spu*_*der 6 active-directory packer
我是一名 Linux 管理员,我的新工作是管理 Windows 服务器。
我正在尝试使用packer创建 Windows Server 2012 基本映像。作为配置的一部分,VM 需要通过脚本连接到活动目录。显然我不想将我的个人密码放入脚本中。
是否可以在 Active Directory 中创建一个用户,该用户有权将机器绑定到 AD,但不能执行任何其他操作(为了合规性)?
通常,每个 Active Directory 用户最多可以将 10 个计算机帐户添加到域中,而无需成为域管理员;但是,此行为可以通过域策略自定义,因此您的情况可能并非如此;即使是这样,只要需要使用相同的用户帐户添加第 11 台计算机,您就会遇到问题。
正确的方法是在 Active Directory 中的“计算机”容器(默认情况下添加新计算机)和/或新计算机可以添加的任何其他 OU 上授予此用户帐户“创建计算机对象”的特殊权限添加(尽管将它们添加到默认“计算机”容器之外的目录中的某处有点困难)。
https://technet.microsoft.com/en-us/library/cc780195(v=ws.10).aspx
小智 1
当然,创建您的帐户,不要将其加入任何组,并将其放在 AD 中不会获得组策略分配任何权限的位置。默认情况下,经过身份验证的用户可以将计算机加入域,如果这已更改,您需要确保您的帐户被授予通过组策略将工作站添加到域的权限。它位于计算机配置\Windows 设置\安全设置\本地策略\用户权限分配中。您还可以通过授予您想要放置计算机的 OU 的帐户权限来完成此操作。为此,请授予帐户对您希望其使用的 OU 的“创建计算机对象”权限。
| 归档时间: |
|
| 查看次数: |
5332 次 |
| 最近记录: |