Permitir que os usuários adicionem computadores ao AD e gerenciem o computador

tag-icon tag-icon active-directory
Permitir que os usuários adicionem computadores ao AD e gerenciem o computador

Como empresa de software, precisamos que nossa equipe de suporte seja capaz de executar diversas instâncias de nosso software em máquinas separadas.

A maneira como normalmente fazemos isso é clonar uma máquina virtual, adicioná-la ao nosso servidor AD e fazer com que eles usem uma conta de administrador local no sistema clone. Como nosso administrador de sistema, parte disso requer minha ajuda.

O que eu gostaria de fazer é:

  1. Permitir que usuários especificados adicionem computadores a (um subdomínio de) nosso domínio local. Eu sei que eles podem adicionar alguns, mas eu gostaria de um número ilimitado de acréscimos.
  2. Permitir que os mesmos usuários tenham privilégios de administrador nos computadores adicionados, sem precisar alterar a configuração do computador

Existe alguma maneira de fazer isso? Foi sugerido que eu pudesse criar uma Unidade Organizacional em nosso domínio para permitir isso, mas além disso, não tenho a menor ideia.

Responder1

Eu faria assim:

  1. Crie um grupo de permissões chamado ACL-Local Admin for Devs
  2. Adicione seus desenvolvedores ao grupo

  3. Crie um novo GPO, adicione o grupo a ele e atribua-o à sua UO devs. Edite o GPO da seguinte forma:

    Configuração do computador -> Políticas -> Configurações do Windows -> Configurações de segurança -> Políticas locais -> Gerenciamento de direitos do usuário -> Adicionar estações de trabalho ao domínio

Para os usuários se tornarem administradores locais é um pouco mais desafiador se o computador permanecer na UO Computadores padrão.

Você pode redirecionar computadores para uma nova UO e conceder permissões a essa UO ao "ACL-Local Admin for Devs". Você pode mover seus computadores para a unidade organizacional correta com seu acesso ao AD, conforme necessário

Redirecionar UO de computadores padrão

Execute o arquivo Redircmp.exe em um prompt de comando usando a sintaxe a seguir, em que container-dn é o nome distinto da unidade organizacional que se tornará o local padrão para objetos de computador recém-criados criados por APIs de nível inferior:

redircmp container-dn container-dn

Dê permissões via GPO

Edite o mesmo GPO de antes e anexe-o à UO Computadores Configuração do Computador -> Preferências -> Configurações do Painel de Controle -> Usuários e Grupos Locais -> Novo -> Grupo Local

Adicionar grupo de domínio ao grupo interno de Administradores Locais

informação relacionada