Seguindo o princípio deModelo Administrativo de Menos PrivilégiosEstou criando um grupo personalizado para gerenciar domínio, que seria menos privilegiado que o Administrador de Domínio. Para começar, deve ter permissão para adicionar computador a um domínio.
Estou testando muitas maneiras diferentes de conseguir isso e me deparei com este artigo da Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
Afirma:
Localize e clique com o botão direito na UO que deseja modificar e selecione Delegar controle.
Mas não tenho certeza de qual UO devo escolher e não consegui encontrar nenhuma explicação no artigo (ou sou cego?).
Então, qual UO deveria ser? Computadores embutidos? UO onde desejo que o computador resida (como "Servidores" ou "Estações de trabalho" da UO personalizada)? Algo mais?
Atualmente deleguei o controle sobre todo o domínio (tenho um único domínio em meu ambiente) e está funcionando, mas não tenho certeza se é seguro ou uma boa prática.
Responder1
Seu ambiente AD deve ser organizado da maneira que melhor atenda às necessidades da sua empresa.
Uma abordagem comum é criar UOs para departamentos individuais e ter subUOs para Computadores e Usuários.
Então, por exemplo, se você quiser delegar o controle a alguém para apenas um departamento, você escolheria a UO que representa esse departamento e delegaria o controle lá.