Active Directory, crie usuário apenas para adicionar computadores ao domínio

6

Eu sou um administrador do Linux, e meu novo trabalho me faz gerenciar servidores do Windows.

Estou tentando criar uma imagem base do Windows Server 2012 usando o packer . Como parte do provisionamento, a VM precisa estar conectada ao diretório ativo por meio de um script. Obviamente, não quero colocar minha senha pessoal no script.

É possível criar um usuário no Active Directory que tenha direitos de vincular uma máquina ao AD, mas não pode executar outras ações (para fins de conformidade)?

    
por spuder 05.02.2015 / 19:25

2 respostas

7

Normalmente, cada usuário do Active Directory pode adicionar até 10 contas de computador a um domínio, sem a necessidade de ser um administrador de domínio; no entanto, esse comportamento pode ser personalizado por diretivas de domínio, portanto, pode não ser o seu caso; e mesmo se fosse, você teria um problema assim que a mesma conta de usuário precisasse ser usada para adicionar um 11º computador.

A maneira correta de ir é conceder a essa conta de usuário a permissão especial "Criar Objetos de Computador" no contêiner "Computadores" no Active Directory (em que novos computadores são adicionados por padrão) e / ou em qualquer outra OU onde novos computadores podem ser adicionados (embora seja um pouco mais difícil adicioná-los em algum lugar no diretório fora do contêiner padrão "Computadores").

link

    
por 05.02.2015 / 19:47
1

Claro, crie sua conta, não a junte a nenhum grupo e coloque-a em algum lugar no AD, onde ela não receberá direitos atribuídos pela política de grupo. Por padrão, os usuários autenticados podem ingressar computadores no domínio. Se isso tiver sido alterado, você precisará garantir que sua conta receba as permissões Adicionar estações de trabalho ao domínio por meio da política de grupo. Isso está em Configuração do Computador \ Configurações do Windows \ Configurações de Segurança \ Políticas Locais \ Atribuição de Direitos do Usuário. Você também pode fazer isso concedendo as permissões de conta na unidade organizacional onde deseja colocar o computador. Para isso, conceda à conta a permissão Criar Objetos do Computador na UO que você deseja usar.

    
por 05.02.2015 / 19:39