Следуя принципу Административная модель с наименьшими привилегиями Мне нужно создать пользовательскую группу, которая давала бы своим членам разрешение добавлять компьютеры в домен, но ничего другого, что могло бы представлять угрозу безопасности.
Итак, я создал свою пользовательскую группу в AD (назовем ее «Диспетчер домена») и назначил в эту группу пользователя тестового домена.
Затем я перешел к диспетчеру групповой политики и создал объект групповой политики. Внутри моего объекта групповой политики я пошел в Конфигурация компьютера > Параметры Windows > Параметры безопасности > Локальные политики > Назначение прав пользователя. и добавил свою пользовательскую группу в Добавить рабочие станции в домен политика.
Точно следуя методу 1 из этой статьи:
https://www.prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/
Затем я связал GPO с OU с одним компьютером просто для тестирования (и запустил gpupdate/сила на всякий случай). Я удалил этот компьютер из домена и попытался добавить его снова с учетными данными моего тестового пользователя (добавлен в пользовательскую группу) - это не сработало (получила ошибку «Отказано в доступе»). Затем я попытался сделать то же самое, но назначить GPO всему домену - снова та же ошибка.
Я поискал еще и нашел эту заметку от Microsoft
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
И это имеет смысл, поскольку мой тестовый компьютер ранее был в домене, поэтому мне нужно было бы сбросить пароль. Но я не могу найти эти настройки внутри объекта групповой политики.
Можно ли добиться этого без использования делегирования? Я что-то упустил внутри GPO?
