我最近不得不为自己设置这个.我们有一些自定义代码,可以在PXE启动并作为服务帐户运行时为新计算机执行计算机预安排.
>检查AD中的计算机帐户
Domain Users组中的任何用户都应该能够在没有任何其他权限的情况下开箱即用,除非您已经更改了场所中的默认权限或添加了拒绝ACL.
>将计算机加入域(不限于10,与普通用户一样)
>从AD中删除计算机
>在OU之间移动计算机
对于这些,您首先必须决定您希望获得此访问权限.只是在域的根目录授予权限很容易,但不是非常明智.通常,您有一个OU或一组OU,其中有计算机帐户.因此,您应该特别将以下权限应用于这些容器.将计算机加入域的权限只需要能够创建计算机帐户并设置其属性.在OU之间移动计算机需要能够从一个地方删除帐户并在另一个地方创建帐户.总而言之,这是您需要在每个OU上授予的权限:
>这个对象和所有后代
>创建计算机对象
>删除计算机对象
>后裔计算机对象
>阅读所有房产
>写下所有属性
>更改密码
>重置密码
>验证写入DNS主机名
>验证写入服务主体
我还有一些建议.不要直接将这些权限授予服务帐户.创建一个类似计算机管理员的组,并使该服务帐户成为该组的成员.然后,将权限授予该组.这样,如果您有其他人或服务帐户需要相同的权限,您只需要修改该组的成员身份.