Builtin这些是所谓的容器,用来存放各种对象。Exchange 中的Organization在AD中就是一个容器。
OU主要和组策略搭配使用,是策略能影响的范围,类似SCCM中的collection。
Group嵌套用户,实现AD权限分发。
创建两个OU,实现生产和测试环境的隔离。
按machine和account细分。
一个想法是基于role创建group,基于单个功能创建group,把功能性group嵌套到基于role的group。
IT_operator是基于role的group,domain_join和client_admin是基于功能性的group。
IT_operator嵌套了功能性的几个group。
在大型架构中,某个职位来了新人,可以直接加到基于role的group,不必一个个加权限而且方便管理。
用AD自带的delegation给domain_join添加加客户端入域的权限
这儿有一个问题是默认加入域的电脑存放在computers容器里面,这里需要存放在指定的位置
需要用到重定向功能
redircmp后面跟的是LDAP名称,最后两项就是把域名拆开,dc=什么,然后ou从小到大反推,不是ou的最前面用cn
另外还区别大小写
看到报错是level有问题
在dsa.msc中提升至2008
重定向默认加入域的电脑存放的container成功
其实普通的用户也是可以加电脑入域的,只是数量有限,可以使用管理工具中的adsi edit修改架构来限制
第一次打开会提示先connect一个实例
在域上右键选择属性,将ms-DS-MachineAccountQuota修改为0普通用户就没有权限加电脑入域了。当然不会影响管理员加域的操作。
把client_admin直接加入domain admin权限过大,用restricted group实现
管理工具中打开group policy management工具
在Machine右键新建并link,新建的policy并不马上发现作用直到link到OU上。
依次展开到restricted groups,新建,将client_admin添加到administrators
若用到members,则策略会强制组内成员即有这些指定的,另外添加的会被组策略删除掉。
有一个另外是administrator永远属于administrators组,不受此影响。
创建好策略后直接关掉相应界面就可以,客户端会定时刷时。测试环境下gpupdate /force加速刷新。