none
Delegar controle para inserir maquinas no dominio em um OU - AD RRS feed

  • Pergunta

  • Boa tarde senhores.

    PReciso delegar o controle para reset de senha, habilitar e desabilitar conta de user e computer, e inserir maquinas no dominio em uma OU para um grupo de segurança do suporte local.

    Estes usuarios estão hoje com permissão de AD ADMIN, o que não é aceitavel para um ambiente que se preze, usei o delegation control wizard, mas não ficou claro para mim qual opção usar para permitir a inserção de maquina no dominio.

    Detalhe, preciso aplicar essa opção na OU, pois não tenho acesso a delegar controle para o dominio todo, pois trata-se de um AD GLOBAL e so tenho acesso full a OU do BRazil. é possivel?

    sexta-feira, 19 de dezembro de 2014 17:50

Todas as Respostas

  • Boa tarde Caio,

    Você delega controle aos domínio, e não às OUs.

    Quando você diz que tem acesso full ao à OU Brazil, não seria ao subdomínio Brazil?

    Enfim, para se delegar controle, entre no Active Directory Users an Computers, clique com o botão direito sobre o domínio> Delegate Control.

    Após selecionar o usuário desejado, as permissões são bem claras. Para o que vc necessita, selecione "Create, exclude and Manage user accounts" e "Join a computer to the domain".

    Desta forma o usuário terá as permissões necessárias.

    sexta-feira, 19 de dezembro de 2014 18:58
  • Para conceder o privilégio de Domain Join a um usuário ou grupo você não precisa necessáriamente conceder este privilégio no nível do domínio.

    Só é preciso delegar este direito no container Computers ou no diretório que estiver definido como padrão para contas de computadores ingressadas caso esta configuração tenha sido alterada.

    De qualquer forma, você somente precisa clicar com o botão direito sobre o container Computers e escolher Delegate Control..., no entanto, você precisa definir o que realmente este usuário e/ou grupo farão realmente.

    Se o objetivo for somente ingressar computadores no domínio, as permissões necessárias são:

    Active Directory Object Type

    • Computer Object
    • Create selected object in this folder

    Permissions

    • Read All Properties

    Se o objetivo for ingressar e reingressar computadores no domínio, as permissões necessárias são:

    Active Directory Object Type

    • Computer Object
    • Create selected object in this folder
    • Delete selected object in this folder

    Permissions

    • Reset Password
    • Read and Write Account Restrictions
    • Validated Write to DNS Host Name
    • Validated Write to Service Principal Name

    Se o objetivo for renomear computadores no domínio, as permissões necessárias são:

    Active Directory Object Type

    • Computer Object

    Permissions

    • Read All Properties
    • Write All Properties
    • Validated Write to DNS Host Name
    • Validated Write to Service Principal Name

    Enjoy it!

    • Sugerido como Resposta Leonardo Côco domingo, 21 de dezembro de 2014 20:43
    sábado, 20 de dezembro de 2014 00:31
  • Bom dia senhores... eu tenho um ambiente misto com maquinas Linux... efetuei esse procedimento, porém nas maquinas Linux não esta surgindo efeito.. apenas nas maquinas Windows. Alguém jà passou por isso?
    terça-feira, 15 de maio de 2018 14:10