PCに参加する必要がある場合に、Active Directoryでコンピューターオブジェクトを作成するポイントは何ですか？

10

コンピューターをドメインに参加させる必要がある場合にActive Directoryにコンピューターオブジェクトを作成し、それによってオブジェクトを作成する意味は何ですか？

active-directory

— スコット・ヨハンセン
ソース

これまでに手動でコンピューターオブジェクトを作成したことがないと思いますが、なぜあなたはなぜでしょうか？そのコンピューターをドメインに参加させずに、AD構造内に具体的にコンピューターオブジェクトを作成する理由はありますか？

— Moo

1

特定のコンピューターアカウントを特定のOUに配置する必要があるグループポリシー構造がある場合は、最初に作成することで、配置を間違えないようにすることができます。それ以外の場合、動的に作成された場合、デフォルトの「サーバー」OUに入ります。

— スポールソン2009

1

デフォルトを変更しない限り、デフォルトで「コンピュータ」に入ります。これはOUではなくコンテナです。

— ThatGraemeGuy 2009

16

最初にアカウントを作成すると、最初から適切なOU（および適切なセキュリティグループ、Evan Andersonの資格情報）にアカウントを配置できます。

— オスカー・デューブボーン
ソース

2

...そして適切なセキュリティグループ。「コンピューターも人間だ」と語った。

— エヴァンアンダーソン

少なくとも彼らは今のところユーザーでもある:)

— Oskar Duveborn

1

7歳のコメントに返信していただきありがとうございます。さらに、その返信に返信していることも気に入っています。> smile <オスカーさん、よろしくお願いします！久しぶりで、こういう部分はもう回らない。

— エヴァンアンダーソン

9

コンピュータオブジェクトを事前に作成し、管理者以外のユーザーに参加を実行する権限を割り当てることができます。

— そのGraemeGuy
ソース

8

コンピュータアカウントを作成する機能を委任しました。ただし、組織の適切なOUに委任しました。したがって、Microsoftが使用する典型的なcontoso.comを考えて、ヨーロッパ用のOUがあると想像してください。すべてのコンピューターオブジェクトがヨーロッパでヨーロッパの管理者によって作成されるようにする必要があります。これにより、すべてのGPOが適切に適用され、この雑然としたコンピューターフォルダーがルートに配置されなくなります。米国の管理者は、米国のOUでのみコンピューターアカウントを作成できます。繰り返しになりますが、GPOは適切に適用されます。また、米国の管理者がヨーロッパのコンピューターアカウントを取得できないようにします。あなたはアイデアを得ます。

— Kブライアンケリー
ソース

2

完璧な例。一般に、ほとんどの小規模な組織（200〜300未満のコンピューターオブジェクト）では、後でオブジェクトを移動するためのプロセスが用意されている限り、コンピューターオブジェクトを事前に作成する必要はないと考えます。

— Dayton Brown、

制御の委任とコンピューターオブジェクトの事前作成は異なります。事前に作成されたコンピューターオブジェクトが必要です。"tech monkey"がPCを机の上に置き、名前を設定して、マシンを準備し、すべてのソフトウェアを工場出荷時のイメージにインストールして「そのまま動作」させるために必要な起動スクリプトとGPOが必要なドメインに参加すると、私はこの種のPC展開が大好きで、10台のPCを備えた組織でそれを狙っています（最終的にコンピューターが置き換えられるためです）。

— エヴァンアンダーソン

実際、それらは結びついています。複数の管理者グループがあり、それらをサポートするために複数のOUモデルを展開している場合は、特定のOUでコンピューターを作成するための制御を委任します（管理者がどこにでもコンピューターアカウントを作成できるようにすることはできません）。これにより、コンピュータアカウントが適切な場所に留まることが保証されます。ただし、これは結果として事前に作成する必要があることを意味します。

— K.ブライアンケリー