[lD1PS1l]

Доменной учётной записи, входящая в группу администраторов в домене

[cameron]

Цитата KatAst:

2. Доменной учётной записи, входящая в группу локальных администраторов на машине? »

10 шт УЗ ПК.

Цитата KatAst:

3. Доменной учётной записи, входящая в группу локальных администраторов на машине и с делегированными правами для выполнения этой операции? »

сколько угодно штук УЗ ПК.

Цитата lD1PS1l:

Доменной учётной записи, входящая в группу администраторов в домене »

ответ не правильный.

[WindowsNT]

Ни один ответ не является правильным.
Пока машина не в домене, доменные УЗ на ней не распознаются и никуда не входят.

Корректно:
Залогониться в рабочую станцию локальным администратором, при вводе в домен указать реквизиты доменной УЗ с делегированными полномочиями.

[KatAst]

cameron, WindowsNT, 3-ий вариант. А если у данной учётной записи не будет доступа к подразделению в AD, где находится часть учётных записей компьютеров. Возможность ввода в домен данной группы машин у неё будет?

[cameron]

Цитата KatAst:

Возможность ввода в домен данной группы машин у неё будет? »

не знаю, никогда не создавала УЗ ПК до ввода в домен.
скорее всего нет, это просто проверить

[WindowsNT]

Как это реализовано у меня:

- Для техподдержки созданы по две учётные записи на человека, обычная и привилегированная со смарт-картой
- Существует группа AD Computer Account Managers %CompanyName%, в неё входят привилегированные УЗ
- Существует контейнер Company\Computers\ с департаментами. Там все компьютеры.
- Указанной группе делегированы полномочия на создание и управление УЗ компьютеров в указанном контейнере

Когда сотрудник техподдержки намерен ввести рабочую станцию в домен:
- он на своём компьютере заходит привилегированной УЗ, запускает ADUC
- в нужном контейнере предсоздаёт УЗ компьютёра и указывает право на введение в домен своей обычной УЗ
- идёт на новую рабочую станцию, логонится локальным админом, вводит в домен, указывает свою стандартную УЗ

[cameron]

Слава Протоколу!
p.s. простите, не удержалась

[KatAst]

WindowsNT, если учётная запись компьютера уже создана, то, в Вашем примере, группе AD Computer Account Managers %CompanyName% необязательно иметь права на создание и управление учётными записями компьютеров в контейнере Company\Computers\ ? Так? Тогда какие права должны быть у стандартной учётной записи (неограниченное количество машин)? На чтение контейнера без возможности внесения изменений?

[WindowsNT]

Цитата KatAst:

Тогда какие права должны быть у стандартной учётной записи »

Права, чтобы что делать?

Для создания и управления УЗ компьютеров следует делегировать разрешения.
Для просмотра ничего делегировать не надо.