Bruk delegert kontroll for å slette kontoer i Active Directory

I løpet av administrasjonen av Active Directory er det i utgangspunktet to typer mennesker når det gjelder å utnytte de delegerte kontrollfunksjonene: Folk som bruker det mye, og folk som ikke bruker det i det hele tatt. I det forrige tipset mitt om Windows Server, forklarte jeg at det er en god ide å legge Active Directory-kontoer inn i beholdningsmønstre med dsquery. Når tiden er inne og du må begynne å slette kontoer i Active Directory, er delegert kontroll en fin måte å få det til. Delegering innen Active Directory tillater en eller flere oppgaver eller handlinger med regler satt av administratorer.

Et godt eksempel på bruk av delegering er å gi PC-supportteamet muligheten til å slette datakontoer i Active Directory for å følge de daglige oppgavene med å administrere klientdatamaskiner. Denne logikken kan brukes på praktisk talt alt i Active Directory, og det er relativt enkelt å sette opp.

La oss sette opp noen få ting for å gjøre dette enkelt. For det første skal PC-supportteamet være en global sikkerhetsgruppe som inneholder alle menneskene som vil få denne oppgaven. Det er to måter å utføre denne oppgaven på. Den enkleste tilnærmingen er å ha en gruppe - vi kaller det Admin-PCSupport - som har alt PC-supportpersonalet som medlemmer. En mer detaljert tilnærming vil være å ha en gruppe - vi kaller den Admin-DelegatedTask-DeleteComputerAccounts - som vil inneholde alt PC-supportpersonalet og muligens alle andre som kan trenge å utføre denne typen oppgaver.

Når gruppen er identifisert, har vi det vi trenger for å sette opp delegasjon. Jeg skal bruke Admin-PCSupport-gruppen som et eksempel i dette laboratoriedomenet (RWVDEV.INTRA). For datamaskinens organisasjonsenhet (OU), som er standardbeholderen for nye datakontoer, høyreklikker vi ganske enkelt som administrator på den OU og velger Delegate Control ( figur A ). Figur A

Klikk på bildet for å forstørre det.
Delegation Of Control Wizard vil deretter be oss om å identifisere hvilke oppgaver som vil bli delegert, inkludert passende tillatelser. Dette kan muligens gjøre det mulig for PC-supportteamet å opprette kontoer, men kanskje lage en annen delegert kontrolltillatelse og tilordne en annen sikkerhetsgruppe eksplisitt for oppgaven å slette datakontoer. Dette gjør at granulariteten blir så tilpasset du vil. Figur B viser disse trinnene i guiden Delegation Of Control. Figur B

Klikk på bildet for å forstørre det.

Hvordan bruker du delegert kontroll i Active Directory for datamaskin- og brukerkontoer? Del tipsene dine i diskusjonen.

© Copyright 2020 | mobilegn.com