次の原則に従って最小権限管理モデルドメイン管理者よりも権限の低いドメイン管理用のカスタム グループを作成しています。まず、ドメインにコンピューターを追加する権限が必要です。
これを実現するためのさまざまな方法をテストしているときに、Microsoft の次の記事を見つけました。 https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
それは次のように述べています。
変更する OU を見つけて右クリックし、[制御の委任] を選択します。
しかし、実際にどの OU を選択すればよいのかわかりませんし、記事内に説明も見つかりませんでした (それとも私が盲目なのでしょうか?)。
では、どの OU にすべきでしょうか? 組み込みコンピューターでしょうか? コンピューターを最終的に配置する OU (カスタム OU「サーバー」や「ワークステーション」など) でしょうか? 他に何かありますか?
現在、ドメイン全体の制御を委任しており (私の環境には単一のドメインがあります)、動作していますが、それが安全であるか、または良い方法であるかはわかりません。
答え1
AD 環境は、お客様または会社のニーズに最適な方法で構成する必要があります。
一般的なアプローチは、個々の部門ごとに OU を作成し、コンピューターとユーザーごとにサブ OU を作成することです。
たとえば、ある部門のみの制御を誰かに委任したい場合は、その部門を表す OU を選択し、そこに制御を委任します。