AD IT Helper Разрешения

Question

AD IT Helper Разрешения

Мои извинения, если об этом уже спрашивали. Если бы я знал правильные условия поиска, Google был бы более эффективным.

Я хотел бы добавить пользователя, который может присоединить компьютеры к домену, установить программное обеспечение и принтеры на пользовательских компьютерах, возможно, даже изменить пароли пользователей.

Есть ли что-то вроде роли службы поддержки, которая может сделать это, но может быть ограничена отсутствием серверов и определенных папок в сети (например, Payroll)?

Любая помощь приветствуется. Спасибо.

3

active-directory user-permissions best-practices

Источник

Jimmy 28 окт '14 в 15:32

1 ответ

Решение

Другие вопросы по тегам active-directory user-permissions best-practices

Evan Anderson 28 окт '14 в 16:05 2014-10-28 16:05 · Accepted Answer · 2014-10-28 16:05

Вы ищете делегирование контроля в Active Directory (AD), чтобы предоставить вашему "IT Helper" доступ для выполнения ограниченных административных операций в AD. Эта функциональность очень гибкая, и я бы порекомендовал вам немного почитать и составить несколько тестовых сценариев, чтобы ознакомиться с ними. Конкретные шаги по делегированию прав на присоединение компьютеров к домену описаны в KB932455. Вы можете делегировать чертовски много больше, хотя.

Для доступа к клиентскому компьютеру вы, вероятно, говорите о выборочном предоставлении членства в локальной группе "Администраторы" вашему "Помощнику по ИТ". (Необходимо иметь их в локальной группе "Администраторы", чтобы иметь возможность устанавливать программное обеспечение.) Функциональность групп с ограниченным доступом групповой политики может сделать это. Эта функция позволяет вам "вкладывать" группу из вашего домена в локальную группу на клиентских компьютерах. Развертывание политики групп с ограниченным доступом в объекте групповой политики (GPO), связанном с организационным подразделением (OU), где расположены ваши клиентские компьютеры, может привести к автоматическому добавлению группы "ИТ-помощники" домена в группы "Администраторы" на всех компьютеры, к которым применяется объект групповой политики.

Любое делегирование, которое вы выполняете, всегда должно быть группам, а не отдельным пользователям. Даже если у вас сейчас только один пользователь "IT Helper", вы должны использовать группы для "проверки будущего" вашей работы.

Обе эти функции основаны на разумном дизайне вашей рекламы. Если, например, все ваши клиентские компьютеры находятся в одном организационном подразделении и вы хотите, чтобы "ИТ-помощники" были "администраторами" только подмножества клиентских компьютеров, вам придется потратить больше времени на выполнение этого требование. ЕСЛИ ваши клиентские компьютеры организованы по подразделению, проще связать объекты групповой политики с этими объектами на выборочной основе. То же самое относится и к делегированию управления в иерархиях OU.

Вы должны прочитать о принципах проектирования AD, чтобы узнать, как вы можете сделать так, чтобы ваша AD работала хорошо для нужд вашего делегирования:

Некоторые из моих собственных увлечений: