合は、それらを信頼することを望みます。
グリズリー
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.