Ben*_*Ben 11 security permissions active-directory
我想创建一个将执行以下操作的帐户:
我不想让它做任何其他事情,所以不想要域管理员帐户。
任何人都可以在权限方面指导我朝着正确的方向前进吗?不确定我是否应该使用委托控制向导?
干杯,
本
Rya*_*ger 13
我最近不得不为自己设置这个。我们有一些自定义代码,当新计算机 PXE 启动并作为服务帐户运行时,它们会为新计算机执行计算机预部署。
Domain Users组中的任何用户都应该能够在没有任何额外权限的情况下立即执行此操作,除非您更改了某些地方的默认权限或在事物上添加了拒绝 ACL。
对于这些,您首先必须决定要在何处授予此访问权限。在域的根目录授予权限很容易,但不是非常明智。通常,您有一个 OU 或一组 OU,其中计算机帐户位于其中。因此,您应该将以下权限专门应用于这些容器。将计算机加入域的权限只需要能够创建计算机帐户并设置其属性。在 OU 之间移动计算机需要能够从一个地方删除帐户并在另一个地方创建它。综上所述,您需要在每个 OU 上授予以下权限:
我还有一点额外的建议。不要直接向服务帐户授予这些权限。创建一个类似Computer Admins的组,并使服务帐户成为该组的成员。然后,授予该组的权限。这样,如果您有其他需要相同权限的人员或服务帐户,您只需修改组的成员资格。