Блог did5.ru

Про АйТи и около айтишные темы

Разрешить пользователю добавлять компьютеры в домен Active Directory

2 комментария

В рамках оптимизации нагрузки на тех.поддержку на предприятии принято решение о делегирование некоторых обязанностей на доверенных пользователей (далее по тексту — уполномоченных). Одной из таких задач будет добавление и удаление компьютеров в домене Active Directory.

add pc in domen web thumb Разрешить пользователю добавлять компьютеры в домен Active DirectoryПо умолчанию, если особо не менять стандартные политики безопасности домена, то рядовой пользователь без проблем сможет добавить компьютер в домен корпоративной сети. Но есть небольшое ограничение, он сможет добавить только 10 компьютеров. Если эта квота будет превышена, пользователь получит сообщение об ошибке:

«Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.»

«Your computer could not be joined to the domain. You have exceeded the maximum number of computer accounts you are allowed to create in this domain. Contact your system administrator to have this limit reset or increased.»

Бывают случаи, что пользователю удается обойти это ограничение и количество компьютеров, которых он добавил в домен, уже перевалило за несколько десятков. Магии тут никакой нет, просто нужно понять принцип действия этого ограничения. Илья Сазонов в своем блоге очень внятно об этом рассказал:

Оказывается, в учетной записи компьютера есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя создавшего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер к домену, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то новая учетная запись компьютера создается, иначе появляется выше приведенная ошибка.

Стало ясно, что если пользователь добавляет компьютеры в домен, т.е. создает учетные записи компьютеров в Active Directory, а доменный администратор их после этого удаляет, то этот юзер может и не ощутить наличие этой квоты.

Для решения поставленной задачи такой способ не подходит, т.к. из-за большого количества рабочих станций очень скоро уполномоченные столкнуться с превышением лимита.

Microsoft рекомендует про 3 способа решения:

  1. Предварительно создавать учетную запись компьютера
  2. Предоставить пользователю разрешение на добавление компьютеров в домен
  3. Увеличение квоты

Из этих вариантов для решения моей задачи подходит только второй. Прикинув все за и против решил внедрять.

1. Создал отдельную группу для уполномоченных в AD – Add_PC_in_Domen.

2. В окне оснастки «Active Directory — пользователи и компьютеры», в меню Вид выберал команду Дополнительные функции так, чтобы при нажатии кнопки Свойства была видна вкладка Безопасность.

add pc in domen 1 thumb Разрешить пользователю добавлять компьютеры в домен Active Directory

3. Перешел в Свойства контейнера Компьютеры, вкладка Безопасность — Дополнительно. Добавил в список разрешения новую группу Add_PC_in_Domen, в списке разрешений для этой группы поставил две галки — Создание объектов компьютера и Удаление объектов компьютера.

add pc in domen 2 thumb Разрешить пользователю добавлять компьютеры в домен Active Directory

Осталось добавить доверенных пользователей в группу. Члены этой группу теперь смогут беспрепятственно добавлять компьютеры в домен.

Как запретить пользователям добавлять компьютеры в домен

Нужно группе Прошедшие проверку поставить явный запрет на Создание объектов компьютера, как показано на скриншоте

add pc in domen 3 thumb Разрешить пользователю добавлять компьютеры в домен Active Directory

Нашли опечатку в тексте? Пожалуйста, выделите ее и нажмите Ctrl+Enter! Спасибо!


Хотите поблагодарить автора за эту заметку? Вы можете это сделать!


Автор: did5

10 Июл 2012 в 14:13

Рубрика: Server,Windows

Метки: ,

2 комментария на «Разрешить пользователю добавлять компьютеры в домен Active Directory»

Вы можете подписаться на RSS-ленту комментариев или оставить трекбек для публикации «Разрешить пользователю добавлять компьютеры в домен Active Directory».

  1. Ну можно и проще добавить в домен.Без лишнего «гемороя»

    Михаил

    04 Июн 2015 в 12:31

  2. Последнее предложение:

    Нужно группе Прошедшие проверку поставить явный запрет на Создание объектов компьютера, как показано на скриншоте

    А на скриншоте галочка стоит на объекте Пользователь

    Сергей

    09 Сен 2016 в 14:41

Ваш отзыв