Verwenden Sie die delegierte Steuerung, um Konten in Active Directory zu löschen

Bei der Verwaltung von Active Directory gibt es grundsätzlich zwei Arten von Personen, wenn es darum geht, die delegierten Steuerungsfunktionen zu nutzen: Personen, die es häufig verwenden, und Personen, die es überhaupt nicht verwenden. In meinem vorherigen Windows Server-Tipp habe ich erklärt, dass es eine gute Idee ist, Active Directory-Konten mit dsquery in Haltemuster zu setzen. Wenn die Zeit gekommen ist und Sie mit dem Löschen von Konten in Active Directory beginnen müssen, ist die delegierte Steuerung eine hervorragende Möglichkeit, dies zu erreichen. Durch die Delegierung in Active Directory können eine oder mehrere Aufgaben oder Aktionen mit von Administratoren festgelegten Regeln zugelassen werden.

Ein gutes Beispiel für die Verwendung der Delegierung ist, dass das PC-Supportteam Computerkonten in Active Directory löschen kann, um die täglichen Aufgaben der Verwaltung von Client-Computergeräten zu erledigen. Diese Logik kann auf praktisch alles in Active Directory angewendet werden und ist relativ einfach einzurichten.

Lassen Sie uns ein paar Dinge einrichten, um dies zu vereinfachen. Erstens sollte das PC-Support-Team eine globale Sicherheitsgruppe sein, die alle Personen enthält, die diese Aufgabe erhalten würden. Es gibt zwei Möglichkeiten, um diese Aufgabe zu erfüllen. Der einfachste Ansatz besteht darin, eine Gruppe - wir nennen sie Admin-PCSupport - zu haben, die alle PC-Support-Mitarbeiter als Mitglieder hat. Ein detaillierterer Ansatz wäre, eine Gruppe zu haben - wir nennen sie Admin-DelegatedTask-DeleteComputerAccounts -, die alle Mitarbeiter des PC-Supports und möglicherweise alle anderen Personen enthält, die diese Art von Aufgabe ausführen müssen.

Sobald die Gruppe identifiziert ist, haben wir alles, was wir zum Einrichten der Delegation benötigen. Ich werde die Admin-PCSupport-Gruppe als Beispiel in dieser Labordomäne (RWVDEV.INTRA) verwenden. Für die Organisationseinheit Computer (OU), die der Standardcontainer für neue Computerkonten ist, klicken wir einfach mit der rechten Maustaste als Administrator auf diese OU und wählen Delegate Control ( Abbildung A ). Abbildung A.

Klicken Sie auf das Bild, um es zu vergrößern.
Der Assistent zum Delegieren von Steuerelementen fordert uns dann auf, zu ermitteln, welche Aufgaben delegiert werden, einschließlich der entsprechenden Berechtigungen. Dies kann möglicherweise dem PC-Supportteam ermöglichen, Konten zu erstellen, aber möglicherweise eine andere delegierte Steuerberechtigung erstellen und eine andere Sicherheitsgruppe explizit für die Aufgabe des Löschens von Computerkonten zuweisen. Auf diese Weise kann die Granularität grundsätzlich so angepasst werden, wie Sie möchten. Abbildung B zeigt diese Schritte des Assistenten zum Delegieren von Steuerelementen. Abbildung B.

Klicken Sie auf das Bild, um es zu vergrößern.

Wie verwenden Sie die delegierte Steuerung in Active Directory für Computer- und Benutzerkonten? Teilen Sie Ihre Tipps in der Diskussion.

© Copyright 2020 | mobilegn.com