Siguiendo el principio deModelo administrativo de mínimos privilegiosEstoy creando un grupo personalizado para administrar el dominio, que tendría menos privilegios que el Administrador de dominio. Para empezar, debería tener permiso para agregar una computadora a un dominio.
Estoy probando muchas formas diferentes de lograr esto y encontré este artículo de Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
Afirma:
Busque y haga clic con el botón derecho en la unidad organizativa que desea modificar y luego seleccione Delegar control.
Pero no estoy seguro de qué OU debería elegir y no pude encontrar ninguna explicación dentro del artículo (¿o estoy ciego?).
Entonces, ¿qué unidad organizativa debería ser? ¿Computadoras integradas? ¿Organización organizativa donde quiero que resida finalmente la computadora (como "servidores" o "estaciones de trabajo" de unidades organizativas personalizadas)? ¿Algo más?
Actualmente, delegué el control sobre todo el dominio (tengo un solo dominio en mi entorno) y está funcionando, pero no estoy seguro de que sea seguro o una buena práctica.
Respuesta1
Su entorno de AD debe organizarse de la manera que mejor se adapte a sus necesidades o las de su empresa.
Un enfoque común es crear unidades organizativas para departamentos individuales y tener subunidades organizativas para computadoras y usuarios.
Luego, por ejemplo, si desea delegar el control a alguien para un solo departamento, deberá elegir la unidad organizativa que representa ese departamento y delegar el control allí.