作為一家軟體公司,我們需要我們的支援人員能夠在不同的電腦上運行我們軟體的多個實例。
我們通常執行此操作的方法是複製虛擬機,將其新增至我們的 AD 伺服器,並讓它們在複製系統上使用本機管理員帳戶。作為我們的系統管理員,其中一些需要我的幫助。
我想做的是:
- 允許指定使用者將電腦新增至我們的本機網域(的子網域)。我知道他們可以添加一些,但我想要無限數量的添加。
- 允許相同的使用者在新增的電腦上擁有管理員權限,而無需更改電腦上的配置
我有什麼辦法可以做到這一點嗎?有人建議我可以在我們的網域中建立一個組織單位來允許這樣做,但除此之外,我沒有任何線索。
答案1
我會這樣做:
- 建立名為 ACL-Local Admin for Devs 的權限群組
- 將您的開發人員加入群組中
建立新的 GPO 並將群組新增至其中,並將其指派給您的開發 OU。編輯 GPO 如下:
電腦設定 -> 策略 -> Windows 設定 -> 安全性設定 -> 本機原則 -> 使用者權限管理 -> 將工作站新增至網域
如果電腦保留在預設的電腦 OU 中,則使用者成為本機管理員會更具挑戰性。
您可以將電腦重新導向到新的 OU,並將該 OU 權限授予「ACL-本機開發人員管理員」。您可以根據需要將電腦移至具有 AD 存取權限的正確 OU
使用下列語法在命令提示字元中執行 Redircmp.exe 文件,其中 container-dn 是組織單位的可分辨名稱,該組織單位將成為由下級 API 建立的新建立的電腦物件的預設位置:
redircmp container-dn container-dn
透過 GPO 授予權限
編輯與先前相同的 GPO,並將其附加到電腦 OU 電腦配置 -> 首選項 -> 控制面板設定 -> 本機使用者和群組 -> 新建 -> 本機群組
