Answers:
实际上,我最近不得不为此自行设置。我们有一些自定义代码,当新计算机PXE启动并作为服务帐户运行时,它们会为新计算机进行计算机预备。
除非您更改了位置的默认权限或在事物上添加了“拒绝ACL”,否则“ 域用户”组中的任何用户都应该能够直接使用此功能,而无需任何其他权限。
对于这些,您首先必须确定要在何处授予此访问权限。仅在域的根目录授予权限很容易,但并非明智之举。通常,您有一个或一组计算机帐户所在的OU。因此,您应该将以下权限专门应用于这些容器。将计算机加入域的权限仅要求具有创建计算机帐户并设置其属性的能力。在OU之间移动计算机需要能够从一个位置删除帐户,然后在另一个位置创建帐户。综上所述,这是您需要在每个OU上授予的权限:
我还有其他建议。不要将这些权限直接授予服务帐户。创建一个类似于“ 计算机管理员”的组,并使该服务帐户成为该组的成员。然后,将权限授予该组。这样,如果您有其他需要相同权限的人员或服务帐户,则只需修改组的成员身份。
创建一个类似于“计算机管理员”的组,然后打开“ Active Directory用户和计算机” MMC管理单元,右键单击要授予他们权限的OU,如果要授予他们整个域的权限,则右键单击域名,选择委托控件选项。
在出现的向导中,选择您先前创建的组“计算机管理员”,单击“下一步”,然后单击“ 创建要委派的自定义任务”,然后单击“下一步”。
然后选择“仅文件夹中的以下对象”,然后从列表中勾选“计算机对象”,并勾选底部的两个框。单击“ 在文件夹中创建所选对象”和“在文件夹中删除所选对象”。
在下一个屏幕上,从列表中选择“完全控制”,然后单击下一步
下一个屏幕将显示授权摘要,然后单击“完成”。
完成后,将其中一个用户添加到“计算机管理员”组中,并尝试执行所需的各种任务。
是的,您应该使用控制委派。虽然我可以逐步解释如何做到这一点,但有一个更简单的解决方案。从ManageEngine 下载并安装ADManagerPlus,并使用其AD委托工具自行设置。他们具有预定义的帮助台角色,您可以使用这些角色向相关用户授予适当的访问权限。我认为这是您所需要的,因此请查看“修改计算机”角色。
您可以创建一个供他们使用的特定“任务板” mmc,例如:http : //www.petri.co.il/create_taskpads_for_ad_operations.htm
基本上,它是MMC的自定义版本,可锁定使用某些控件,例如创建用户,创建计算机等。根据委派设置/权限,确定他们可以从那里执行的操作。