Следуя принципуАдминистративная модель с наименьшими привилегиямиЯ создаю пользовательскую группу для управления доменом, которая будет иметь меньше привилегий, чем Администратор домена. Для начала она должна иметь разрешение на добавление компьютера в домен.
Я тестирую много разных способов достижения этой цели и наткнулся на эту статью от Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
Говорится:
Найдите и щелкните правой кнопкой мыши организационное подразделение, которое вы хотите изменить, а затем выберите «Делегировать управление».
Но я не уверен, какой OU мне следует выбрать, и не смог найти никаких объяснений в статье (или я слепой?).
Так какое же OU это должно быть? Встроенные компьютеры? OU, где я хочу, чтобы компьютер в конечном итоге находился (например, пользовательское OU «Серверы» или «Рабочие станции»)? Что-то еще?
В настоящее время я делегировал управление всем доменом (в моей среде есть один домен), и это работает, но я не уверен, безопасно ли это или является хорошей практикой?
решение1
Ваша среда AD должна быть организована таким образом, чтобы она наилучшим образом соответствовала потребностям вас/вашей компании.
Распространенный подход заключается в создании подразделений для отдельных отделов и наличии подподразделений для компьютеров и пользователей.
Затем, например, если вы хотите делегировать кому-либо управление только одним отделом, вы должны выбрать подразделение, представляющее этот отдел, и делегировать управление ему.