私は、過去 5 年間に複数の追加サイトを買収した大企業で働いています。これらのサイトは、企業サイトに完全に統合されています。現在直面している問題は、ほとんどのサイトにローカル管理者がいて、これらの管理者が必ずしも私たちとうまく連携していないことです。
つまり、サーバー チームの関与なしに、これらのサイトで新しいサーバーが追加されたり、古いサーバーが廃止されたりすることがあります。オペレーティング システムの種類に基づいてドメイン参加権限を制限する方法を探しています。そのため、すべてのサーバー ドメイン参加機能をサーバー チームのみに制限したいと考えています。サイトの担当者は、引き続きドメインにワークステーションを追加できる必要があります。
答え1
これらのユーザーにドメインのサーバーに参加させたくない場合は、おそらくこれらのユーザーをドメイン管理者にしたくないでしょう。
制限付き権限アカウントを付与して、閉じた OU 構造内のドメインにマシンを参加させる権限のみを委任し、不正な参加を「阻止」するためにそこで実行されたアクションに関するレポートを実行することはできますが、これは実際には技術的な問題ではありません。問題は、ドメイン管理者権限を持つユーザーがドメインの管理を信頼できないことであり、最善の解決策は常に、管理者権限を信頼できないユーザーから管理者権限を剥奪することです。