Cuenta para leer AD, unir máquina a dominio, eliminar cuentas de computadora y mover computadoras a unidades organizativas

11

Quiero crear una cuenta que realice lo siguiente:

  • Unir computadoras a un dominio (no restringido a 10, como un usuario normal)
  • Verificar cuentas de computadora en AD
  • Eliminar computadoras de AD
  • Mover computadoras entre unidades organizativas

No quiero permitir que haga nada más, así que no quiero una cuenta de administrador de dominio.

¿Alguien puede guiarme en la dirección correcta en términos de permisos? ¿No estoy seguro de si debería usar el asistente de delegación de control?

Salud,

Ben

Ben
fuente
1
¿Es esto para un entorno de servidor 2008 o 2003?
Campo
2000/2003 (Old skool, me temo, todavía estamos en 2k, pero a mediados de la actualización a 2k3)
Ben

Respuestas:

13

De hecho, tuve que configurar esto para mí recientemente. Tenemos un código personalizado que realiza la preprogramación de computadoras para computadoras nuevas cuando se inician PXE y se ejecuta como una cuenta de servicio.

  • Verificar cuentas de computadora en AD

Cualquier usuario en el grupo de Usuarios del dominio debería poder hacer esto de forma inmediata sin ningún permiso adicional, a menos que haya cambiado los permisos predeterminados en algunos lugares o haya agregado Denegar ACL en las cosas.

  • Unir computadoras a un dominio (no restringido a 10, como un usuario normal)
  • Eliminar computadoras de AD
  • Mover computadoras entre unidades organizativas

Para esto, primero debe decidir dónde desea que se le otorgue este acceso. Es fácil otorgar permisos en la raíz del dominio, pero no es terriblemente inteligente. Por lo general, tiene una unidad organizativa o un conjunto de unidades organizativas donde viven las cuentas de computadora. Por lo tanto, debe aplicar los siguientes permisos específicamente a esos contenedores. Los permisos para unir una computadora al dominio solo requieren la capacidad de crear una cuenta de computadora y establecer sus propiedades. Mover una computadora entre unidades organizativas requiere la capacidad de eliminar la cuenta de un lugar y crearla en otro. Dicho todo esto, estos son los permisos que debe otorgar a cada unidad organizativa:

  • Este objeto y todos los descendientes.
    • Crear objetos de computadora
    • Eliminar objetos de la computadora
  • Objetos informáticos descendientes
    • Leer todas las propiedades
    • Escribe todas las propiedades
    • Cambia la contraseña
    • Restablecer la contraseña
    • Escritura validada en el nombre de host DNS
    • Escritura validada al director de servicio

También tengo un consejo adicional. No otorgue estos permisos a la cuenta de servicio directamente. Cree un grupo como Computer Admins y haga que la cuenta de servicio sea miembro de ese grupo. Luego, otorgue los permisos al grupo. De esa manera, si tiene personas o cuentas de servicio adicionales que necesitan los mismos permisos, solo necesita modificar la membresía del grupo.

Ryan Bolger
fuente
4

Cree un grupo como "administradores de computadoras", luego abra el complemento MMC de Active Directory Users & Computers. Haga clic con el botón derecho en OU donde desee que otorguen derechos, si desea otorgarles derechos sobre todo el dominio, haga clic con el botón derecho en el nombre de dominio, seleccione delegar control opción.

en el asistente resultante, seleccione el grupo que creó anteriormente "administradores de computadora", haga clic en siguiente y luego haga clic en Crear una tarea personalizada para delegar y luego haga clic en siguiente.

luego seleccione "solo los siguientes objetos en la carpeta", luego marque "objetos de computadora" de la lista y también marque las dos casillas en la parte inferior. "crear objeto seleccionado en carpeta" y "eliminar objeto seleccionado en carpeta" haga clic en siguiente.

En la siguiente pantalla, seleccione "Control total" de la lista y luego haga clic en Siguiente

la siguiente pantalla le mostrará un resumen de la delegación y luego haga clic en finalizar

una vez hecho esto, agregue uno de los usuarios al grupo de "administradores de computadoras" e intente llevar a cabo varias tareas que desee.

CAPAS
fuente
1

Sí, debería estar utilizando la delegación de control. Si bien podría pasar y explicar paso a paso cómo hacer esto, hay una solución más fácil. Descargue e instale ADManagerPlus desde ManageEngine y use su herramienta de Delegación de AD para configurarlo usted mismo. Tienen funciones predefinidas de la mesa de ayuda que puede utilizar para otorgar el acceso adecuado a los usuarios en cuestión. Examina el rol de Modifiy Computers, ya que creo que eso es lo que estás buscando.

joeqwerty
fuente
1

Puede crear un mmc "Taskpad" específico para que lo usen, como aquí: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

Básicamente es una versión personalizada de MMC, que está bloqueada para usar ciertos controles, como crear usuarios, crear computadoras, etc. Dependiendo de la configuración / permisos de delegación, determina qué pueden hacer desde allí.

Grizly
fuente
1
Buena sugerencia, pero no restringe el acceso al uso de otras herramientas o métodos. Si instalan el paquete de administración y lanzan ADUC, tendrán acceso a todo, a menos que use la delegación de control con el tipo adecuado de cuenta de usuario. La seguridad a través de la oscuridad no debería ser el único mecanismo de seguridad en uso.
joeqwerty
puede establecer permisos en el árbol ldap usando aduc (use "Ver -> funciones avanzadas" y puede ver la pestaña de seguridad en las unidades organizativas, etc.) para que los usuarios normales no puedan cambiar la configuración / cosas ... solo pueden verlas. Sin embargo, si planea delegar tareas a un empleado, uno esperaría que confíe en ellas
Grizly