Urmând principiul Model administrativ cu privilegii minime Trebuie să creez un grup personalizat care să le ofere membrilor săi permisiunea de a adăuga computere la un domeniu, dar nimic altceva care ar putea prezenta un risc de securitate.
Așa că mi-am creat grupul personalizat în AD (să-l numim „Domain Manager”) și i-am atribuit unui utilizator de domeniu de testare acestui grup.
Apoi am trecut la Group Policy Manager și am creat GPO. În GPO-ul meu am fost Configurare computer > Setări Windows > Setări de securitate > Politici locale > Atribuire drepturi utilizator. și am adăugat grupul meu personalizat la Adăugați stații de lucru la Domeniu politică.
Urmează exact metoda 1 din acest articol:
https://www.prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/
Apoi am conectat GPO la o unitate organizatorică cu un singur computer doar pentru testare (și am rulat gpupdate /force pentru bună măsură). Am eliminat acest computer din domeniu și am încercat să-l adaug din nou cu acreditările utilizatorului meu de testare (adăugat la grupul personalizat) - nu a funcționat (a primit o eroare Acces refuzat). Apoi am încercat să fac același lucru, dar să atribui GPO întregului domeniu - din nou aceeași eroare.
Am mai căutat și am găsit această notă de la Microsoft
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
Și are sens, deoarece computerul meu de testare a fost anterior în domeniu, așa că ar trebui să resetez parola. Dar nu reușesc să găsesc aceste setări în GPO.
Este posibil să se realizeze acest lucru fără a utiliza delegarea? Îmi lipsește ceva din GPO?
