2008 R2 - [решено] Подключение рабочих станций к домену не являясь администратором домена

Kiber · Отправлено: **15:44, 18-11-2010** | #2

Вопрос №2 снят.
При помощи http://support.microsoft.com/kb/243327 и настроек, уже сделанных ранее - нашел параметр "MS-DS-Machine-Account-Quota".
Установил на 0. В данном случае 0 означает, что пользователь не сможет подключить ни одной рабочей станции к домену (источник http://blogs.techrepublic.com.com/itdojo/?p=1041). Провёл два различных теста - смог. Значит полных прав на OU достаточно.

Остается вопрос №1.

Ivan Bardeen · Отправлено: **20:23, 18-11-2010** | #3

Цитата Kiber:

Нужен пользователь без роли "Администратор домена", который сможет подключать неограниченное количество рабочих станций к домену. »

Включите этого пользователя в группу "account operators".

Kiber · Отправлено: **21:23, 18-11-2010** | #4

Цитата:

Members of this group can log on locally to domain controllers in the domain and shut them down. Because this group has significant power in the domain, add users with caution.

Хотя скрипт и скопмилирован в exe'шник, он остается доступен для чтения. Поэтому продвинутый пользователь может декомпилировать его и вытащить информацию о логине и пароле, использовавшемся для присоединения к домену.
Поэтому задача стоит создать пользователя, который при минимальных повышениях прав доступа сможет присоединять учетки к домену.
Завтра проведу тест под оператором.

Ivan Bardeen · Отправлено: **22:17, 18-11-2010** | #5

Цитата Kiber:

Поэтому задача стоит создать пользователя, который при минимальных повышениях прав доступа сможет присоединять учетки к домену.
»

не нужно тестировать, если речь идет только лишь о добавлении компьютеров в домен - то добавьте группе пользователей право на create\delete computer object и full control на computer object в контейнер CN=computers,dc=domain,dc=com и такое же право на нужные OU, где у вас располагаются компьютеры

Kiber · Отправлено: **08:39, 19-11-2010** | #6

Протестил.
Был неправ.
Даже при наличии у пользователя группы "Операторы учета" или "Администраторы домена" при попытке добавить в OU "New Computers" возвращается ошибка 2224.
Пытался даже CN явно указать. Всёравно ошибка.
При наличии "Операторы учета" или "Администраторы домена" и попытке добавить в стандартный OU ошибки не выдается.
Ладно, пожалуй, тему я отмечу решенной, так как ошибка по сути не имеет отношения к группе "Администраторы домена".
Похоже тут дело в OU "New Computers".