如何設定AD帳戶加入網域的權限?





onestop888
2012-01-04, 08:56 AM
公司有使用AD,以往加入網域都是用administrtor帳號來加。
前陣子部門來了一個工讀生,因為不敢跟他講administrator的密碼(怕出事)
所以目前電腦要加入或退出網域都是由我幫他處理
想請問是否可以設定他的帳號能加入網域,但又不至於給了太大的權限呢?




rogershu
2012-01-04, 09:17 AM
加user就好了,不過很少看到公司用ad然後員工的權限全部是administrator的,ad的一個重點就是在於權限上面的分配及管理,如果每個員工都管理員,那用ad實在是自討苦吃~

mis339
2012-01-04, 09:48 AM
除非你有特別設定群組原則,不然預設每個「Domain Users」帳號可以加入網域10次!

bx2aa
2012-01-04, 05:37 PM
公司有使用AD,以往加入網域都是用administrtor帳號來加。
前陣子部門來了一個工讀生,因為不敢跟他講administrator的密碼(怕出事)
所以目前電腦要加入或退出網域都是由我幫他處理
想請問是否可以設定他的帳號能加入網域,但又不至於給了太大的權限呢?

兩種方法
一種上面有人說的, 改 policy join domain 加 Domain Users.

另一種用 Domian admin run
net computer /add 要加入網域的電腦名稱

這樣就能先用 Local Administrator 加入網域, 然後輸入 Domain Users 的帳號加入網域.

或是用一個網頁給用戶輸入電腦名稱, 點選後讓 Server 執行 net computer /add
這個 CGI 還能先紀錄到 LOG , 每天匯整到特定檔案, 你就每天看固定 LOG 就知到有沒有加入, 看到有的話, 再去看那台要放到哪個 OU 裏.

更好的方法是連是哪個部門的電腦 什麼雜七雜八的資料通通在網頁裏敲好.
CGI 自己全部一步到位改好.

onestop888
2012-01-12, 04:19 PM
謝謝各位的分享!