Platzieren Sie ein Computerobjekt in einer Organisationseinheit basierend auf dem Benutzer, der es hinzugefügt hat

Gibt es eine Möglichkeit, einen Computer basierend auf dem Benutzer, der der Domäne beigetreten ist, automatisch in einer bestimmten Organisationseinheit zu platzieren? Zum Beispiel habe ich 5 Organisationseinheiten, und Site-Administratoren können der Domäne PCs hinzufügen, aber keinen Aspekt von AD außerhalb ihrer Organisationseinheit verwalten, und wir möchten verhindern, dass Computer in die richtige Organisationseinheit verschoben werden müssen.

Ich bin mir der Möglichkeit bewusst, den globalen Standort neuer Computer in AD zu ändern und sie in der richtigen Organisationseinheit vorab hinzuzufügen, suche jedoch nach etwas Spezifischerem, falls vorhanden.

Lassen Sie sie netdom verwenden, um den Computer mit der von ihnen verwalteten Organisationseinheit zu verbinden:

netdom help join
The syntax of this command is:


NETDOM JOIN machine /Domain:domain [/OU:ou path] [/UserD:user]
           [/PasswordD:[password | *]]
           [/UserO:user] [/PasswordO:[password | *]]
           [/PasswordM:[password | *]]
           [/ReadOnly]
           [/REBoot[:Time in seconds]]
           [/SecurePasswordPrompt]

NETDOM JOIN Joins a workstation or member server to the domain.

machine is the name of the workstation or member server to be joined

/Domain         Specifies the domain which the machine should join. You
                can specify a particular domain controller by entering
                /Domain:domain\dc. When /ReadOnly option is used, you
                must specify a domain controller.

/UserD          User account used to make the connection with the domain
                specified by the /Domain argument

/PasswordD      Password of the user account specified by /UserD.  A * means
                to prompt for the password

/UserO          User account used to make the connection with the machine to
                be joined

/PasswordO      Password of the user account specified by /UserO.  A * means
                to prompt for the password

/OU             Organizational unit under which to create the machine account.
                This must be a fully qualified RFC 1779 DN for the OU.
                If not specified, the account will be created under the default
                organization unit for machine objects for that domain.

/PasswordM      Password of the pre-created computer account, whose name is
                specified by the machine parameter. A * means to prompt
                for the password. This option must be used with /ReadOnly
                option.

/ReadOnly       Perform a domain join using a pre-created computer account and
                without performing any writes to a domain controller. This
                option therefore, does not require a writable domain controller.
                You must specify the domain controller (using /Domain option)
                and computer account password (using /PasswordM option)
                when the option is used. This option cannot be used with /OU
                option.

/REBoot         Specifies that the machine should be shutdown and automatically
                rebooted after the Join has completed.  The number of seconds
                before automatic shutdown can also be provided.  Default is
                30 seconds

/SecurePasswordPrompt
                Use secure credentials popup to specify credentials. This
                option should be used when smartcard credentials need to be
                specified. This option is only in effect when the password
                value is supplied as *

Windows Professional machines with the ForceGuest setting enabled (which is the
default for machines not joined to a domain during setup) cannot be remotely
administered. Thus the join operation must be run directly on the machine
when the ForceGuest setting is enabled.

When joining a machine running Windows NT version 4 or before to the domain
the operation is not transacted.  Thus, a failure during the operation could
leave the machine in an undetermined state with respect to the domain it is
joined to.

The act of joining a machine to the domain will create an account for the
machine on the domain if it does not already exist.


NETDOM HELP command | MORE displays Help one screen at a time.

Sie sind sich nicht sicher, was spezifischer ist, als die Computerobjekte in der richtigen Organisationseinheit vorab bereitzustellen. Wenn Sie dieses Recht bereits an die Administratoren delegiert haben, ist dies der schnellste / einfachste Weg. Sie könnten den Befehl netdom verwenden, wie Jim betonte, aber dazu muss jedes Mal der richtige LDAP-Pfad eingegeben werden, was fehleranfällig ist.

BEARBEITEN:

Eine andere Alternative, wenn Sie einen Server 2008 R2-Domänencontroller haben und Server 2008 R2-Server oder Windows 7-Clients hinzufügen, ist die Verwendung des Offline-Domänenbeitritts.

Die Administratoren müssten das Computerobjekt unter Windows 7 oder Server 2008 R2 wie folgt bereitstellen:

djoin /provision /Domain <domain> /Machine <PCName> /MachineOU <ldap Path> /Savefile <PCName>.txt

Sie könnten dann die Datei auf den Computer kopieren, um sie hinzuzufügen und auszuführen:

djoin /RequestODJ /loadfile <PCName>.txt /Windowspath C:\Windows 

Dies kann verwendet werden, um den PC zur Domäne hinzuzufügen, wenn keine Netzwerkverbindung besteht.

Sie können die Delegatensteuerungsfunktion in Active Directory verwenden, um Berechtigungen für jede bestimmte Organisationseinheit anzuwenden, in die Ihre Mitarbeiter ihre Computer ablegen sollen. Erstens, sie können keine Berechtigung zum Hinzufügen von Computerobjekten an anderer Stelle in der Domäne haben, andernfalls wird die erste gefundene Organisationseinheit ausgewählt (glaube ich!?!).

Angenommen, Sie haben eine Organisationseinheit mit dem Namen Other_Computers. 1. Klicken Sie mit der rechten Maustaste darauf, wählen Sie Steuerung delegieren, klicken Sie auf Weiter und wählen Sie dann den Benutzer aus, an den Sie die Steuerung delegieren möchten.

2. Dann wird es schwierig, anstatt die Bestandsdelegierungsaufgaben zu verwenden, müssen Sie "Benutzerdefinierte Aufgabe zum Delegieren erstellen" auswählen.
3. Wählen Sie dann "Nur die Objekte in diesem Ordner" und aktivieren Sie "Computerobjekte".
4. Aktivieren Sie dann "Ausgewählte Objekte in diesem Ordner erstellen" (Sie können auch "Ausgewählte Objekte im Ordner löschen" auswählen, wenn sie Computer löschen sollen) und klicken Sie auf "Weiter".
5. Anschließend müssen Sie im nächsten Bildschirm "Alle untergeordneten Objekte erstellen" auswählen (auch "Alle untergeordneten Objekte löschen", wenn "Objekte im Ordner löschen" ausgewählt ist).
6. Dann Weiter und Fertig und fertig.

Sobald Sie dies getan haben, werden alle Computer, die sie hinzufügen, automatisch zu dieser Organisationseinheit hinzugefügt, sofern der Benutzer keine Rechte zum Hinzufügen eines Computerobjekts an einer anderen Stelle in der Domäne hat.