Brug delegeret kontrol til at slette konti i Active Directory

I løbet af administration af Active Directory er der dybest set to typer mennesker, når det gælder at udnytte de delegerede kontrolfunktioner: Mennesker, der bruger det meget, og folk, der overhovedet ikke bruger det. I mit tidligere Windows Server-tip forklarede jeg, at det er en god ide at sætte Active Directory-konti i holdemønstre med dsquery. Når tiden er inde, og du skal begynde at slette konti i Active Directory, er delegeret kontrol en fantastisk måde at få det til. Delegering inden for Active Directory tillader en eller flere opgaver eller handlinger med regler, der er indstillet af administratorer.

Et godt eksempel på at bruge delegering er at give pc-supportteamet muligheden for at slette computerkonti i Active Directory for at følge de daglige opgaver med at administrere klientcomputerenheder. Denne logik kan anvendes på stort set alt i Active Directory, og det er relativt let at konfigurere.

Lad os oprette et par ting for at gøre dette let. For det første skal pc-supportteamet være en global sikkerhedsgruppe, der indeholder alle de mennesker, der vil få denne opgave. Der er to måder at udføre denne opgave på. Den enkleste tilgang er at have en gruppe - vi kalder det Admin-PCSupport - der har alt pc-supportpersonalet som medlemmer. En mere granulær tilgang ville være at have en gruppe - vi kalder den Admin-DelegatedTask-DeleteComputerAccounts - der vil indeholde alt PC Support-personale og muligvis enhver anden, der muligvis har brug for at udføre denne type opgave.

Når gruppen er identificeret, har vi det, vi har brug for, for at oprette delegation. Jeg vil bruge gruppen Admin-PCSupport som et eksempel i dette lab-domæne (RWVDEV.INTRA). For computerenes organisationsenhed (OU), som er standardbeholderen til nye computerkonti, højreklikker vi simpelthen som administrator på den pågældende OU og vælger Delegate Control ( figur A ). Figur A

Klik på billedet for at forstørre det.
Guiden Delegation Of Control vil derefter bede os om at identificere, hvilke opgaver der vil blive delegeret, inklusive de relevante tilladelser. Dette kan muligvis give pc-supportteamet mulighed for at oprette konti, men måske oprette endnu en delegeret kontroltilladelse og tildele en anden sikkerhedsgruppe eksplicit til opgaven med at slette computerkonti. Dette tillader dybest set granulariteten at være så tilpasset, som du ønsker. Figur B viser disse trin i guiden Delegation Of Control. Figur B

Klik på billedet for at forstørre det.

Hvordan bruger du delegeret kontrol i Active Directory til computer- og brugerkonti? Del dine tip i diskussionen.

© Copyright 2020 | mobilegn.com