因為有些單位位置不在MIS附近
需要讓該單位主管可以幫他們同仁加入退出domain
但是又不想給到domain admins的權限
請問要如何調整才能兩者兼顧
謝謝
系統的預設值, 可以允許Domain Users將電腦加入網域, 管理者可以將電腦退出網域, 如果想變更設定, 請利用網域群組原則來管理, 請參考下列:
您的需求是要授權讓單位主管可以自行管理"加入", 這個部份請參考
http://technet2.microsoft.com/WindowsServer/zh-CHT/Library/7207aa3e-d95d-4176-a1ca-bc629f1ca6981028.mspx
也就是將 Authenticated Users換成單位主管所屬的User Account or Group
ps.這個部份僅能在DC的網域控制站安全性原則上設定.
或者是在指定的"組織單位"上, 授權單位主管可以管理電腦物件, 如此也可以讓該單位主管自行管理"加入".
另外, 您的需求是要授權讓單位主管可以自行管理"退出", 這個部份請參考
http://technet2.microsoft.com/WindowsServer/zh-CHT/Library/2715d832-fe71-47f7-86fd-412f013a40cd1028.mspx
也就是將單位主管所屬的User Account or Group, 一致性地加入到欲管理的每一部成員電腦上的Local Administrators. 如此就不需要將單位主管Accounts隸屬於Domain Admins了.
如果您變更了Add workstation to domain的設定, 有幾項是必須要注意的:
- 沒有規定換下Authenticated Users後, 只能加入一個User or Group到這個安全性原則, 它可以做多授權的設定, 所有加入授權清單內的帳戶, 都是可以"加入".
- 必須在DC上的"網域控制站安全性原則"變更.
- 變更完成後, 還要再執行 gpupdate.
- 若有其它的Replica DCs, 則還要確定已複寫到其它DCs .
"受限群組"主要的目的是要將這個"授權", 一致性地套用到特定的成員電腦, 也就是說這個"授權"會覆蓋成員電腦上的群組. 要"退出"是需要Administrators特權, 如果單位主管在成員電腦上不具有這樣的特權, 那麼就只有Domain Admins成員來執行了.
因為預設值, Domain Admins是加入到每一部網域成員電腦的Local Administrators群組, 若不希望單位主管因此變成Domain Admins, 那麼就將單位主管加入Local Administrators就好了.
所以使用"受限群組", 就不需要在每一部成員電腦上, 將單位主管一一的加入Local Administrators, 如此可以組態的節省時間. 設定上就跟您把通用群組加入區域群組一樣, 在前面的連結文章中有做法, 您可以參考試試看.
如果要在組織單位物件上透過安全性加入某User的權限, 這種方法只適用Pre-staged computer accounts, 也就是說管理者先建立computer account然後由單位主管再"加入", 這種做法對單位主管缺乏完全自主性.
以上供您參考
補充一下
如果要透過組織單位物件上透過安全性加入某User or Group的權限, 還可以透過Netdom Join指令, 請參考
http://technet2.microsoft.com/windowsserver/en/library/539c5381-db4f-445f-aac0-2df5448181c11033.mspx
Example 7 or Example 8.
這樣單位主管就不會缺乏自主性了, 前提是必須要授權.
以上供您參考
http://social.technet.microsoft.com/Forums/zh-TW/winserverzhcht/thread/a2e05337-f7de-4444-bf46-56054f466654
文章定位:
