遵循以下原則最小權限管理模型我正在建立用於管理網域的自訂群組,該群組的特權低於網域管理員。對於初學者來說,它應該具有將電腦新增至網域的權限。
我正在測試許多不同的方法來實現這一目標,並且我看到了 Microsoft 的這篇文章: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
它指出:
找到並右鍵點選要修改的 OU,然後選擇委派控制。
但我不確定我實際上應該選擇哪個 OU,而且我在文章中找不到任何解釋(或者我是盲目的?)。
那應該是哪個 OU 呢?內建計算機?我希望電腦最終駐留在哪個 OU(例如自訂 OU“伺服器”或“工作站”)?還有別的事嗎?
目前,我委託了對整個網域的控制(我的環境中有單一網域)並且它正在工作,但我不確定它是安全的還是良好的做法?
答案1
您的 AD 環境應該以最適合您/您公司需求的方式進行組織。
常見的方法是為各部門建立 OU,並為電腦和使用者建立子 OU。
然後,例如,如果您只想將一個部門的控制權委派給某人,您可以選擇代表該部門的 OU 並將控制權委派給那裡。