다음의 원리최소 권한 관리 모델도메인 관리자보다 권한이 낮은 도메인 관리용 사용자 지정 그룹을 만들고 있습니다. 우선 도메인에 컴퓨터를 추가할 수 있는 권한이 있어야 합니다.
저는 이를 달성하기 위한 다양한 방법을 테스트하고 있으며 Microsoft에서 다음 기사를 발견했습니다. https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
그것은 다음과 같이 말합니다:
수정하려는 OU를 찾아서 마우스 오른쪽 버튼으로 클릭한 다음 제어 위임을 선택합니다.
하지만 실제로 어떤 OU를 선택해야 할지 잘 모르겠고 기사 내에서 어떤 설명도 찾을 수 없습니다(아니면 제가 시각 장애인인가요?).
그렇다면 어떤 OU여야 할까요? 내장 컴퓨터? 컴퓨터가 궁극적으로 상주할 OU(예: 사용자 정의 OU "서버" 또는 "워크스테이션")? 다른 것?
현재 전체 도메인에 대한 제어권을 위임했고(내 환경에 단일 도메인이 있음) 작동하고 있지만 이것이 안전한지 또는 모범 사례인지 확신할 수 없습니다.
답변1
귀하의 AD 환경은 귀하/귀사의 요구 사항에 가장 적합한 방식으로 구성되어야 합니다.
일반적인 접근 방식은 개별 부서에 대한 OU를 만들고 컴퓨터 및 사용자에 대한 하위 OU를 갖는 것입니다.
예를 들어, 한 부서에 대해서만 누군가에게 제어권을 위임하려는 경우 해당 부서를 대표하는 OU를 선택하고 거기에 제어권을 위임하면 됩니다.