Active Directory
Делегирование полномочий на добавление компьютеров в домен
Подробности Категория: Active Directory
- Создать глобальную группу безопасности grp_AdminComps через оснастку «Active Directory – пользователи и компьютеры».
- Указать, что присоединять компьютеры к домену могут лишь пользователи, входящие в созданную группу grp_AdminComps. Через оснастку «Управление групповой политикой» перейти к редактированию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers». В редакторе перейти к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и найти параметр политики, который называется «Добавление рабочих станций к домену». Изменить этот параметр — добавить группу grp_AdminComps
- Выполнить делегирование для группы grp_AdminComps на создание и удаление объекта компьютер в необходимых подразделениях (это позволит и перемещать компьютер между подразделениями). Для этого в оснастке «Active Directory – пользователи и компьютеры» вызвать контекстное меню (правой кнопокй мыши) для необходимых подразделений и выбрать опцию «Делегирование управления»: Далее указать группу, для которой делаем делегирование полномочий: Далее переключить «Создать особую задачу для делегирования Далее переключить в «только следующими объектами в этой папке», выбрать «Компьютер объектов», установить птицы «Создать в этой папке выбранные объекты», «Удалить из этой папки выбранные объекты»: Далее указать, что делегируется разрешение «Запись»
- Вы здесь:
- Главная
- Active Directory
- Делегирование полномочий на добавление компьютеров в домен
Новые материалы
- bcp
- try catch
- Поиск constraint FK внешний ключ
- MS SQL поиск столбцов information_schema.columns
- Фрагментация индексов
- SQL Server развернуть таблицу горизонтально
- Закачка файла CSV в MS SQL Server BULK INSERT
- Eset обновление удаленно через SMC
- install Cравнение
- Маршрутизация в Linux
Как делегировать право добавлять компьютеры в домен
Сообщения: 129
Благодарности: 9
Здраствуйте! Пробовал добавить пользователю права на добавление компьютеров в домен таким способом:
Используя мастер Delegate Control на OU Computers:
1. Выбрал нужную учетную запись
2. Выбрал в след. окошке Create custom task to delegate
3. Выбрал в Only the following objects in the folder галочку напротив Computer Object
4. Ниже поставил еще две галочки Create и Delete selected object in this folder соответственно.
5. Далее дал Full control.
Но при попытке добавления компьютера не удается подключить этот компьютер к домену (пишет нет прав). Под Domain Admin все работает без проблем.
Где искать подводные камни? Что может помешать этому? Поправьте, где не прав.
Заранее спасибо.
Сообщения: 4904
Благодарности: 496
Проще сделать через ГП — Add Computer to Domain
добавление компьютеров в домен
Используя мастер Delegate Control на OU Computers
На домен надо давать разрешения, а не на OU
——-
Если сообщение оказалось полезным, нажмите, пожалуйста, соответствующую кнопку.
Делегирование администрирования с помощью объектов подразделений
Подразделения можно использовать для делегирования администрирования объектов, таких как пользователи или компьютеры, в подразделении назначенным отдельным лицам или группам. Чтобы делегировать администрирование с помощью подразделения, поместите человека или группу, к которой вы делегируете права администратора в группу, поместите набор объектов, которыми нужно управлять в подразделение, а затем делегировать административные задачи для подразделения в эту группу.
домен Active Directory службы (AD DS) позволяют управлять административными задачами, которые можно делегировать на очень подробном уровне. Например, можно назначить одну группу, чтобы иметь полный контроль над всеми объектами в подразделении; назначьте другую группу только для создания, удаления и управления учетными записями пользователей в подразделении; а затем назначьте третью группу право только для сброса паролей учетных записей пользователей. Эти разрешения можно наследовать таким образом, чтобы они применялись к любым подразделениям, помещаемым в поддерев исходного подразделения.
Подразделения и контейнеры по умолчанию создаются во время установки AD DS и управляются администраторами служб. Лучше всего, если администраторы служб продолжают контролировать эти контейнеры. Если необходимо делегировать управление объектами в каталоге, создайте дополнительные подразделения и поместите объекты в эти подразделения. Делегировать управление этими подразделениями соответствующим администраторам данных. Это позволяет делегировать контроль над объектами в каталоге, не изменяя элемент управления по умолчанию, предоставленный администраторам службы.
Владелец леса определяет уровень полномочий, делегированный владельцу подразделения. Это может быть от возможности создания и управления объектами в подразделении до разрешения только для управления одним атрибутом одного типа объекта в подразделении. Предоставление пользователю возможности создавать объект в подразделении неявно предоставляет пользователю возможность управлять любым атрибутом любого создаваемого пользователем объекта. Кроме того, если созданный объект является контейнером, пользователь неявно может создавать и управлять любыми объектами, помещенными в контейнер.
В этом разделе
- Делегирование администрирования подразделений и контейнеров по умолчанию
- Делегирование администрирования подразделений учетных записей и ресурсов
Делегирование прав на добавление компьютеров в домен ALD Pro
Не всегда главный администратор и человек, который непосредственно вводит в домен компьютеры, — это одно и тоже лицо. Значит требуется классический механизм делегирования полномочий.
Окружение
* Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17)
* ALD Pro 1.x.x
Вопрос
Как делегировать пользователю права на добавление компьютеров в домен ALD Pro?
Ответ
Для предоставления права ввода компьютера в домен необходимо:
- Перейти в настройки делегирования: Управление доменом — Роли и права доступа — Делегирование прав на организационную единицу — Новое делегирование
- Для параметра Наименование подразделения указать основное подразделение (с именем домена)
- В секции Предоставляемые права на компьютер добавить права на добавление и изменение с помощью активации соответствующих опций:
- Сохранить настройки и перейти во вкладку Субъекты делегирования
- Выбрать пользователей или группы пользователей, которым необходимо предоставить право ввода компьютеров в домен
- Сохранить настройки
В ALD Pro 1.2.0 осуществлена модификация ролевой модели, добавлены роли: Системный администратор, Администратор информационной безопасности, Главный администратор (admin). Для предоставления пользователю права ввода компьютеров в домен ALD Pro достаточно назначить пользователю роль «ALDPRO — IT Security Specialist».
Описание ролей в системе содержится во внутренней справке ALD Pro: Справочный центр — Управление доменом — Роли и права доступа — Роли в системе.
Видео от разработчиков — Управление делегированием.
Дата последней правки: 2023-03-24 12:22:50