当您仍然必须加入PC时，在Active Directory中创建计算机对象有什么意义？

10

当您仍然必须将计算机加入域时，无论如何仍要创建对象，在Active Directory中创建计算机对象有什么意义？

active-directory

— 斯科特·约翰森
source

我认为我以前从未手动创建过计算机对象，所以为什么呢？是否有理由在不将计算机加入域的情况下在AD结构中专门创建计算机对象？

— Moo

1

如果您有一个组策略结构，要求某些计算机帐户位于某些OU中，则可以通过首先创建它来确保不会放错位置。否则，如果动态创建，它将进入默认的“服务器” OU。

— spoulson

1

除非更改默认值，否则默认情况下它将进入“计算机”。这是一个容器，而不是一个OU。

— ThatGraemeGuy

16

首先创建帐户时，可以从一开始就将其放置在正确的OU（以及正确的安全组，并授予Evan Anderson）中。

— 奥斯卡·杜韦伯恩（Oskar Duveborn）
source

2

...以及正确的安全小组。“计算机也是人。”

— 埃文·安德森

至少现在他们也是用户：)

— Oskar Duveborn

1

我喜欢您回复了7年的评论。我进一步喜欢我回复该回复。>微笑<很高兴收到您的来信，奥斯卡！已经有很长时间了，我再也不会绕过这些部分了。

— 埃文·安德森

9

您可以预创建计算机对象，并将权限分配给非管理员以执行连接。

— ThatGraemeGuy
source

8

我们委派了创建计算机帐户的功能。但是，我们已将其委托给组织的适当OU。因此，考虑到Microsoft使用的典型的contoso.com，可以想象欧洲有一个OU。我们要确保欧洲管理员在欧洲创建所有计算机对象。这样可以确保所有GPO都能正确应用，并且可以确保您不会在根目录下找到此混乱的计算机文件夹。当美国管理员出现时，他们只能在美国OU中创建计算机帐户。同样，GPO可以正确应用，依此类推。这还可以确保美国管理员不能取出欧洲计算机帐户。你明白了。

— 布莱恩·凯利
source

2

完美的例子。总的来说，我认为大多数小型组织（少于200-300个计算机对象）都不会觉得需要预先创建计算机对象，只要它们具有适当的流程来稍后移动对象即可。

— 代顿·布朗

控制权的委派和预创建计算机对象是不同的事情。您需要预先创建的计算机对象。当您的“技术猴子”将PC放在桌面上，设置名称并加入所需的启动脚本和GPO时，该域是准备机器并将所有软件安装到出厂的新映像上所必需的，以便“正常工作”。我喜欢这种PC部署，因此我会在拥有10台PC的组织中进行拍摄（因为最终将要更换计算机）。

— 埃文·安德森

实际上，它们是捆绑在一起的。如果您有多个管理员组，并且已经部署了多个OU模型来支持它们，则可以委派控制来创建特定OU中的计算机（您不让管理员能够在任何地方创建计算机帐户）。这样可以确保计算机帐户放置在正确的位置。但是，这意味着必须预先创建它们。

— K. Brian Kelley