Konto zum Lesen von AD, Beitritt des Computers zur Domäne, Löschen von Computerkonten und Verschieben von Computern in Organisationseinheiten

Ich möchte ein Konto erstellen, das Folgendes ausführt:

• Verbinden Sie Computer mit einer Domäne (nicht wie bei einem normalen Benutzer auf 10 beschränkt)
• Suchen Sie in AD nach Computerkonten
• Löschen Sie Computer aus AD
• Verschieben Sie Computer zwischen Organisationseinheiten

Ich möchte nicht zulassen, dass es etwas anderes tut, also möchte ich kein Domain-Administratorkonto.

Kann mich jemand in Bezug auf Berechtigungen in die richtige Richtung führen? Sie sind sich nicht sicher, ob ich den Assistenten zum Delegieren von Steuerelementen verwenden soll?

Prost,

Ben

Ich musste das kürzlich für mich selbst einrichten. Wir haben einen benutzerdefinierten Code, der Computer-Prestaging für neue Computer durchführt, wenn diese PXE starten und als Dienstkonto ausgeführt werden.

• Suchen Sie in AD nach Computerkonten

Jeder Benutzer in der Gruppe " Domänenbenutzer " sollte dies ohne zusätzliche Berechtigungen sofort tun können, es sei denn, Sie haben die Standardberechtigungen an bestimmten Stellen geändert oder "ACLs verweigern" hinzugefügt.

• Verbinden Sie Computer mit einer Domäne (nicht wie bei einem normalen Benutzer auf 10 beschränkt)
• Löschen Sie Computer aus AD
• Verschieben Sie Computer zwischen Organisationseinheiten

Für diese müssen Sie zunächst entscheiden, wo dieser Zugriff gewährt werden soll. Es ist einfach, Berechtigungen im Stammverzeichnis der Domäne zu erteilen, aber nicht besonders klug. Normalerweise haben Sie eine Organisationseinheit oder eine Gruppe von Organisationseinheiten, in denen Computerkonten leben. Daher sollten Sie die folgenden Berechtigungen speziell auf diese Container anwenden. Die Berechtigung zum Beitritt eines Computers zur Domäne erfordert lediglich die Möglichkeit, ein Computerkonto zu erstellen und dessen Eigenschaften festzulegen. Um einen Computer zwischen Organisationseinheiten zu verschieben, muss das Konto von einem Ort gelöscht und an einem anderen erstellt werden können. Im Folgenden finden Sie die Berechtigungen, die Sie für jede Organisationseinheit erteilen müssen:

• Dieses Objekt und alle Nachkommen
  • Erstellen Sie Computerobjekte
  • Computerobjekte löschen
• Nachkommende Computerobjekte
  • Lesen Sie alle Eigenschaften
  • Schreiben Sie alle Eigenschaften
  • Passwort ändern
  • Passwort zurücksetzen
  • Validiertes Schreiben in den DNS-Hostnamen
  • Validiertes Schreiben an den Service-Principal

Ich habe auch einen zusätzlichen Rat. Gewähren Sie diese Berechtigungen nicht direkt dem Dienstkonto. Erstellen Sie eine Gruppe wie Computeradministratoren und machen Sie das Dienstkonto zu einem Mitglied dieser Gruppe. Gewähren Sie dann der Gruppe die Berechtigungen. Auf diese Weise müssen Sie nur die Mitgliedschaft der Gruppe ändern, wenn Sie über zusätzliche Personen oder Dienstkonten verfügen, die dieselben Berechtigungen benötigen.

Erstellen Sie eine Gruppe wie "Computeradministratoren" und öffnen Sie das MMC-Snap-In "Active Directory-Benutzer und -Computer". Klicken Sie mit der rechten Maustaste auf die Organisationseinheit, in der sie Rechte erteilen sollen. Wenn Sie ihnen Rechte für die gesamte Domäne erteilen möchten, klicken Sie mit der rechten Maustaste auf den Domänennamen, und wählen Sie " Delegatsteuerung" aus Möglichkeit.

Wählen Sie im daraufhin angezeigten Assistenten die Gruppe aus, die Sie zuvor erstellt haben. Klicken Sie auf Weiter und dann auf Benutzerdefinierte Aufgabe zum Delegieren erstellen und dann auf Weiter.

Wählen Sie dann "nur die folgenden Objekte im Ordner" aus, aktivieren Sie dann "Computerobjekte" in der Liste und aktivieren Sie die beiden Kästchen unten. "Ausgewähltes Objekt im Ordner erstellen" und "Ausgewähltes Objekt im Ordner löschen" klicken Sie auf Weiter.

Wählen Sie im nächsten Bildschirm "Vollzugriff" aus der Liste aus und klicken Sie auf "Weiter"

Der nächste Bildschirm zeigt eine Zusammenfassung der Delegierung und dann auf Fertig stellen.

Wenn Sie fertig sind, fügen Sie einen der Benutzer zur Gruppe "Computeradministratoren" hinzu und versuchen Sie, verschiedene Aufgaben auszuführen, die Sie möchten.

Ja, Sie sollten die Delegation der Kontrolle verwenden. Ich könnte zwar Schritt für Schritt erklären, wie das geht, aber es gibt eine einfachere Lösung. Laden Sie ADManagerPlus von ManageEngine herunter, installieren Sie es und verwenden Sie das AD-Delegierungstool, um die Einstellungen selbst vorzunehmen. Sie haben vordefinierte Helpdesk-Rollen, mit denen Sie den betreffenden Benutzern den entsprechenden Zugriff gewähren können. Schauen Sie sich die Rolle von Modifiy Computers an, da ich glaube, dass Sie danach suchen.

Sie können ein bestimmtes "Taskpad" mmc erstellen, das sie verwenden können, wie hier: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

Grundsätzlich handelt es sich um eine angepasste Version von MMC, die für die Verwendung bestimmter Steuerelemente wie das Erstellen von Benutzern, das Erstellen von Computern usw. gesperrt ist. Abhängig von den Delegierungseinstellungen / -berechtigungen wird festgelegt, was sie von dort aus tun können.