none
Проблема при делегировании права на присоединение машины пользователя к домену RRS feed

  • Вопрос

  • День добрый.

    Создал в AD (Windows server 2012 R2) OU для компьютеров организации (ORG_NAME\ORG_COMPUTERS), создал глобальную группу безопасности (ORG_HELPDESK_GROUP), делегировал (делегирование делал на этот созданный для машин контейнер) этой группе права на включение компьютеров в домен, кроме того, изменил политику по-умолчанию для контроллера домена (дал этой группе право "Add workstation to domain"). Учетные записи компьютеров создавал заранее скриптом в контейнере ORG_NAME\ORG_COMPUTERS.

    В итоге имею следующую ситуацию:

    Пользователь, являющийся членом группы ORG_HELPDESK_GROUP, добавляет машину в домен.

    При этом создается ВТОРАЯ учетка машины, с таким же именем, но в стандартном контейнере Computers в корне домена. Как результат, на машину не применяются нужные политики (они прилинкованы к контейнеру ORG_NAME\ORG_COMPUTERS).

    Можно, конечно, удалить старую учетку компьютера (созданную скриптом) и перенести новую учетку компьютера в контейнер ORG_NAME\ORG_COMPUTERS из стандартного контейнера Computers, но таких объектов многовато и хотелось бы этого избежать.

    ВОПРОС:

    Что сделать для того, чтобы новая учетка машины не создавалась, если такая учетка уже существует в контейнере ORG_NAME\ORG_COMPUTERS, а просто использовалась бы предарительно созданная учетка из контейнера ORG_NAME\ORG_COMPUTERS.

    Ну или чтобы новая учетка компьютера сразу создавалась в этом (ORG_NAME\ORG_COMPUTERS) контейнере - на крайняк.

    У уже созданных скриптом учеток компьютеров прописаны дескрипшены, руками каждую править не удобно - много их.

Ответы

  • Вариантов тут несколько.

    1.Дать сотрудникам хелпдеска разрешение на создание и удаление объъектов Компьютер в контейнере Computers. И следить, чтобы они вовремя переносили сорзданные компьютеры в нужное подразделение

    2. Отнять у сотрудников хелпдеска привилегию Add workstation to domain (вообще-то, она, по умолчнию, вроде как у всех пользователей всегда была) и приучить их заранее создавать учётные записи для вводимых в домен компьютеров в нужноv подразделении. Ну, и приучить их сначала переименовывать компьютер, а вводить в домен уже только после перезагрузки (иначе компьютер вводится в домен под старым именем, а потом переименовывается).

    3. Если подразделение одно - сделать его контейнером по умолчанию для создания учётных записей компьютеров с помощью redircomp.exe


    Слава России!