本文介绍了在AD管理中如何授权Helpdesk人员将客户端计算机加入域的权限,包括通过组策略和委派控制两种方法。同时,文章详细分析了一个特殊场景下,即使授权后Helpdesk人员在尝试将旧计算机名加域时遇到的错误,并提供了问题的原因及三种解决方案。
对于我们这个行业,经常会遇到AD管理的很多问题,其中部分是企业里IT管理常见的需求,部分是鲜见的奇怪需求。今天我来讲一个我们企业目前遇到的一个问题: 在AD里授权给Helpdesk人员将客户端计算机加入域的权限。因为我们通常不希望给这些人员的账户太多的权限,要遵循最小权限的原则。
首先微软推荐我们完成这个任务的两种途径:
一、通过组策略完成:
1. 打开【域默认组策略】,选择【计算机配置】-【策略】-【Windows设置】-【安全设置】-【本地策略】-【用户权限分配】,在右侧策略列表中选择【将工作站添加到域】,双击打开;
2. 将需要授权的用户添加到策略中来,如图,点确定即可完成。策略的生效可能需要时间,当然也可以强制刷新组策略。
二、通过委派任务来实现,具体如下:
1. 在域控上打开Active Directory 用户和计算机,右击域名(注意“将计算机加入域”只能在域上委派,不能在OU上),选择【委派控制】;
最低0.47元/天 解锁文章
扫一扫
2908
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
