Estou tentando descobrir uma maneira de delegar permissão a um grupo de segurança para adicionar controladores de domínio a um domínio. O problema é que não quero adicioná-los aos grupos Administrador do Domínio ou Administrador Corporativo. Alguém já tentou isso antes e o que você fez para implementá-lo com sucesso?
O que estou tentando realizar é o link
Estou concedendo todos os direitos abaixo a um grupo de segurança específico que fiz. O problema é que eu não quero que esses administradores tenham direitos de administrador de domínio para adicionar máquinas, usuários e ous, que é o que eles recebem se eu adicioná-los ao grupo Admins. Do Domínio. Eu tentei usar grupos restritos .. Delegação de segurança, mas não importa o que, a única maneira de permitir que eles adicionem uma réplica ao domínio é dando-lhes direitos de administrador de domínio. Mundo perfeito seria .. colocar o grupo "tarefas de instalação" no grupo de administradores para os servidores, mas não amarrar essa associação com o administrador no domínio ... Espero que isso faz sentido.
O usuário deve ser membro do grupo Administradores no servidor membro que está sendo promovido.
O objeto crossRef em CN = Partitions, CN = Configuration, DC = deve ser pré-criado
RP herdável em CN = Servidores, CN =, CN = Sites, CN = Configuração, DC =
CC herdável em CN = Servidores, CN =, CN = Sites, CN = Configuração, DC =
CC em OU = controladores de domínio, DC = para criar objetos de computador
Controle total no objeto Computador do servidor que está sendo promovido
Controle total para "Proprietário criador" em CN =, CN = Sites, CN = Configuração, DC =
Replicação DS estendida para obtenção de direitos em CN = Configuração, DC =
DS estendido Replication-Get-Changes em CN = Schema, CN = Configuration, DC =
Replicação DS estendida para a direita - Get-Changes-All em CN = Configuration, DC =
Replicação DS estendida para a direita - Get-Changes-All em CN = Esquema, CN = Configuração, DC =
DS estendida-replicação-Gerenciar-topologia em CN = Configuração, DC =
Extensão DS-Replication-Manage-Topology em CN = Schema, CN = Configuration, DC =
Topologia de monitoração de replicação DS de direita estendida em CN = Configuration, DC =
Topologia de monitoração de replicação DS de direita estendida em CN = Esquema, CN = Configuração, DC =
Replicação DS estendida à direita - Sincronizar em CN = Configuração, DC =
Replicação DS estendida à direita - Sincronizar em CN = Esquema, CN = Configuração, DC =
Isso, na verdade, é bastante comum em ambientes maiores, onde pode haver um domínio ou uma floresta separada para contas administrativas. Nesse caso, você definitivamente não pode adicioná-los aos administradores de domínio e provavelmente não deseja que todos os administradores corporativos.
Paul Williams teve um bom artigo documentando os vários objetos e as permissões necessárias. Infelizmente esse link está quebrado, mas você ainda pode visualizá-lo na máquina de wayback.
