Делегирование добавления в домен polygon.local через групповые политики Active Directory.

Posted by

У нас есть контейнер IT, к примеру нам необходимо поместить в него компьютеры Администраторов сети, сделать это можно, как:

 

      1. Все заводимые компьютеры в домене по умолчанию помещаются в отстойник Computers, а далее руками перенести.
      2. Воспользоваться заведением в указанный контейнер средствами командной строки.

 

Создадим групповую политику на контейнер IT:

Запускаем “Start” – “Control Panel” – “Administrative Tools” – “Group Policy Management” и после на контейнер IT создадим групповую политику:

Создаём групповую политику на контейнер IT.

 

 

 

 

 

 

 

Назовём ее:

Назовём её GPO_AddDomain.

 

 

 

 

 

Политику нужно привязать к контейнеру и применить на группу :

Привязываем политику к контейнеру IT и применяем на всех авторизованных пользователей.

 

Теперь открываем созданную политику «_AddDomain” и прописываем права для группы AddDomain которая будет ответственная за заведение в домен в указанных контейнер:

Открываем созданную политику на редактирование.

 

 

 

 

 

 

 

 

Переходим “Computer Configuration” – “Policies” — “Windows Settings” – “Security Settings” – “Local Policies” – “User Rights Assignment” – “Add workstations to domain” и изменяем на

 AddDomain (см. скрин ниже):

Предоставляем группу AddDomain право добавлять компьютеры в домен.

 

 

 

 

Предоставляем права на контейнер IT:

Открываем остастку Active Directory Users and Computer:

Start” – “Control Panel” – “Administrative Tools” – запускаем «Active Directory Users and Computer”, далее включаем расширенное видение, меню ViewAdvanced Features. После открывает меню Properties (Свойства) контейнера IT:

Настроим конкретные права на создание объектов на контейнер IT.

 

 

 

 

 

, далее вкладка Security Advanced

См. скриншот какой именно доступ нужен.

 

 

 

 

 

 

 

, для Authenticated Users отмечаем галочками разрешения на:

 

Create Computer objects

Delete Computer objects

и применять на “This object and all descendant objects”. (см. скриншот выше для наглядного понимания).

Теперь для ввода компьютеров в контейнер IT в зависимости от операционной системы используем следующие скрипты:

 

Для Windows XP:

Оформляем bat-файл следующего содержания:

@set /p a=login:

@ join /d: %COMPUTERNAME% /OU:OU=IT,DC=polygon,DC=local /ud:\%a% /pd:*

Pause

Пример:

Предположим netdom.exe уже есть в системе:

Учетная запись useradd с паролем Aa1234567 нужно ввести рабочую станцию в контейнер IT.

login:useradd

Type the password associated with the domain user:

The command completed successfully.

C:\>Pause

Для продолжения нажмите любую клавишу . . .

Для справки: утилита netdom не входит в официальную поставку Windows XP.

 

Для Windows Windows 7 используем :

Запускаем консоль PowerShell с правами администратора и вводим следующую строку.

add-computer -domainname polygon.local -credential polygon.local\<login name> -oupath «ou=IT,dc=polygon,dc=local»

где, login — имя сотрудника который делегирован правами на заведение рабочих станций в домен Active Directory.

Пример добавления рабочей станции на Windows 7 в домен через PowerShell.

PS C:\Users\keiz> add-computer -domainname polygon.local -credential polygon.local\useradd -oupath «ou=IT,dc=polygon,dc=local»

ПРЕДУПРЕЖДЕНИЕ: Изменения вступят в силу после перезагрузки компьютера W7X64.

 

Успешное введение рабочей станции с операционной системой Windows 7 в домен.

 

Вот собственно и всё, надеюсь данные разъяснения помогут системным администраторам на пути разграничения прав по работе с доменом. Удачи!!!

Leave a Reply

Ваш e-mail не будет опубликован. Обязательные поля помечены *

16 − один =