บรรจวบ เข้าสู่ระบบ
Score:2
AnJ avatar Server

ให้สิทธิ์ขั้นต่ำที่จำเป็นสำหรับการเพิ่มคอมพิวเตอร์ในโดเมน - โดยไม่ต้องใช้การมอบหมาย

ธง cn
AnJ

ตามหลักการของ รูปแบบการบริหารที่มีสิทธิพิเศษน้อยที่สุด ฉันต้องสร้างกลุ่มแบบกำหนดเองที่จะให้สิทธิ์แก่สมาชิกในการเพิ่มคอมพิวเตอร์ในโดเมน แต่ไม่มีอะไรอื่นที่อาจก่อให้เกิดความเสี่ยงด้านความปลอดภัย

ดังนั้นฉันจึงสร้างกลุ่มที่กำหนดเองใน AD (ขอเรียกว่า "Domain Manager") และกำหนดผู้ใช้โดเมนทดสอบให้กับกลุ่มนี้
จากนั้นฉันก็ไปที่ Group Policy Manager และสร้าง GPO ภายใน GPO ของฉันฉันไป การกำหนดค่าคอมพิวเตอร์ > การตั้งค่า Windows > การตั้งค่าความปลอดภัย > นโยบายท้องถิ่น > การกำหนดสิทธิ์ของผู้ใช้ และเพิ่มกลุ่มที่กำหนดเองของฉันเข้าไป เพิ่มเวิร์กสเตชันในโดเมน นโยบาย.

ทำตามวิธีที่ 1 จากบทความนี้ทุกประการ: https://www.prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/

ต่อไป ฉันเชื่อมโยง GPO กับ OU ด้วยคอมพิวเตอร์เครื่องเดียวสำหรับการทดสอบ (และรัน gpupdate /บังคับ เพื่อผลที่ดี) ฉันลบคอมพิวเตอร์เครื่องนี้ออกจากโดเมนแล้วลองเพิ่มอีกครั้งด้วยข้อมูลประจำตัวของผู้ใช้ทดสอบของฉัน (เพิ่มในกลุ่มที่กำหนดเอง) - ไม่ทำงาน (มีข้อผิดพลาดการปฏิเสธการเข้าถึง) ต่อไปฉันลองทำแบบเดียวกัน แต่กำหนด GPO ให้กับทั้งโดเมน - เกิดข้อผิดพลาดเดิมอีกครั้ง

ฉันได้ค้นหาเพิ่มเติมและพบบันทึกนี้จาก Microsoft ป้อนคำอธิบายรูปภาพที่นี่ https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers

และมันก็สมเหตุสมผลแล้ว เนื่องจากก่อนหน้านี้คอมพิวเตอร์ที่ใช้ทดสอบของฉันอยู่ในโดเมน ดังนั้นฉันจึงต้องรีเซ็ตรหัสผ่าน แต่ฉันไม่พบการตั้งค่านี้ภายใน GPO

เป็นไปได้ไหมที่จะบรรลุสิ่งนี้โดยไม่ใช้การมอบหมาย? ฉันขาดบางอย่างใน GPO หรือไม่

270
2 + 0
Score:0
avatar Server
ธง de
Zoran Jankov

ตกลง คุณได้สร้างนโยบาย GPO สำหรับสิ่งนั้น แต่คุณไม่ได้นำไปใช้อย่างถูกต้อง นโยบายต้องลิงก์กับ OU ด้วยตัวควบคุมโดเมน วิธีที่ดีที่สุดคือลิงก์กับโดเมน คุณเพียงแค่กำหนดนโยบาย GPO นั้นให้กับกลุ่มความปลอดภัยเฉพาะ จากนั้นมันก็จะทำงาน

0 + 4
AnJ avatar
cn flag
AnJ
โอ้ฉันจะลองเร็ว ๆ นี้ แต่การอนุญาตให้รีเซ็ตรหัสผ่านล่ะ ฉันยังต้องการอยู่หรือไม่ และจะสมัครผ่าน GPO ได้อย่างไร
0
ตอบกลับ
de flag
Zoran Jankov
คุณไม่จำเป็นต้องมีสิทธิ์ในการรีเซ็ตรหัสผ่านเพื่อเพิ่มคอมพิวเตอร์ AD แต่คุณสามารถสร้างกลุ่มความปลอดภัยแยกต่างหากสำหรับการจัดการรหัสผ่านของผู้ใช้ สำหรับแผนกช่วยเหลือด้าน IT หรืออื่นๆ ที่ทำใน AD Users and Computers หรือ AD Administrative Center โดยกำหนดสิทธิ์ใน OU-s สำหรับกลุ่ม
0
ตอบกลับ
AnJ avatar
cn flag
AnJ
แล้วโน้ตจาก Microsoft ที่แสดงในโพสต์แรกล่ะ พวกเขากำลังบอกว่าหากก่อนหน้านี้มีคอมพิวเตอร์อยู่ในโดเมน ฉันต้องขออนุญาตตั้งรหัสผ่านใหม่ ครั้งหนึ่งฉันเคยกำหนด GPO ให้กับทั้งโดเมน (รวมถึงตัวควบคุมโดเมนด้วย) และมันก็ไม่ทำงาน
0
ตอบกลับ
de flag
Zoran Jankov
@AnJ คุณต้องตรวจสอบให้แน่ใจว่านโยบาย GPO นี้มีความสำคัญเหนือนโยบาย GPO ที่ห้ามผู้ใช้เพิ่มคอมพิวเตอร์ใน AD เนื่องจากคุณมีอยู่แล้ว
0
ตอบกลับ
Score:0
avatar Server
ธง cn
Greg Askew

ความสามารถนี้มักจะต้องการสิทธิ์โฆษณามากกว่านั้น สิ่งที่คุณควรทำคือสร้างกลุ่ม และกำหนดสิทธิ์ในการสร้าง/ลบวัตถุคอมพิวเตอร์ให้กับกลุ่มนั้นสำหรับ OU และสิทธิ์ที่เหมาะสม/ที่ต้องการที่ OU สำหรับวัตถุคอมพิวเตอร์ระดับล่าง (ลบ/แก้ไข/กำหนดเอง) คุณสามารถทำเช่นเดียวกันกับคอนเทนเนอร์ Computers แต่จะเป็นการจัดระเบียบมากขึ้นเพื่อไม่ให้ใช้สิ่งนั้น และสร้าง Computers ใน OU เป้าหมายที่ถูกต้องเพื่อเริ่มต้น

0 + 0
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา