Nach dem Prinzip derVerwaltungsmodell mit geringsten BerechtigungenIch erstelle eine benutzerdefinierte Gruppe zur Verwaltung von Domänen, die weniger Berechtigungen als der Domänenadministrator hat. Zunächst einmal sollte sie die Berechtigung haben, Computer zu einer Domäne hinzuzufügen.
Ich teste viele verschiedene Möglichkeiten, dies zu erreichen, und bin auf diesen Artikel von Microsoft gestoßen: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
Es sagt aus:
Suchen Sie die Organisationseinheit, die Sie ändern möchten, klicken Sie mit der rechten Maustaste darauf und wählen Sie dann „Kontrolle delegieren“ aus.
Ich bin mir aber nicht sicher, welche OU ich eigentlich auswählen soll und konnte im Artikel auch keine Erklärung finden (oder bin ich blind?).
Welche OU soll es also sein? Integrierte Computer? Die OU, in der sich der Computer letztendlich befinden soll (wie die benutzerdefinierte OU „Server“ oder „Arbeitsstationen“)? Etwas anderes?
Derzeit habe ich die Kontrolle über die gesamte Domäne delegiert (ich habe eine einzelne Domäne in meiner Umgebung) und es funktioniert, aber ich bin nicht sicher, ob das sicher oder eine gute Vorgehensweise ist?
Antwort1
Ihre AD-Umgebung sollte so organisiert sein, dass sie Ihren/den Anforderungen Ihres Unternehmens optimal entspricht.
Ein gängiger Ansatz besteht darin, Organisationseinheiten für einzelne Abteilungen zu erstellen und untergeordnete Organisationseinheiten für Computer und Benutzer einzurichten.
Wenn Sie dann beispielsweise die Kontrolle über nur eine Abteilung an jemanden delegieren möchten, wählen Sie die Organisationseinheit aus, die diese Abteilung repräsentiert, und delegieren Sie die Kontrolle dorthin.