Compte pour lire AD, joindre la machine au domaine, supprimer des comptes d'ordinateurs et déplacer des ordinateurs vers des unités d'organisation

Je souhaite créer un compte qui effectuera les opérations suivantes:

• Joignez des ordinateurs à un domaine (non limité à 10, comme un utilisateur normal)
• Vérifier les comptes d'ordinateurs dans AD
• Supprimer des ordinateurs d'AD
• Déplacer des ordinateurs entre unités d'organisation

Je ne veux pas lui permettre de faire autre chose, donc je ne veux pas d'un compte d'administrateur de domaine.

Quelqu'un peut-il me guider dans la bonne direction en termes d'autorisations? Vous ne savez pas si je dois utiliser l'assistant de délégation de contrôle?

À votre santé,

Ben

En fait, j'ai dû régler cela moi-même récemment. Nous avons un code personnalisé qui effectue la pré-préparation des ordinateurs pour les nouveaux ordinateurs lorsqu'ils démarrent PXE et s'exécutent en tant que compte de service.

• Vérifier les comptes d'ordinateurs dans AD

Tout utilisateur du groupe Utilisateurs du domaine devrait être en mesure de le faire hors de la boîte sans aucune autorisation supplémentaire, sauf si vous avez modifié les autorisations par défaut à certains endroits ou ajouté Deny ACLs sur des choses.

• Joignez des ordinateurs à un domaine (non limité à 10, comme un utilisateur normal)
• Supprimer des ordinateurs d'AD
• Déplacer des ordinateurs entre unités d'organisation

Pour ceux-ci, vous devez d'abord décider où vous souhaitez que cet accès soit accordé. Il est facile d'accorder simplement des autorisations à la racine du domaine, mais pas terriblement sage. Habituellement, vous avez une unité d'organisation ou un ensemble d'unités d'organisation où vivent des comptes d'ordinateurs. Vous devez donc appliquer spécifiquement les autorisations suivantes à ces conteneurs. Les autorisations pour joindre un ordinateur au domaine nécessitent simplement la possibilité de créer un compte d'ordinateur et de définir ses propriétés. Le déplacement d'un ordinateur entre des unités d'organisation nécessite la possibilité de supprimer le compte d'un endroit et de le créer dans un autre. Cela dit, voici les autorisations que vous devez accorder à chaque unité d'organisation:

• Cet objet et tous ses descendants
  • Créer des objets informatiques
  • Supprimer des objets informatiques
• Objets informatiques descendants
  • Lire toutes les propriétés
  • Écrire toutes les propriétés
  • Changer le mot de passe
  • Réinitialiser le mot de passe
  • Écriture validée sur le nom d'hôte DNS
  • Écriture validée au principal du service

J'ai également un petit conseil supplémentaire. N'accordez pas ces autorisations au compte de service directement. Créez un groupe comme Computer Admins et faites du compte de service un membre de ce groupe. Ensuite, accordez les autorisations au groupe. De cette façon, si vous avez des personnes ou des comptes de service supplémentaires qui ont besoin des mêmes autorisations, il vous suffit de modifier l'appartenance au groupe.

Créez un groupe comme "administrateurs d'ordinateur" puis ouvrez le composant logiciel enfichable MMC Utilisateurs et ordinateurs Active Directory, cliquez avec le bouton droit sur l'unité d'organisation où vous souhaitez qu'ils accordent des droits, si vous souhaitez leur accorder des droits sur l'ensemble du domaine, puis cliquez avec le bouton droit sur le nom de domaine, sélectionnez déléguer le contrôle option.

dans l'assistant résultant, sélectionnez le groupe que vous avez créé plus tôt "administrateurs de l'ordinateur", cliquez sur suivant, puis cliquez sur Créer une tâche personnalisée à déléguer, puis cliquez sur suivant.

puis sélectionnez "uniquement les objets suivants dans le dossier" puis cochez "objets informatiques" dans la liste et cochez également les deux cases en bas. "créer l'objet sélectionné dans le dossier" et "supprimer l'objet sélectionné dans le dossier" cliquez sur suivant.

Sur l'écran suivant, sélectionnez "Contrôle total" dans la liste, puis cliquez sur Suivant

L'écran suivant vous montrera un résumé de la délégation puis cliquez sur Terminer.

une fois cela fait, ajoutez l'un des utilisateurs dans le groupe "administrateurs informatiques" et essayez d'effectuer diverses tâches que vous souhaitez.

Oui, vous devez utiliser la délégation de contrôle. Bien que je puisse passer en revue et expliquer étape par étape comment procéder, il existe une solution plus simple. Téléchargez et installez ADManagerPlus à partir de ManageEngine et utilisez leur outil de délégation AD pour configurer les choses par vous-même. Ils ont des rôles de service d'assistance prédéfinis que vous pouvez utiliser pour accorder l'accès approprié aux utilisateurs en question. Examinez le rôle Modifiy Computers car je pense que c'est ce que vous recherchez.

Vous pouvez créer un mmc "Taskpad" spécifique à utiliser, comme ici: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

Fondamentalement, c'est une version personnalisée de MMC, qui est verrouillée à l'aide de certains contrôles, comme la création d'utilisateurs, la création d'ordinateurs, etc. En fonction des paramètres / autorisations de délégation, détermine ce qu'ils peuvent faire à partir de là.