Ветеран
Сообщения: 508
Благодарности: 140
|
Профиль
|
Отправить PM
| Цитировать
Чтобы пользователь мог вводить в домен больше десяти компьютеров, выполните рекомендации из статьи:
Цитата:
Метод 5 - предоставьте соответствующие разрешения учетной записи mdt_join для создания и обновления учетных записей в Active Directory. Этот подход позволяет вам оставлять учетную запись mdt_join в качестве учетной записи простого пользователя домена, что решает нашу проблему безопасности, но требует внимательной работы для применения. Вкратце, нужно выполнить следующие шаги:
1. Откройте консоль Active Directory Users and Computers.
2. Выберите меню Вид (View), затем перейдите к дополнительным функциям (Advanced Features).
3. Создайте организационное подразделение (organizational unit – например, DeployedComputers) которое будет содержать учетные записи компьютеров для новых устанавливаемых машин (в этом случае вам не придется изменять разрешения в контейнере Computers.)
4. Откройте свойства организационного подразделения DeployedComputers OU и выберите закладку Безопасность (Security).
5. Нажмите Дополнительно (Advanced), чтобы отрыть диалог дополнительных параметров безопасности (Advanced Security Settings) для OU.
6. Нажмите Добавить (Add) и добавьте ACE для вашей учетной записи mdt_join в ACLs для этого OU.
7. В диалоге записи разрешений (Permission Entry) задайте разрешения Allow (с границей установленной на значение Этот объект и все дочерние объекты (This Object And All Descendant Objects)) следующим образом: ' Создавать объекты компьютера (Create computer objects) ' Удалять объекты компьютера (Delete computer objects)
8. Нажмите OK, затем снова нажмите Добавить и добавьте второй ACE для вашей учетной записи mdt_join, который назначает разрешения Allow (с границей установленной на значение Все дочерние объекты компьютера (Descendant Computer Objects)) следующим образом: ' Чтение всех свойства (Read all properties) ' Запись всех свойств (Write all properties) ' Разрешения чтения (Read permissions) ' Разрешения записи (Write permissions) ' Смена пароля (Change password) ' Восстановление пароля (Reset password) ' Удостоверенная запись на узел с DNS-именем (Validated write to DNS host name) ' Удостоверенная запись на узел с именем участника службы
9. Несколько раз нажмите OK, чтобы закрыть все открытые диалоги.
Теперь ваша учетная запись mdt_join должна иметь возможность создания новых учетных записей компьютеров и обновления этих учетных записей при необходимости даже несмотря на то, что mdt_join не является членом группы администраторов домена.
|
|
Последний раз редактировалось snark, 13-04-2012 в 10:32.
Отправлено: 09:15, 13-04-2012
| #7
|
