AD पढ़ने के लिए खाता, मशीन से डोमेन में जुड़ने, कंप्यूटर खाते हटाने और कंप्यूटर को OU में ले जाने के लिए

11

मैं एक खाता बनाना चाहता हूँ जो निम्नलिखित कार्य करेगा:

एक डोमेन में कंप्यूटर से जुड़ें (सामान्य उपयोगकर्ता की तरह 10 तक सीमित नहीं)
AD में कंप्यूटर खातों की जाँच करें
AD से कंप्यूटर हटाएं
कंप्यूटरों को OUs के बीच ले जाएँ

मैं इसे और कुछ करने की अनुमति नहीं देना चाहता, इसलिए डोमेन व्यवस्थापक खाता नहीं चाहता।

क्या अनुमतियों के संदर्भ में कोई मुझे सही दिशा में निर्देशित कर सकता है? निश्चित नहीं है कि क्या मुझे नियंत्रण विज़ार्ड के प्रतिनिधिमंडल का उपयोग करना चाहिए?

चीयर्स,

बेन

security active-directory permissions

— बेन
स्रोत

1

क्या यह सर्वर 2008 या 2003 के वातावरण के लिए है?

— कैम्पो

2000/2003 (पुरानी खोपड़ी, मुझे डर है - हम अभी भी 2k पर हैं, लेकिन 2k3 में मध्य उन्नयन)

— बेन

13

मुझे वास्तव में हाल ही में इसके लिए खुद को स्थापित करना पड़ा। हमारे पास कुछ कस्टम कोड हैं जो नए कंप्यूटरों के लिए कंप्यूटर प्रीस्टेजिंग करते हैं जब वे पीएक्सई बूट करते हैं और एक सेवा खाते के रूप में चलते हैं।

AD में कंप्यूटर खातों की जाँच करें

डोमेन उपयोगकर्ता समूह का कोई भी उपयोगकर्ता बिना किसी अतिरिक्त अनुमति के इस बॉक्स से बाहर कर सकता है जब तक कि आपने स्थानों में डिफ़ॉल्ट अनुमतियाँ नहीं बदली हैं या चीजों पर इनकार ACL को नहीं जोड़ा है।

एक डोमेन में कंप्यूटर से जुड़ें (सामान्य उपयोगकर्ता की तरह 10 तक सीमित नहीं)
AD से कंप्यूटर हटाएं
कंप्यूटरों को OUs के बीच ले जाएँ

इनके लिए, आपको सबसे पहले यह तय करना होगा कि आप कहाँ पहुँचना चाहते हैं। डोमेन के रूट पर सिर्फ परमिशन देना आसान है, लेकिन बहुत बुद्धिमानी नहीं। आमतौर पर, आपके पास एक OU या OU का सेट होता है जहां कंप्यूटर खाते रहते हैं। तो आपको विशेष रूप से उन कंटेनरों में निम्नलिखित अनुमतियों को लागू करना चाहिए। डोमेन में कंप्यूटर से जुड़ने के लिए अनुमतियाँ बस एक कंप्यूटर खाता बनाने और इसके गुणों को सेट करने की क्षमता की आवश्यकता होती हैं। ओयू के बीच एक कंप्यूटर को स्थानांतरित करने के लिए खाते को एक स्थान से हटाने और इसे दूसरे में बनाने की क्षमता की आवश्यकता होती है। उस सभी ने कहा, यहां आपको प्रत्येक OU पर क्या अनुमति देने की आवश्यकता है:

यह वस्तु और सभी वंशज
- कंप्यूटर ऑब्जेक्ट बनाएँ
- कंप्यूटर ऑब्जेक्ट हटाएं
वंशज कंप्यूटर ऑब्जेक्ट
- सभी गुण पढ़ें
- सभी गुण लिखें
- पासवर्ड बदलें
- पासवर्ड रीसेट
- DNS होस्ट नाम के लिए मान्य लेखन
- सेवा प्राचार्य को मान्य पत्र

मेरे पास अतिरिक्त सलाह भी है। सीधे सेवा खाते को ये अनुमति न दें। Computer Admins जैसा एक ग्रुप बनाएं और सर्विस अकाउंट को उस ग्रुप का सदस्य बनाएं । फिर, समूह को अनुमतियाँ प्रदान करें। इस तरह यदि आपके पास अतिरिक्त लोग या सेवा खाते हैं, जिन्हें समान अनुमतियों की आवश्यकता है, तो आपको केवल समूह की सदस्यता को संशोधित करना होगा।

— रयान बोलगर
स्रोत

4

"कंप्यूटर व्यवस्थापक" जैसा एक समूह बनाएँ, फिर सक्रिय निर्देशिका उपयोगकर्ता और कंप्यूटर खोलें MMC स्नैप-इन OU पर राइट क्लिक करें जहाँ आप उन्हें अधिकार देना चाहते हैं, यदि आप उन्हें पूरे डोमेन पर अधिकार देना चाहते हैं तो डोमेन नाम पर राइट क्लिक करें, प्रतिनिधि नियंत्रण चुनें विकल्प।

परिणामी विज़ार्ड में आपके द्वारा पहले बनाए गए समूह का चयन करें "कंप्यूटर व्यवस्थापक" पर क्लिक करें और फिर प्रतिनिधि बनाने के लिए एक कस्टम कार्य बनाएं पर क्लिक करें और फिर अगले पर क्लिक करें ।

फिर चुनें "केवल फ़ोल्डर में निम्नलिखित वस्तुओं" तो टिकटिक "कंप्यूटर वस्तुओं" सूची से और भी निचले भाग में दो बक्से टिकटिक। "फ़ोल्डर में चयनित वस्तु बनाएं" और "फ़ोल्डर में चयनित वस्तु हटाएं" पर क्लिक करें।

अगली स्क्रीन पर सूची से "पूर्ण नियंत्रण" चुनें और फिर अगला क्लिक करें

अगली स्क्रीन आपको प्रतिनिधिमंडल का सारांश दिखाएगी और फिर क्लिक करें।

एक बार हो जाने के बाद, उपयोगकर्ताओं में से एक को "कंप्यूटर व्यवस्थापक" समूह में जोड़ें और अपने इच्छित विभिन्न कार्य को करने का प्रयास करें।

— KAPes
स्रोत

1

हां, आपको नियंत्रण के प्रतिनिधिमंडल का उपयोग करना चाहिए। हालांकि मैं इसके माध्यम से कदम दर कदम समझा सकता हूं कि यह कैसे करना है, एक आसान उपाय है। डाउनलोड करें और ManageEngine से ADManagerPlus स्थापित करें और अपने लिए चीजों को सेट करने के लिए अपने विज्ञापन प्रतिनिधि उपकरण का उपयोग करें। उन्होंने हेल्प डेस्क भूमिकाओं को पूर्वनिर्धारित किया है जिसका उपयोग आप प्रश्न में उपयोगकर्ताओं को उचित पहुँच प्रदान करने के लिए कर सकते हैं। जैसा कि मुझे लगता है कि आप जो खोज रहे हैं, उसमें मोडीफाई कंप्यूटर की भूमिका देखें।

— joeqwerty
स्रोत

1

आप उन्हें उपयोग करने के लिए एक विशिष्ट "टास्कपैड" mmc बना सकते हैं, जैसे यहाँ: http://www.petri.co.il/create_taskpads_for_ad_operations.htm

मूल रूप से इसका MMC का एक अनुकूलित संस्करण है, जो कुछ नियंत्रणों का उपयोग करने के लिए बंद है, जैसे, उपयोगकर्ताओं को बनाना, कंप्यूटर बनाना आदि। प्रतिनिधि सेटिंग्स / अनुमतियों के आधार पर, यह निर्धारित करता है कि वे वहां से क्या कर सकते हैं।

— Grizly
स्रोत

1

अच्छा सुझाव है, लेकिन यह प्रतिबंधित नहीं करता है कि उनके पास अन्य उपकरणों या विधियों का उपयोग करने के लिए क्या है। यदि वे व्यवस्थापक पैक स्थापित करते हैं और ADUC लॉन्च करते हैं, तो जब तक आप उचित प्रकार के उपयोगकर्ता खाते के साथ नियंत्रण के प्रतिनिधिमंडल का उपयोग नहीं करते, तब तक उनके पास सब कुछ तक पहुंच होगी। अस्पष्टता के माध्यम से सुरक्षा उपयोग में केवल सुरक्षा तंत्र नहीं होना चाहिए।

— जोवेवर्टी

आप aduc ("View -> Advanced features" का उपयोग करके ldap ट्री पर अनुमतियाँ सेट कर सकते हैं और आप OU इत्यादि पर सुरक्षा टैब देख सकते हैं) ताकि नियमित उपयोगकर्ता सेटिंग / चीजें नहीं बदल सकें .. वे केवल उन्हें देख सकते हैं। हालांकि, यदि आप किसी कर्मचारी को कार्यों को सौंपने की योजना बनाते हैं, तो आपको उम्मीद होगी कि आप उन पर भरोसा करेंगे

— Grizly