對於我們這個行業,經常會遇到AD管理的很多問題,其中部分是企業裏IT管理常見的需求,部分是鮮見的奇怪需求。今天我來講一個我們企業目前遇到的一個問題: 在AD裏授權給Helpdesk人員將客戶端計算機加入域的權限。因爲我們通常不希望給這些人員的賬戶太多的權限,要遵循最小權限的原則。
首先微軟推薦我們完成這個任務的兩種途徑:
一、 通過組策略完成:
1. 打開【域默認組策略】,選擇【計算機配置】-【策略】-【Windows設置】-【安全設置】-【本地策略】-【用戶權限分配】,在右側策略列表中選擇【將工作站添加到域】,雙擊打開;
2. 將需要授權的用戶添加到策略中來,如圖,點確定即可完成。策略的生效可能需要時間,當然也可以強制刷新組策略。
二、 通過委派任務來實現,具體如下:
1. 在域控上打開Active Directory 用戶和計算機,右擊域名(注意“將計算機加入域”只能在域上委派,不能在OU上),選擇【委派控制】;
2. 下一步,點擊添加,選擇被授權的用戶或組,下一步;
3. 選擇委派的任務,在這裏你可以使用常見的委派任務,也可以自定義任務;而我們選擇【將計算機加入域】,下一步,確定整個信息後點完成。這樣就完成了委派的任務。此時你委派的用戶就有將計算機加域的權限了。
以上兩種方法是微軟推薦的,可以在網上找到更加詳細的教程。
但是本文的目的不僅僅是與大家分享如何授權加域,我要分析的是一個特殊場景:
正常來講,Helpdesk人員經常會幫客戶的計算機重裝系統,而重裝系統後需要將計算機名改爲原來的計算機名再將其加入域中,這樣不會在系統更改不必要的信息,方便計算機管理。因爲我們之前已經對helpdesk人員進行加域的授權操作,按理說他們應該是可以對計算機進行加域操作。
但事與願違,Helpdesk人員反映他們用自己的管理帳戶加域時,出現錯誤,提示如下:
用其他有加域權限的helpdesk賬號也嘗試加域,依然出錯。但如果用域管理員的賬號則沒有問題。
這個時候helpdesk人員向我們抱怨授權不成功。 我們也很鬱悶,因爲我們是按照微軟的說明來操作的。
於是,排錯的工作就此展開。
首先,我們確定其他場景下加域是否可以,經過與helpdesk人員的溝通,我們縮小 的問題的範圍:如果他們用一個新的計算機名加域時,則可以順利加域,而如果是一箇舊的計算機名加域,則會出現這個問題。奇怪的是我們的其中一個同事A做了一個測試,將一臺新的計算機名加域,然後再退域,用另一個helpdesk的賬戶加域失敗,錯誤同上。而再用這個同事A的加域就可以。
其次,我們查找相關資料並仔細在AD控制檯中查閱相關對象的權限設置,我發現一些規律:
前提操作:利用委派將kaka與Totti兩個賬戶賦與加域的權限
1. 委派加域權限實質上就是賦與用戶創建計算機對象的權限。它在Computers安全權限爲【 創建計算機對象】。
2. 如果我將計算機Test19加域,用的是Totti的賬戶,我們會發現在computers中計算機對象test19的安全權限中有“讀取、更改密碼。。。”,而kaka在這個對象上的安全權限沒有“讀取、更改密碼。。。”,只有特殊權限。
3. 然後我嘗試將test19退域,再加域,此時加域時我選擇用kaka的賬號去加域,結果
![clip_p_w_picpath014[1]](https://s1.51cto.com/attachment/201112/8/2083604_132334971796aY.gif "clip_p_w_picpath014[1]")
至此,我想問題的原因已經找到:
默認委派加域權限給某個用戶,此用戶則擁有創建計算機對象的權限。而對已經存在的計算機對象它並沒有讀取與寫入的權限,所以當我們嘗試用這個用戶將某個DC中已經存在的計算機對象的名稱去加域時,會報錯:access is denied。而默認當時將這個計算機對象初次加域的用戶對這個計算機對象是有讀取等權限的。因此,如果我們用當時將這臺計算機加入域的用戶再進行加域操作時,則不會報錯。
最後,解決的辦法:
一、將computers容器的安全權限中添加helpdesk,並給予讀取的權限或更多。
二、將計算機對象刪除,再讓helpdesk去加域。(不推薦,因爲多一步,太麻煩)
三、將helpdesk人員加入到系統內置組Account Operators(附:這個組擁有用戶、組、計算機對象的完全控制權限)。