소프트웨어 회사로서 우리는 별도의 컴퓨터에서 소프트웨어의 여러 인스턴스를 실행할 수 있도록 지원 직원이 필요합니다.
우리가 일반적으로 수행하는 방법은 가상 머신을 복제하여 AD 서버에 추가하고 복제 시스템에서 로컬 관리자 계정을 사용하도록 하는 것입니다. 시스템 관리자로서 이 중 일부에는 도움이 필요합니다.
내가 하고 싶은 것은:
- 지정된 사용자가 로컬 도메인(하위 도메인)에 컴퓨터를 추가할 수 있도록 허용합니다. 나는 그들이 몇 가지를 추가할 수 있다는 것을 알고 있지만 무제한으로 추가하고 싶습니다.
- 컴퓨터의 구성을 변경할 필요 없이 동일한 사용자가 추가된 컴퓨터에 대한 관리자 권한을 갖도록 허용합니다.
내가 할 수 있는 방법이 있나요? 이를 허용하기 위해 도메인에 조직 단위를 만들 수 있다는 제안이 있었지만 그 이상은 모르겠습니다.
답변1
나는 이렇게 할 것이다:
- 개발자용 ACL-Local Admin이라는 권한 그룹을 만듭니다.
- 그룹에 개발자 추가
새 GPO를 생성하고 여기에 그룹을 추가한 후 개발자 OU에 할당합니다. 다음과 같이 GPO를 편집합니다.
컴퓨터 구성 -> 정책 -> Windows 설정 -> 보안 설정 -> 로컬 정책 -> 사용자 권한 관리 -> 도메인에 워크스테이션 추가
컴퓨터가 기본 컴퓨터 OU에 남아 있으면 사용자가 로컬 관리자가 되는 것이 좀 더 어렵습니다.
컴퓨터를 새로운 OU로 리디렉션하고 해당 OU 권한을 "ACL-Local Admin for Devs"에 부여할 수 있습니다. 필요에 따라 AD 액세스를 통해 컴퓨터를 올바른 OU로 이동할 수 있습니다.
다음 구문을 사용하여 명령 프롬프트에서 Redircmp.exe 파일을 실행합니다. 여기서 컨테이너-dn은 하위 수준 API로 생성된 새로 생성된 컴퓨터 개체의 기본 위치가 될 조직 구성 단위의 고유 이름입니다.
redircmp container-dn container-dn
GPO를 통해 권한 부여
이전과 동일한 GPO를 편집하고 컴퓨터 OU 컴퓨터 구성 -> 기본 설정 -> 제어 패널 설정 -> 로컬 사용자 및 그룹 -> 새로 만들기 -> 로컬 그룹에 연결합니다.