none
Domain Users要給什麼樣的權限(最小)他才能加入退出domain RRS feed

  • 問題

  • 因為有些單位位置不在MIS附近

    需要讓該單位主管可以幫他們同仁加入退出domain

    但是又不想給到domain admins的權限

    請問要如何調整才能兩者兼顧

    謝謝

     

    2007年5月16日 上午 03:16

解答

所有回覆

  • Domain Users帳號預設即可將十台電腦加入網域。要退出網域的話需要是本機的Administrators。
    2007年5月16日 上午 03:28
  • 我們目前的設定一般domain user是不能自己加入退出domain的

    一般user加入退出domain時系統都會詢問他的ID/Password 必須有Domain Admins權限才能加入退出

    還是說我應該要調整哪一個Group policy

     

    2007年5月16日 上午 03:59
  • 系統的預設值, 可以允許Domain Users將電腦加入網域, 管理者可以將電腦退出網域, 如果想變更設定, 請利用網域群組原則來管理, 請參考下列:

     

    您的需求是要授權讓單位主管可以自行管理"加入", 這個部份請參考

    http://technet2.microsoft.com/WindowsServer/zh-CHT/Library/7207aa3e-d95d-4176-a1ca-bc629f1ca6981028.mspx

    也就是將 Authenticated Users換成單位主管所屬的User Account or Group

    ps.這個部份僅能在DC的網域控制站安全性原則上設定.

     

    或者是在指定的"組織單位"上, 授權單位主管可以管理電腦物件, 如此也可以讓該單位主管自行管理"加入".

     

    另外, 您的需求是要授權讓單位主管可以自行管理"退出", 這個部份請參考

    http://technet2.microsoft.com/WindowsServer/zh-CHT/Library/2715d832-fe71-47f7-86fd-412f013a40cd1028.mspx

    也就是將單位主管所屬的User Account or Group, 一致性地加入到欲管理的每一部成員電腦上的Local Administrators. 如此就不需要將單位主管Accounts隸屬於Domain Admins了.

     

     


    Scovan 蘇紘賢

    2007年5月16日 下午 08:12
  •  

    謝謝
    加入網域的部分, 目前群組原則確實是default : Authenticated Users
    但是我們實際在操作時卻必須都需要Domain Admins才能加入
    不知道是何原因?
    (受限群組目前並沒有任何設定)

    目前會先嘗試把該單位主管加入「網域安全性原則」中的 "將電腦加入網域"
    但是這樣是不是會變成全公司所有人都可以由那個主管加入?

    我如果要只針對該組織設定某user具有加入/退出權限
    是否可以在 "Active Directory 使用者及電腦"右鍵點選該組織選 "安全性"
    加入某user的權限(不知道哪些, 是否跟Domain Admins一樣就可以?)

    另請問"退出" domain為何跟 "受限群組"有關
    這邊有點不懂要如何設定

    2007年5月17日 上午 03:56
  • 如果您變更了Add workstation to domain的設定, 有幾項是必須要注意的:

    1. 沒有規定換下Authenticated Users後, 只能加入一個User or Group到這個安全性原則, 它可以做多授權的設定, 所有加入授權清單內的帳戶, 都是可以"加入".
    2. 必須在DC上的"網域控制站安全性原則"變更.
    3. 變更完成後, 還要再執行 gpupdate.
    4. 若有其它的Replica DCs, 則還要確定已複寫到其它DCs .

    "受限群組"主要的目的是要將這個"授權", 一致性地套用到特定的成員電腦, 也就是說這個"授權"會覆蓋成員電腦上的群組. 要"退出"是需要Administrators特權, 如果單位主管在成員電腦上不具有這樣的特權, 那麼就只有Domain Admins成員來執行了.

     

    因為預設值, Domain Admins是加入到每一部網域成員電腦的Local Administrators群組, 若不希望單位主管因此變成Domain Admins, 那麼就將單位主管加入Local Administrators就好了.

     

    所以使用"受限群組", 就不需要在每一部成員電腦上, 將單位主管一一的加入Local Administrators, 如此可以組態的節省時間. 設定上就跟您把通用群組加入區域群組一樣, 在前面的連結文章中有做法, 您可以參考試試看.

     

    如果要在組織單位物件上透過安全性加入某User的權限, 這種方法只適用Pre-staged computer accounts, 也就是說管理者先建立computer account然後由單位主管再"加入", 這種做法對單位主管缺乏完全自主性.

     

    以上供您參考

     

     


    Scovan 蘇紘賢

     

     

     

    2007年5月17日 上午 07:12
  • 補充一下

    如果要透過組織單位物件上透過安全性加入某User or Group的權限, 還可以透過Netdom Join指令, 請參考

    http://technet2.microsoft.com/windowsserver/en/library/539c5381-db4f-445f-aac0-2df5448181c11033.mspx

    Example 7 or Example 8.

     

    這樣單位主管就不會缺乏自主性了, 前提是必須要授權.

     

    以上供您參考

     

     

     


    Scovan 蘇紘賢

     

     

    2007年5月17日 下午 04:05