Conta para ler o AD, associar a máquina ao domínio, excluir contas de computador e mover computadores para OUs

11

Quero criar uma conta que execute o seguinte:

  • Associe computadores a um domínio (não restrito a 10, como um usuário normal)
  • Verifique contas de computador no AD
  • Excluir computadores do AD
  • Mover computadores entre UOs

Não quero permitir que ele faça mais nada; portanto, não quero uma conta de administrador de domínio.

Alguém pode me orientar na direção certa em termos de permissões? Não tem certeza se devo usar o assistente de delegação de controle?

Felicidades,

Ben

security  active-directory  permissions 
Ben
fonte
1
Isso é para um ambiente de servidor 2008 ou 2003?
Campo
2000/2003 (skool velho, eu tenho medo - ainda estamos em 2k, mas meados atualizar para 2K3)
Ben

Respostas:

13

Na verdade, eu tive que configurar isso para mim recentemente. Temos um código personalizado que faz a pré-teste do computador para novos computadores quando o PXE inicializa e é executado como uma conta de serviço.

  • Verifique contas de computador no AD

Qualquer usuário do grupo Usuários do Domínio deve poder fazer isso imediatamente, sem permissões adicionais, a menos que você tenha alterado as permissões padrão em alguns locais ou adicionado Negar ACLs às coisas.

  • Associe computadores a um domínio (não restrito a 10, como um usuário normal)
  • Excluir computadores do AD
  • Mover computadores entre UOs

Para isso, primeiro você precisa decidir onde deseja que esse acesso seja concedido. É fácil apenas conceder permissões na raiz do domínio, mas não muito sensato. Normalmente, você tem uma UO ou conjunto de UOs em que as contas de computador estão ativas. Portanto, você deve aplicar as seguintes permissões especificamente a esses contêineres. As permissões para ingressar um computador no domínio exigem apenas a capacidade de criar uma conta de computador e definir suas propriedades. Mover um computador entre UOs requer a capacidade de excluir a conta de um local e criá-la em outro. Tudo isso dito, eis as permissões que você precisa conceder em cada UO:

  • Este objeto e todos os descendentes
    • Criar objetos de computador
    • Excluir objetos do computador
  • Objetos de computador descendentes
    • Leia todas as propriedades
    • Escreva todas as propriedades
    • Mudar senha
    • Redefinir senha
    • Gravação validada no nome do host DNS
    • Gravação validada no principal de serviço

Eu também tenho um conselho adicional. Não conceda essas permissões diretamente à conta de serviço. Crie um grupo como Administradores de Computador e torne a conta de serviço um membro desse grupo. Em seguida, conceda as permissões ao grupo. Dessa forma, se você tiver pessoas ou contas de serviço adicionais que precisem das mesmas permissões, precisará modificar apenas a associação do grupo.

Ryan Bolger
fonte
4

Crie um grupo como "administradores de computadores" e abra o snap-in MMC Usuários e Computadores do Active Directory, clique com o botão direito do mouse na UO onde deseja que eles concedam direitos; se você deseja conceder direitos sobre todo o domínio, clique com o botão direito do mouse no nome de domínio e selecione delegar controle opção.

no assistente resultante, selecione o grupo que você criou anteriormente "administradores do computador", clique em Avançar, clique em Criar uma tarefa personalizada para delegar e clique em Avançar.

selecione "apenas os seguintes objetos na pasta" e marque "objetos de computador" na lista e marque as duas caixas na parte inferior. "criar objeto selecionado na pasta" e "excluir objeto selecionado na pasta" clique em Avançar.

Na próxima tela, selecione "Controle total" na lista e clique em Avançar.

A próxima tela mostrará o resumo da delegação e clique em Concluir.

Quando terminar, adicione um dos usuários ao grupo "administradores do computador" e tente executar várias tarefas que você deseja.

KAPes
fonte
1

Sim, você deve usar a delegação de controle. Embora eu possa explicar e explicar passo a passo como fazer isso, há uma solução mais fácil. Faça o download e instale o ADManagerPlus no ManageEngine e use a ferramenta de delegação do AD para configurar as coisas por conta própria. Eles têm funções de suporte técnico predefinidas que você pode usar para conceder o acesso apropriado aos usuários em questão. Olhe para o papel de Modifiy Computers, pois acredito que é isso que você está procurando.

joeqwerty
fonte
1

Você pode criar um mmc "Taskpad" específico para uso, como aqui: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

Basicamente, é uma versão personalizada do MMC, que está bloqueada para o uso de certos controles, como criar usuários, criar computadores etc. Dependendo das configurações / permissões da delegação, determina o que eles podem fazer a partir daí.

Grizly
fonte
1
Boa sugestão, mas não restringe o que eles têm acesso ao uso de outras ferramentas ou métodos. Se eles instalarem o pacote de administração e iniciarem o ADUC, terão acesso a tudo, a menos que você use a delegação de controle com o tipo adequado de conta de usuário. A segurança através da obscuridade não deve ser o único mecanismo de segurança em uso.
Joeqwerty 27/05
você pode definir permissões na árvore ldap usando aduc (use "Exibir -> recursos avançados" e pode ver a guia de segurança nas UOs etc) para que usuários comuns não possam alterar configurações / coisas. No entanto, se você está pensando em delegar tarefas a um empregado, seria de esperar que você confiar neles
Grizly
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.