我想创build一个帐户,将执行以下操作:
我不想让它做任何事情,所以不要一个域pipe理员帐户。
任何人都可以引导我在正确的方向权限? 不知道我是否应该使用控制向导委派?
干杯,
本
我最近实际上不得不为自己设置这个。 我们有一些自定义代码,用于在新的计算机进行PXE引导并作为服务帐户运行时对其进行预先计算。
域用户组中的任何用户都应该能够在没有任何其他权限的情况下执行此操作,除非您更改了位置的默认权限或添加了拒绝ACL。
对于这些,你首先必须决定你想要访问的地方。 只是在域的根目录下授予权限很容易,但不是非常明智的。 通常情况下,您有一个OU或一组计算机帐户所在的OU。 所以你应该将下列权限专门用于这些容器。 将计算机join域的权限只需要能够创build一个计算机帐户并设置它的属性。 在OU之间移动计算机需要能够从一个地方删除该账户,并在另一个地方创build该账户。 所有这一切,这是什么权限你需要授予每个OU:
我还有一些build议。 不要直接将这些权限授予服务帐户。 创build一个像“ 计算机pipe理员”这样的组,并使服务帐户成为该组的成员。 然后,授予组的权限。 这样,如果您有需要相同权限的其他人员或服务帐户,则只需修改组的成员身份。
创build一个类似“计算机pipe理员”的组,然后打开Active Directory用户和计算机MMCpipe理单元,右键单击你希望他们赋予权限的OU,如果你想让他们拥有整个域的权限,那么右键单击域名,select委托控制选项。
在结果向导中select您之前创build的组“计算机pipe理员”,单击“下一步”,然后单击“ 创build要委派的自定义任务”,然后单击下一步。
然后select“仅文件夹中的下列对象”,然后从列表中勾选“计算机对象” ,并勾选底部的两个框。 “在文件夹中创build选定的对象”和“删除文件夹中的选定对象”单击下一步。
在下一个屏幕上,从列表中select“完全控制” ,然后点击下一步
下一个屏幕会显示你的委托摘要,然后点击完成。
一旦完成,将其中一个用户添加到“计算机pipe理员”组,并尝试执行您想要的各种任务。
是的,你应该使用控制权。 虽然我可以一步一步解释如何做到这一点,但还有一个更简单的解决scheme。 从ManageEngine下载并安装ADManagerPlus ,并使用AD委托工具为自己设置。 他们具有预定义的帮助台angular色,您可以使用该angular色向相关用户授予适当的访问权限。 看看Modifiy Computers的angular色,因为我相信这就是你要找的东西。
您可以创build一个特定的“Taskpad”mmc供他们使用,如下所示: http : //www.petri.co.il/create_taskpads_for_ad_operations.htm
基本上它是一个定制版本的MMC,被locking使用某些控件,如创build用户,创build计算机等。根据委派设置/权限,确定他们可以从那里做什么。