Conta para ler AD, juntar máquina a domínio, excluir contas de computador e mover computadores para UOs

Eu realmente tive que configurar isso para mim recentemente. Temos alguns códigos personalizados que fazem o computador pré-instalado para novos computadores quando eles são inicializados pelo PXE e são executados como uma conta de serviço.

• Verifique se há contas de computador no AD

Qualquer usuário no grupo Usuários de domínio deve poder fazer isso sem nenhuma permissão adicional, a menos que você tenha alterado as permissões padrão em locais ou adicionado Negar ACLs em itens.

• Unir computadores a um domínio (não restrito a 10, como um usuário normal)
• Excluir computadores do AD
• Mover computadores entre OUs

Para isso, primeiro você precisa decidir onde deseja que esse acesso seja fornecido. É fácil apenas conceder permissões na raiz do domínio, mas não muito inteligente. Normalmente, você tem uma unidade organizacional ou conjunto de unidades organizacionais em que as contas de computador estão ativas. Portanto, você deve aplicar as seguintes permissões a esses contêineres especificamente. As permissões para ingressar em um computador no domínio exigem apenas a capacidade de criar uma conta de computador e definir suas propriedades. Mover um computador entre unidades organizacionais exige a capacidade de excluir a conta de um local e criá-la em outro. Tudo o que disse, aqui está quais permissões você precisa conceder em cada UO:

• Este objeto e todos os descendentes
  • Criar objetos de computador
  • Excluir objetos de computador
• Objetos de computador descendente
  • Ler todas as propriedades
  • Escreva todas as propriedades
  • Alterar senha
  • Redefinir senha
  • Gravação validada para o nome do host DNS
  • Gravação validada para o responsável pelo serviço

Eu também tenho um pouco mais de conselhos. Não conceda essas permissões diretamente à conta de serviço. Crie um grupo como Administradores de computador e torne a conta de serviço um membro desse grupo. Em seguida, conceda as permissões ao grupo. Dessa forma, se você tiver outras pessoas ou contas de serviço que precisem das mesmas permissões, só precisará modificar a associação do grupo.

Crie um grupo como "administradores de computador" e abra Usuários e & Computers MMC snap-in clique com o botão direito do mouse na OU onde você quer que eles dêem direitos, se você quiser conceder direitos sobre todo o domínio, clique com o botão direito do mouse no nome do domínio, selecione a opção delegate control .

no assistente resultante selecione o grupo que você criou anteriormente "admins de computador" clique em next em seguida, clique em Criar uma tarefa personalizada para delegar e clique em próximo.

selecione "apenas os seguintes objetos na pasta" , em seguida, marque "objetos de computador" na lista e marque as duas caixas na parte inferior. "criar objeto selecionado na pasta" e "excluir objeto selecionado na pasta" clique em próximo.

Na tela seguinte, selecione "Controle total" na lista e clique em próximo

a próxima tela mostrará o resumo da delegação e, em seguida, clique em Concluir.

uma vez feito, adicione um dos usuários ao grupo "admins de computador" e tente realizar várias tarefas que você deseja.

Sim, você deve estar usando a delegação de controle. Enquanto eu poderia explicar passo a passo como fazer isso, há uma solução mais fácil. Faça o download e instale o ADManagerPlus a partir do ManageEngine e use sua ferramenta AD Delegation para definir as coisas por conta própria. Eles têm funções pré-definidas do Suporte Técnico que você pode usar para conceder o acesso apropriado aos usuários em questão. Olhe para o papel Modifiy Computers como eu acredito que é o que você está procurando.

Você pode criar um "painel de tarefas" específico mmc para eles usarem, como aqui: link

Basicamente é uma versão personalizada do MMC, que está bloqueada para usar certos controles, como criar usuários, criar computadores etc. Dependendo das configurações / permissões de delegação, determina o que eles podem fazer a partir daí.