Coloca um objeto de computador em uma unidade organizacional com base no usuário que o adicionou

7

Existe uma maneira de colocar um computador automaticamente em uma unidade organizacional específica com base no usuário que ingressou no domínio? Por exemplo, eu tenho 5 UOs e os administradores do site podem adicionar PCs ao domínio, mas não podem gerenciar nenhum aspecto do AD fora de sua UO e queremos evitar a necessidade de mover os computadores para a UO correta.

Estou ciente da capacidade de alterar a localização global de novos computadores no AD, bem como de adicioná-los previamente na UO correta, mas procurando algo mais específico, se existir.

    
por Malnizzle 13.06.2011 / 19:48

3 respostas

7

Peça-lhes que usem netdom para unir a máquina à UO específica que gerenciam:

netdom help join
The syntax of this command is:


NETDOM JOIN machine /Domain:domain [/OU:ou path] [/UserD:user]
           [/PasswordD:[password | *]]
           [/UserO:user] [/PasswordO:[password | *]]
           [/PasswordM:[password | *]]
           [/ReadOnly]
           [/REBoot[:Time in seconds]]
           [/SecurePasswordPrompt]

NETDOM JOIN Joins a workstation or member server to the domain.

machine is the name of the workstation or member server to be joined

/Domain         Specifies the domain which the machine should join. You
                can specify a particular domain controller by entering
                /Domain:domain\dc. When /ReadOnly option is used, you
                must specify a domain controller.

/UserD          User account used to make the connection with the domain
                specified by the /Domain argument

/PasswordD      Password of the user account specified by /UserD.  A * means
                to prompt for the password

/UserO          User account used to make the connection with the machine to
                be joined

/PasswordO      Password of the user account specified by /UserO.  A * means
                to prompt for the password

/OU             Organizational unit under which to create the machine account.
                This must be a fully qualified RFC 1779 DN for the OU.
                If not specified, the account will be created under the default
                organization unit for machine objects for that domain.

/PasswordM      Password of the pre-created computer account, whose name is
                specified by the machine parameter. A * means to prompt
                for the password. This option must be used with /ReadOnly
                option.

/ReadOnly       Perform a domain join using a pre-created computer account and
                without performing any writes to a domain controller. This
                option therefore, does not require a writable domain controller.
                You must specify the domain controller (using /Domain option)
                and computer account password (using /PasswordM option)
                when the option is used. This option cannot be used with /OU
                option.

/REBoot         Specifies that the machine should be shutdown and automatically
                rebooted after the Join has completed.  The number of seconds
                before automatic shutdown can also be provided.  Default is
                30 seconds

/SecurePasswordPrompt
                Use secure credentials popup to specify credentials. This
                option should be used when smartcard credentials need to be
                specified. This option is only in effect when the password
                value is supplied as *

Windows Professional machines with the ForceGuest setting enabled (which is the
default for machines not joined to a domain during setup) cannot be remotely
administered. Thus the join operation must be run directly on the machine
when the ForceGuest setting is enabled.

When joining a machine running Windows NT version 4 or before to the domain
the operation is not transacted.  Thus, a failure during the operation could
leave the machine in an undetermined state with respect to the domain it is
joined to.

The act of joining a machine to the domain will create an account for the
machine on the domain if it does not already exist.


NETDOM HELP command | MORE displays Help one screen at a time.
    
por 13.06.2011 / 20:10
1

Não tenho certeza do que é mais específico do que pré-testar os objetos do computador na UO correta. Se você já delegou esse direito aos administradores, essa seria a maneira mais rápida / simples. Você poderia usar o comando netdom como Jim apontou, mas isso requer inserir o caminho LDAP correto a cada vez, o que é propenso a erros.

EDITAR:

Outra alternativa se você tiver um DC do Servidor 2008 R2 e estiver adicionando servidores do servidor 2008 R2 ou clientes do Windows 7 é usar a associação de domínio offline.

Os administradores teriam que provisionar o objeto de computador usando o seguinte no Windows 7 ou no Server 2008 R2:

djoin /provision /Domain <domain> /Machine <PCName> /MachineOU <ldap Path> /Savefile <PCName>.txt

Eles poderiam copiar o arquivo para o computador a ser adicionado e executado:

djoin /RequestODJ /loadfile <PCName>.txt /Windowspath C:\Windows 

Isso pode ser usado para adicionar o PC ao domínio quando ele não tiver conectividade de rede.

    
por 13.06.2011 / 20:20
-2

Você pode usar o recurso de controle de delegação no diretório ativo para aplicar permissões em cada OU específica à qual deseja que seus funcionários usem seus computadores. Em primeiro lugar, eles não podem ter permissão para adicionar objetos de computador em outro lugar no domínio, caso contrário, ele selecionará a primeira UO que encontrar (eu acho!?!).

Por exemplo, digamos que você tenha uma OU chamada Other_Computers. 1. Clique com o botão direito do mouse, selecione Delegar Controle, clique em Avançar e selecione o usuário ao qual você deseja delegar o controle.

  1. Então fica complicado, em vez de usar as tarefas de delegação de ações, você precisa selecionar "Criar uma Tarefa Personalizada para Delegar".
  2. Em seguida, selecione "Somente os objetos desta pasta" e marque "Objetos de computador".
  3. Em seguida, marque "Criar objetos selecionados nesta pasta" (Você também pode selecionar "Excluir objetos selecionados na pasta" se quiser que eles possam excluir computadores) e clique em Avançar.
  4. Em seguida, na próxima tela, você terá que selecionar "Criar todos os objetos filhos" (também excluir todos os objetos filhos, se tiver optado por excluir os objetos da pasta).
  5. Em seguida, Avançar e Concluir e pronto.

Uma vez que você tenha feito isso, supondo que o usuário não tenha direitos para adicionar um objeto de computador em outro lugar no domínio, todos os computadores que eles adicionarem serão automaticamente adicionados a essa UO.

    
por 13.06.2011 / 20:46