Permitir a los usuarios agregar computadoras a AD y administrar computadoras

tag-icon tag-icon active-directory
Permitir a los usuarios agregar computadoras a AD y administrar computadoras

Como empresa de software, necesitamos que nuestro personal de soporte pueda ejecutar múltiples instancias de nuestro software en máquinas separadas.

La forma en que normalmente hacemos esto es clonar una máquina virtual, agregarla a nuestro servidor AD y hacer que usen una cuenta de administrador local en el sistema de clonación. Como administrador de nuestro sistema, algunas cosas requieren mi ayuda.

Lo que me gustaría hacer es:

  1. Permitir que usuarios específicos agreguen computadoras a (un subdominio de) nuestro dominio local. Sé que pueden agregar algunos, pero me gustaría un número ilimitado de adiciones.
  2. Permitir que los mismos usuarios tengan privilegios de administrador en las computadoras agregadas, sin tener que cambiar la configuración en la computadora

¿Hay alguna manera de que pueda hacer esto? Se ha sugerido que puedo crear una unidad organizativa en nuestro dominio para permitir esto, pero más allá de esto, no tengo ni idea.

Respuesta1

Yo lo haría de esta manera:

  1. Cree un grupo de permisos llamado ACL-Local Admin para desarrolladores
  2. Añade tus desarrolladores al grupo

  3. Cree un nuevo GPO, agréguele el grupo y asígnelo a su unidad organizativa de desarrollo. Edite el GPO de la siguiente manera:

    Configuración de la computadora -> Políticas -> Configuración de Windows -> Configuración de seguridad -> Políticas locales -> Administración de derechos de usuario -> Agregar estaciones de trabajo al dominio

Para los usuarios convertirse en administradores locales es un poco más desafiante si la computadora permanece en la unidad organizativa Computadoras predeterminada.

Puede redirigir las computadoras a una nueva unidad organizativa y otorgarle permisos a esa unidad organizativa al "Administrador local de ACL para desarrolladores". Puede mover sus computadoras para corregir la OU con su acceso AD según sea necesario

Redirigir la unidad organizativa predeterminada de computadoras

Ejecute el archivo Redircmp.exe en un símbolo del sistema utilizando la siguiente sintaxis, donde contenedor-dn es el nombre completo de la unidad organizativa que se convertirá en la ubicación predeterminada para los objetos informáticos recién creados mediante API de nivel inferior:

redircmp container-dn container-dn

Dar permisos a través de GPO

Edite el mismo GPO que antes y adjúntelo a Computadoras OU Configuración de computadora -> Preferencias -> Configuración del panel de control -> Usuarios y grupos locales -> Nuevo -> Grupo local

Agregar un grupo de dominio al grupo integrado de administradores locales

información relacionada