none
AD - внесение компьютеров в подразделение RRS feed

  • Вопрос

  • Здравствуйте. Интересует такой вопрос - Возможно ли осуществить такой вариант ввода в домен компьютеров: В домене создать подразделения, в каждом подразделении создать администратора (чтобы он был администратором только этого подразделения) и, если  компьютер вводится в домен от имени этого администратора, то учетная запись компьютера помещается в данное подразделение,  а не в общую папку computers. 
    • Изменено shmelfrol 15 июня 2014 г. 9:06
    15 июня 2014 г. 9:05

Ответы

  • Здравствуйте, 

    Можно пойти по такому пути - 

    В каждом подразделении компьютеры должны быть обозваны согласно подразделению - например OU1WS1, OU2WS1 и т.д. после введения в домен запускать по расписанию PS или Оркестратором перемещение компьютера в нужную OU и добавление этого компьютера в нужную группу. У нас это реализовано средствами Оркестратора.


    С уважением, Старовойт Максим


    30 июня 2014 г. 5:55

Все ответы

  • Нет, в AD такой интеллект не заложен.

    Нужно использовать другие процедуры: либо создавать учетные записи компьютеров заранее, либо использовать для ввода в домен команду netdom join c ключом /ou, либо использовать скрипт, время от времени сканирующий контейнер Computers и перемещающий учетные запис компьютеров в соответсвии с правилами.


    Слава России!

    15 июня 2014 г. 10:29
  • понятно. а что на счет администраторов? можно ли в каждом  подразделении назначать своего администратора?
    15 июня 2014 г. 11:55
  • 1. сменить можете только контейнер по умолчанию

    2. насчет прав без проблем, открываете adsi edit или ADUC в расширенном режиме и выставляете нужные права нужным пользователям, например OU=test, Иванов, только этот объект -создание объекта компьютер. и второе право, тот же юзер Иванов-дочерние объекты компьютер, разрешить все кроме удаления и смены разрешения. чтобы созданные тачки другим админом не были удалены вторым.


    Идти туда, где не ждут, Атаковать там, где не подготовились.

    15 июня 2014 г. 14:03
  • спасибо. Опишу немного другим образом ситуацию. имеются подразделения в  домене и в каждом подразделении есть человек, который должен вводить компьютеры в домен и иметь на этих компьютерах админские права. я погуглил и наверное следует идти от групп с ограниченным доступом?

    но необходимо чтобы каждый чел был админом на компах только в своем подразделении. 

    правильно копаю?

    15 июня 2014 г. 14:36
  • Да, правильно. Задача типовая и решение - тоже типовое.

    Для каждого подразделения создается группа, которой даются разрешения на создание, удаление и полный доступ к объектам Компьютер в подразделении, а с подразделением связывается политика, в которой в разделе групп ограниченным доступом создается запись для этой группы, в которой указывается, что она является членом встроенной группы Администраторы.


    Слава России!

    15 июня 2014 г. 14:57
  • А как лучше сделать - в основном домене создать подразделения или же создать домен  и для каждого подразделения создать домен 3 уровня - main.pr - главный buh.main.pr поддомен?
    17 июня 2014 г. 9:30
  • Вообще-то, это зависит от того, готовы ли вы держать дополнительные контроллеры для каждого домена (не меньше двух) - со всеми затратами на оборудование и лицензии.

    Если вам нужно просто делегировать задачи обслуживания разных групп пользовательских компьютеров разным группам специалистов техподдержки ("эникейщиков"), то дополнительных доменов не требуется. AD - достатчно гибкое решение. Делегировать можно даже не только права администратора на этих компьютерах, но и, например, права на управление пользователями - создание, корректировка персональной информации, сброс пароля, членство в определенных группах, отключение уволенных...


    Слава России!

    17 июня 2014 г. 12:43
  • Здравствуйте, 

    Можно пойти по такому пути - 

    В каждом подразделении компьютеры должны быть обозваны согласно подразделению - например OU1WS1, OU2WS1 и т.д. после введения в домен запускать по расписанию PS или Оркестратором перемещение компьютера в нужную OU и добавление этого компьютера в нужную группу. У нас это реализовано средствами Оркестратора.


    С уважением, Старовойт Максим


    30 июня 2014 г. 5:55