我是一个交易的Linuxpipe理员,我的新工作让我pipe理Windows服务器。
我正在尝试使用打包器创buildWindows Server 2012基础映像。 作为configuration的一部分,虚拟机需要通过脚本连接到活动目录。 显然我不想把我的个人密码写入脚本。
是否有可能在Active Directory中创build一个有权将计算机绑定到AD的用户,但不能执行任何其他操作(为了遵从)?
通常,每个Active Directory用户最多可以将10个计算机帐户添加到域中,而无需成为域pipe理员; 但是,这种行为可以通过域策略来定制,因此可能不是您的情况; 即使是这样,只要需要使用相同的用户帐户添加第11台计算机,就会遇到问题。
正确的方法是授予此用户帐户特殊权限“创build计算机对象”Active Directory中的“计算机”容器(默认情况下添加新计算机),和/或在任何其他新计算机可以被添加(尽pipe在默认的“计算机”容器之外的目录中的某个地方添加它们有点困难)。
https://technet.microsoft.com/en-us/library/cc780195(v=ws.10).aspx
当然,创build你的账户,不要把它join任何组织,并把它放在公元的某个地方,因为它不会得到组策略分配的任何权利。 默认情况下,经过身份validation的用户可以将计算机join域,如果已更改,则需要确保通过组策略将您的帐户添加到域右侧。 这是在计算机configuration\ Windows设置\安全设置\本地策略\用户权利指派。 您也可以通过在要放置计算机的OU上提供帐户权限来执行此操作。 要做到这一点授予该帐户创build计算机对象的权限,你想要它使用的OU。