Pe ce unitate organizatorică ar trebui să delegăm permisiunile pentru adăugarea unui computer la un domeniu - clarificați documentele Microsoft

Urmând principiul Model administrativ cu privilegii minime Fac un grup personalizat pentru gestionarea domeniului, care ar fi mai puțin privilegiat decât Administratorul de domeniu. Pentru început, ar trebui să aibă permisiunea de a adăuga computer la un domeniu.

Testez multe moduri diferite de a realiza acest lucru și am dat peste acest articol de la Microsoft: https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers

Acesta afirmă:

Găsiți și faceți clic dreapta pe OU pe care doriți să o modificați, apoi selectați Delegare control.

Dar nu sunt sigur ce OU ar trebui să aleg de fapt și nu am găsit nicio explicație în articol (sau sunt orb?).

Deci care OU ar trebui să fie? Calculatoare încorporate? Unitatea organizatorică în care vreau să locuiască în cele din urmă computerul (cum ar fi „Servere” sau „Stații de lucru”) OU personalizate? Altceva?

În prezent, am delegat controlul asupra întregului domeniu (am un singur domeniu în mediul meu) și funcționează, dar nu sunt sigur că este fie sigur, fie o practică bună?

Mediul dvs. AD ar trebui să fie organizat într-un mod care să se potrivească cel mai bine nevoilor dvs./ale companiei dvs.

O abordare comună este crearea OU-urilor pentru departamentele individuale și a OU-urilor secundare pentru computere și utilizatori.

Apoi, de exemplu, dacă doriți să delegați controlul cuiva pentru un singur departament, ați alege OU care reprezintă acel departament și ați delega controlul acolo.