web-dev-qa-db-ja.com

ADの読み取り、コンピューターのドメインへの参加、コンピューターアカウントの削除、コンピューターのOUへの移動を行うアカウント

以下を実行するアカウントを作成します。

  • コンピューターをドメインに参加させる(通常のユーザーのように、10に制限されない)
  • ADでコンピューターアカウントを確認する
  • ADからコンピューターを削除する
  • OU間でコンピューターを移動する

他のことを許可したくないので、ドメイン管理者アカウントは必要ありません。

誰かが許可の点で正しい方向に私を導くことができますか?コントロールの委任ウィザードを使用する必要があるかどうかわからない

乾杯、

ベン

securityactive-directorypermissions
11
Ben

私は最近、これを自分で設定する必要がありました。新しいコンピューターがPXEブートしてサービスアカウントとして実行されるときに、コンピューターの事前準備を行うカスタムコードがいくつかあります。

  • ADでコンピューターアカウントを確認する

Domain Usersグループのすべてのユーザーは、場所でデフォルトのアクセス許可を変更したり、物事に拒否ACLを追加したりしない限り、追加のアクセス許可がなくてもすぐにこれを実行できます。

  • コンピューターをドメインに参加させる(通常のユーザーのように、10に制限されない)
  • ADからコンピューターを削除する
  • OU間でコンピューターを移動する

これらについては、まず、このアクセス権をどこに付与するかを決定する必要があります。ドメインのルートで権限を付与するのは簡単ですが、それほど賢明ではありません。通常、コンピューターアカウントが存在するOUまたはOUのセットがあります。そのため、これらのコンテナに次の権限を具体的に適用する必要があります。コンピューターをドメインに参加させるアクセス許可は、コンピューターアカウントを作成し、そのプロパティを設定する機能を必要とします。 OU間でコンピューターを移動するには、アカウントをある場所から削除して別の場所に作成する機能が必要です。以上、各OUに付与する必要があるアクセス許可は次のとおりです。

  • このオブジェクトとすべての子孫
    • コンピューターオブジェクトを作成する
    • コンピューターオブジェクトを削除する
  • 子孫コンピュータオブジェクト
    • すべてのプロパティを読む
    • すべてのプロパティを書き込む
    • パスワードを変更する
    • パスワードを再設定する
    • DNSホスト名への検証された書き込み
    • サービスプリンシパルへの検証された書き込み

また、アドバイスが少しあります。これらの権限をサービスアカウントに直接付与しないでください。 Computer Adminsのようなグループを作成し、サービスアカウントをそのグループのメンバーにします。次に、グループに権限を付与します。これにより、同じ権限を必要とする追加のユーザーまたはサービスアカウントがある場合は、グループのメンバーシップを変更するだけで済みます。

13
Ryan Bolger

「computer admins」のようなグループを作成し、Active Directoryユーザーとコンピューターを開きますMMCスナップインで、ドメイン全体に対する権限を付与する場合は、権限を付与するOUを右クリックします。ドメイン名を右クリックし、デリゲートコントロールオプションを選択します。

表示されたウィザードで、以前に作成したグループ "computer admins"を選択し、[次へ]をクリックして、[委任するカスタムタスクの作成]をクリックし、[次へ]をクリックします。

次に"フォルダ内の次のオブジェクトのみ"を選択し、リストから"コンピュータオブジェクト"を選択して、下部にある2つのボックスを選択します。 "選択したオブジェクトをフォルダに作成する"および"選択したオブジェクトをフォルダに削除する"次にクリックします。

次の画面で、リストから"フルコントロール"を選択し、[次へ]をクリックします

次の画面に委任の概要が表示されたら、[完了]をクリックします。

完了したら、ユーザーの1人を「コンピュータ管理者」グループに追加し、必要なさまざまなタスクを実行してみます。

4
KAPes

はい、管理の委任を使用する必要があります。これを行う方法を段階的に説明することもできますが、より簡単な解決策があります。 ManageEngineから ADManagerPlus をダウンロードしてインストールし、AD委任ツールを使用して自分用に設定します。それらには、問題のユーザーに適切なアクセス権を付与するために使用できる、事前定義されたヘルプデスクロールがあります。 Modifiy Computersの役割を調べてください。それがあなたが探しているものだと思います。

1
joeqwerty

次のように、使用する特定の「タスクパッド」mmcを作成できます。 http://www.petri.co.il/create_taskpads_for_ad_operations.htm

基本的には、MMCのカスタマイズバージョンであり、ユーザーの作成、コンピューターの作成などの特定のコントロールの使用にロックされています。委任の設定/アクセス許可に応じて、そこから実行できる操作を決定します。

1
Grizly