Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Windows Server 2008/2008 R2 (http://forum.oszone.net/forumdisplay.php?f=97)
-   -   [решено] Подключение рабочих станций к домену не являясь администратором домена (http://forum.oszone.net/showthread.php?t=191542)

Kiber 18-11-2010 11:00 1545524
Подключение рабочих станций к домену не являясь администратором домена
 
Всем привет.
Не буду рассказывать всю историю, постараюсь изложить кратко.
Нужен пользователь без роли "Администратор домена", который сможет подключать неограниченное количество рабочих станций к домену.

Ввод в домен осуществляется скриптом, который писался вручную.
Есть пустой пользователь, которому дан доступ к OU "New Computers".

Проблема №1:
В скрипте выставлена опция "Creates an account on a domain".
При тестах компьютеров, отключенные учетки которых уже есть в этом OU - выдается ошибка 2224 "The account already exists".
При этом, если тот-же самый тест проводить под ролью "Администратор домена" - ошибок нет, тест проходит нормально.
Вопрос №1:
Каких прав не хватает пользователю?

Проблема №2:
Насколько я слышал, существует ограничение на количество рабочих станций, которые может добавить один пользователь - 10шт.
Вопрос №2:
Как отключить или избежать этого ограничения?

Позже, возможно, допишу еще.

Kiber 18-11-2010 15:44 1545723
Вопрос №2 снят.
При помощи http://support.microsoft.com/kb/243327 и настроек, уже сделанных ранее - нашел параметр "MS-DS-Machine-Account-Quota".
Установил на 0. В данном случае 0 означает, что пользователь не сможет подключить ни одной рабочей станции к домену (источник http://blogs.techrepublic.com.com/itdojo/?p=1041). Провёл два различных теста - смог. Значит полных прав на OU достаточно.

Остается вопрос №1.

Ivan Bardeen 18-11-2010 20:23 1545868
Цитата:
Цитата Kiber
Нужен пользователь без роли "Администратор домена", который сможет подключать неограниченное количество рабочих станций к домену. »
Включите этого пользователя в группу "account operators".

Kiber 18-11-2010 21:23 1545907
Цитата:
Members of this group can log on locally to domain controllers in the domain and shut them down. Because this group has significant power in the domain, add users with caution.
Хотя скрипт и скопмилирован в exe'шник, он остается доступен для чтения. Поэтому продвинутый пользователь может декомпилировать его и вытащить информацию о логине и пароле, использовавшемся для присоединения к домену.
Поэтому задача стоит создать пользователя, который при минимальных повышениях прав доступа сможет присоединять учетки к домену.
Завтра проведу тест под оператором.

Ivan Bardeen 18-11-2010 22:17 1545946
Цитата:
Цитата Kiber
Поэтому задача стоит создать пользователя, который при минимальных повышениях прав доступа сможет присоединять учетки к домену.
»
не нужно тестировать, если речь идет только лишь о добавлении компьютеров в домен - то добавьте группе пользователей право на create\delete computer object и full control на computer object в контейнер CN=computers,dc=domain,dc=com и такое же право на нужные OU, где у вас располагаются компьютеры

Kiber 19-11-2010 08:39 1546163
Протестил.
Был неправ.
Даже при наличии у пользователя группы "Операторы учета" или "Администраторы домена" при попытке добавить в OU "New Computers" возвращается ошибка 2224.
Пытался даже CN явно указать. Всёравно ошибка.
При наличии "Операторы учета" или "Администраторы домена" и попытке добавить в стандартный OU ошибки не выдается.
Ладно, пожалуй, тему я отмечу решенной, так как ошибка по сути не имеет отношения к группе "Администраторы домена".
Похоже тут дело в OU "New Computers".


Время: 01:26.

Время: 01:26.
© OSzone.net 2001-