none
讓特定人員可以將新電腦加入網域或是重新加入網域

    問題

  • 各位先進好

    我想讓特定人員在某一個新的群組,該新群組的人可以:

    1.將新電腦加入網域

    2.將原本的電腦加入網域(電腦名稱一樣)

    我有參考到這一篇

    http://windowsitpro.com/windows-server/jsi-tip-8144-how-can-i-allow-ordinary-user-add-computer-domain

    可以解決 1跟 2點嗎 ??

    謝謝大家。

    2016年9月12日 上午 01:01

所有回覆

  • 您好,

    原則上是可行的.

    但建議您架設與公司一樣的環境LAB測試,畢竟DC版本及架構上的不同,

    也會造成Policy套用後結果不同.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2016年9月12日 上午 03:36
  • 可以,但是我建議使用Group Policy 那方法,因為你日後要取消或查詢設定比較容易。

    直接委派日後要維護比較困難。


    Lusheng

    2016年9月12日 上午 03:39
  • 謝謝回覆

    我使用GPO 來設定另外一個群組 譬如  joinDomain

    可是這個群組的帳號卻不能把舊電腦加入(相同電腦名稱)。如果是新的電腦,是可以的。

    我猜因為原本的電腦是被 Account operators 這個群組建立的。



    • 已編輯 Jasonchu9 2016年9月13日 上午 12:35
    2016年9月12日 上午 09:28
  • 您好,

    若您當初此電腦名稱沒有正常退出網域的話,

    您就必須手動在AD刪除此電腦名稱,

    這樣您就可以再正常加入了.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2016年9月13日 上午 01:02
  • 謝謝回覆。

    可是測試時,有正常退出,

    但是退出後,去看電腦名稱卻還在。

    再用相同名稱加入,就出現那個錯誤視窗了。

    只能手動刪除電腦,再加入。

    可是.......這樣手動刪除或Reset電腦名稱,joinDomain群組的人都要再麻煩系統管理員去做

    -----------

    所以是不是 Account Operators群組的人加入的電腦

    joinDomain群組的人沒權限"刪除"電腦物件(可正常退出網域),以及 "Rewrite"電腦物件 ??



    2016年9月13日 上午 01:18
  • 詳細要去看一下該電腦物件的安全性,但是我想應該是沒權限沒有錯。


    Lusheng

    2016年9月13日 上午 03:26
  • 您好,

    您以下的設定有設嗎?

    Delegate rights using Active Directory Users and Computers:

    1. Open the Active Directory Users and Computers snap-in.

    2. Right-click the container under which you want the computers added, and press Delegate Control.

    3. Press Next.

    4. Press Add.

    5. After adding all the users and/or groups, press Next.

    6. Select Create custom task to delegate and press Next.

    7. Select Only the following objects in the folder, check Computer objects, check the Create selected objects in this folder box, and press Next.

    8. Check the Create all child object box and press Next.

    9. Press Finish.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2016年9月13日 上午 03:50
  • 有的


    1.我有設定GPO 把這個 joinDomain 群組加入--> 將電腦加入網域

    2.computers 容器也做了 Delegate rights to joinDomain 

    但是還是會出現錯誤訊息那個畫面

    2016年9月14日 上午 07:43
  • 您好,

    該群組加入acount operator群組 試試.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2016年9月14日 上午 09:44
  • 您好

    可是這個新群組是各單位負責電腦業務的

    都加入 acount operators群組 權限是否給太大 ??

    我只想讓他們可以把自己單位內電腦加入網域

    -----------

    以前的電腦加入網域都是 account operators 這個群組

    所以現在 joinDomain 的人員要把相同電腦名稱的加入網域,

    就會有貌似權限不足,不能去改到之前 account operators 建立的電腦物件

    不過joinDomain還是可以把新的電腦名稱加入。

    如果我把 joinDomain 的委派,給到"完全控制" ,的確就可以修改之前 account operators群組所建立的電腦物件了

    但是完全控制又是否會太大??

    joinDomain委派要給到何種極小的權限,就可以去修改account operators建立的電腦物件?? 

    2016年9月19日 上午 01:05
  • 您好,

    1.檢查一下該委派控制群組中,若是自訂內容中是否有刪除電腦物件權限?

    2.具有Domain Admin群組之管理人來刪除此電腦物件.

    3.開Case請微軟協助.

    提供您參考,

    希望對您有所幫助

    謝謝.

    2016年9月19日 上午 01:32
  • Hi Jasonchu9,

    再這樣的情況下,eventviewer有其他的錯誤嗎? 再思考是不是DC 沒有複寫完成的問題...


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2016年9月19日 上午 06:52
    擁有者