对于我们这个行业,经常会遇到AD管理的很多问题,其中部分是企业里IT管理常见的需求,部分是鲜见的奇怪需求。今天我来讲一个我们企业目前遇到的一个问题: 在AD里授权给Helpdesk人员将客户端计算机加入域的权限。因为我们通常不希望给这些人员的账户太多的权限,要遵循最小权限的原则。
首先微软推荐我们完成这个任务的两种途径:
一、通过组策略完成:
1. 打开【域默认组策略】,选择【计算机配置】-【策略】-【Windows设置】-【安全设置】-【本地策略】-【用户权限分配】,在右侧策略列表中选择【将工作站添加到域】,双击打开;
2. 将需要授权的用户添加到策略中来,如图,点确定即可完成。策略的生效可能需要时间,当然也可以强制刷新组策略。
二、通过委派任务来实现,具体如下:
1. 在域控上打开Active Directory 用户和计算机,右击域名(注意“将计算机加入域”只能在域上委派,不能在OU上),选择【委派控制】;