Позволете на потребителя да добавя компютри към домейн на Active Directory, блог

За ИТ и за ИТ темите

Позволете на потребителя да добавя компютри към домейна на Active Directory

Като част от оптимизирането на натоварването на техническата поддръжка, предприятието реши да делегира някои отговорности на доверени потребители (наричани по-нататък оторизирани потребители). Една от тези задачи ще бъде добавяне и премахване на компютри в домейна на Active Directory.

По подразбиране, ако не промените специално стандартните политики за сигурност на домейна, тогава обикновен потребител може лесно да добави компютър към домейн на корпоративна мрежа. Но има малко ограничение, той може да добави само 10 компютъра. Ако тази квота бъде превишена, потребителят ще получи съобщение за грешка:

„Компютърът не може да бъде присъединен към домейн. Този домейн е надвишил максималния разрешен брой акаунти. Моля, свържете се с вашия системен администратор, за да премахнете това ограничение или да увеличите стойността."

„Компютърът ви не можа да бъде присъединен към домейна. Надхвърлихте максималния брой компютърни акаунти, които имате право да създадете в този домейн. Свържете се с вашия системен администратор, за да нулирате или увеличите това ограничение."

Има моменти, когато потребителят успява да заобиколи това ограничение и броят на компютрите, които е добавил към домейна, вече е надхвърлил няколко десетки. Тук няма магия, просто трябва да разберете принципа на това ограничение. Иля Сазонов говори много ясно за това в своя блог:

Стана ясно, че ако потребителят добави компютри към домейна, т.е. създава компютърни акаунти в Active Directory и администраторът на домейна ги изтрива след това, тогава този потребител може да не усети наличието на тази квота.

За решаване на проблема този метод не е подходящ, т.к. заради големияброй работни станции, които много скоро са упълномощени да преминат през лимита.

  1. Създайте предварително компютърен акаунт
  2. Дайте на потребителя разрешение да добавя компютри към домейна
  3. Увеличаване на квотата

От тези опции само втората е подходяща за решаване на моя проблем. След като прецених всички плюсове и минуси, реших да го приложа.

1. Създадена отделна група за оторизирани лица в AD -Add_PC_in_Domen.

2. В прозореца на добавката "Active Directory Users and Computers " в менютоViewизберете командатаAdditional functions, така че когато щракнете върху бутонаProperties, разделътSecurityда се вижда.

потребителя

3. Отидете наСвойства на контейнерКомпютри, разделСигурностРазширени. Добавена е нова групаAdd_PC_in_Domen към списъка с разрешения, поставете две квадратчета за отметка в списъка с разрешения за тази група -Създаване на компютърни обектииИзтриване на компютърни обекти.

потребителя

Остава да добавите доверени потребители към групата. Членовете на тази група вече ще могат безпроблемно да добавят компютри към домейна.

Как да попречите на потребителите да добавят компютри към домейн

Необходимо е групатаAuthenticated да постави изрична забрана върхуСъздаване на компютърни обекти, както е показано на екранната снимка

потребителя