Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Хочу все знать (http://forum.oszone.net/forumdisplay.php?f=23)
-   -   Ввод в домен (http://forum.oszone.net/showthread.php?t=317291)

KatAst 29-07-2016 12:59 2655193
Ввод в домен
 
Добрый день.

Появился такой вопрос, о котором никогда не задумывался.

Учётная запись компьютера создана в AD.

Для того, чтобы ввести машину в домен достаточно:

1. Локальной учётной записи, входящая в группу локальных администраторов на машине?
2. Доменной учётной записи, входящая в группу локальных администраторов на машине?
3. Доменной учётной записи, входящая в группу локальных администраторов на машине и с делегированными правами для выполнения этой операции?

lD1PS1l 29-07-2016 14:37 2655257
Доменной учётной записи, входящая в группу администраторов в домене

cameron 29-07-2016 15:08 2655281
Цитата:
Цитата KatAst
2. Доменной учётной записи, входящая в группу локальных администраторов на машине? »
10 шт УЗ ПК.
Цитата:
Цитата KatAst
3. Доменной учётной записи, входящая в группу локальных администраторов на машине и с делегированными правами для выполнения этой операции? »
сколько угодно штук УЗ ПК.
Цитата:
Цитата lD1PS1l
Доменной учётной записи, входящая в группу администраторов в домене »
ответ не правильный.

WindowsNT 29-07-2016 15:58 2655295
Ни один ответ не является правильным.
Пока машина не в домене, доменные УЗ на ней не распознаются и никуда не входят.

Корректно:
Залогониться в рабочую станцию локальным администратором, при вводе в домен указать реквизиты доменной УЗ с делегированными полномочиями.

KatAst 29-07-2016 16:07 2655305
cameron, WindowsNT, 3-ий вариант. А если у данной учётной записи не будет доступа к подразделению в AD, где находится часть учётных записей компьютеров. Возможность ввода в домен данной группы машин у неё будет?

cameron 29-07-2016 16:18 2655313
Цитата:
Цитата KatAst
Возможность ввода в домен данной группы машин у неё будет? »
не знаю, никогда не создавала УЗ ПК до ввода в домен.
скорее всего нет, это просто проверить ;)

WindowsNT 02-08-2016 10:59 2656103
Как это реализовано у меня:

- Для техподдержки созданы по две учётные записи на человека, обычная и привилегированная со смарт-картой
- Существует группа AD Computer Account Managers %CompanyName%, в неё входят привилегированные УЗ
- Существует контейнер Company\Computers\ с департаментами. Там все компьютеры.
- Указанной группе делегированы полномочия на создание и управление УЗ компьютеров в указанном контейнере

Когда сотрудник техподдержки намерен ввести рабочую станцию в домен:
- он на своём компьютере заходит привилегированной УЗ, запускает ADUC
- в нужном контейнере предсоздаёт УЗ компьютёра и указывает право на введение в домен своей обычной УЗ
- идёт на новую рабочую станцию, логонится локальным админом, вводит в домен, указывает свою стандартную УЗ

cameron 02-08-2016 15:34 2656178
Слава Протоколу!
p.s. простите, не удержалась ;)

KatAst 05-08-2016 13:05 2657111
WindowsNT, если учётная запись компьютера уже создана, то, в Вашем примере, группе AD Computer Account Managers %CompanyName% необязательно иметь права на создание и управление учётными записями компьютеров в контейнере Company\Computers\ ? Так? Тогда какие права должны быть у стандартной учётной записи (неограниченное количество машин)? На чтение контейнера без возможности внесения изменений?

WindowsNT 05-08-2016 14:54 2657141
Цитата:
Цитата KatAst
Тогда какие права должны быть у стандартной учётной записи »
Права, чтобы что делать?

Для создания и управления УЗ компьютеров следует делегировать разрешения.
Для просмотра ничего делегировать не надо.

KatAst 08-08-2016 10:04 2657768
WindowsNT, если стоит задача, чтобы конкретный пользователь домена(с обычной учётной записью) мог вводить в домен и выводить из домена машины, учётные записи которых находятся в определённом OU, без возможности добавлять или удалять из этого OU объекты, какой минимум прав ему необходим? К остальным OU у него никакого доступа быть не должно.

WindowsNT 08-08-2016 13:29 2657829
Делайте по моей схеме.

KatAst 08-08-2016 17:11 2657878
WindowsNT, по вашей схеме, сотрудник сможет удалять и добавлять учётные записи. А необходимо, чтобы данная возможность у него отсутствовала.
Плюс, необходимо, чтобы данный сотрудник мог работать только с теми машинами, чьи учётные записи были созданы в определённом, конкретном OU.

WindowsNT 09-08-2016 13:12 2658117
Смотрю, делегировать вы не попробовали.

KatAst 09-08-2016 15:19 2658160
Пробовал. Только задачи иные были.

Вы предложили делать по Вашей схеме. Я и написал, что такой вариант не подойдёт, исходя из вашего же описания(если говорить о конкретной схеме, которую вы предложили). А просто так экспериментировать, чтобы узнать, что будет в той или иной ситуации, у меня желания нет. Если бы мне хотелось экспериментировать(была бы возможность) я не стал бы задавать здесь вопросов, а просто попробовал различные варианты. Мне просто интересно - раздел-то "Хочу всё знать". Если учётная запись компьютера заведена заранее, то кому удастся ввести в домен машину под тем же именем? Не кому попало ведь?

Так же вы писали, что если необходимы права просто для чтения, то ничего делегировать не нужно. Тогда будет возможность под стандартной доменной учётной записью ввести машину в домен(вариант с 10 машинами не рассматривается)? Мне всегда казалось, что нет.

И да, то что необходимо входить в группу локальных администраторов на машине - это понятно. К этому можете не возвращаться.


Время: 22:21.

Время: 22:21.
© OSzone.net 2001-