ตามหลักการของ รูปแบบการบริหารที่มีสิทธิพิเศษน้อยที่สุด ฉันกำลังสร้างกลุ่มแบบกำหนดเองสำหรับจัดการโดเมน ซึ่งจะมีสิทธิ์น้อยกว่าผู้ดูแลโดเมน สำหรับผู้เริ่มต้น ควรมีสิทธิ์ในการเพิ่มคอมพิวเตอร์ในโดเมน
ฉันกำลังทดสอบหลายวิธีในการบรรลุเป้าหมายนี้ และฉันพบบทความนี้จาก Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
มันระบุ:
ค้นหาและคลิกขวาที่ OU ที่คุณต้องการแก้ไข จากนั้นเลือก Delegate Control
แต่ฉันไม่แน่ใจว่าควรเลือก OU อะไร และไม่พบคำอธิบายใดๆ ในบทความ (หรือฉันตาบอด?)
มันควรจะเป็น OU ใด คอมพิวเตอร์ในตัว? OU ที่ฉันต้องการให้คอมพิวเตอร์อยู่ในที่สุด (เช่น "เซิร์ฟเวอร์" หรือ "เวิร์กสเตชัน" OU ที่กำหนดเอง) อื่น ๆ อีก?
ขณะนี้ฉันได้รับมอบสิทธิ์การควบคุมทั่วทั้งโดเมน (ฉันมีโดเมนเดียวในสภาพแวดล้อมของฉัน) และใช้งานได้ แต่ฉันไม่แน่ใจว่าปลอดภัยหรือเป็นแนวปฏิบัติที่ดีหรือไม่
สภาพแวดล้อม AD ของคุณควรได้รับการจัดระเบียบในลักษณะที่เหมาะสมกับความต้องการของคุณ/บริษัทของคุณมากที่สุด
วิธีการทั่วไปคือการสร้าง OU สำหรับแต่ละแผนกและมี OU ย่อยสำหรับคอมพิวเตอร์และผู้ใช้
จากนั้น ตัวอย่างเช่น ถ้าคุณต้องการมอบสิทธิ์การควบคุมให้กับใครบางคนสำหรับแผนกเดียวเท่านั้น คุณจะเลือก OU ที่เป็นตัวแทนของแผนกนั้นและมอบหมายการควบคุมที่นั่น
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
