Как делегировать право добавлять компьютеры в домен

Active Directory

Делегирование полномочий на добавление компьютеров в домен

• Печать
• E-mail

1. Создать глобальную группу безопасности grp_AdminComps через оснастку «Active Directory – пользователи и компьютеры».
2. Указать, что присоединять компьютеры к домену могут лишь пользователи, входящие в созданную группу grp_AdminComps. Через оснастку «Управление групповой политикой» перейти к редактированию объекта GPO «Default Domain Controllers Policy», который располагается в подразделении «Domain Controllers». В редакторе перейти к узлу «Конфигурация компьютера\Политики\Конфигурация Windows\Параметры безопасности\Локальные политики\Назначение прав пользователей» и найти параметр политики, который называется «Добавление рабочих станций к домену». Изменить этот параметр — добавить группу grp_AdminComps
3. Выполнить делегирование для группы grp_AdminComps на создание и удаление объекта компьютер в необходимых подразделениях (это позволит и перемещать компьютер между подразделениями). Для этого в оснастке «Active Directory – пользователи и компьютеры» вызвать контекстное меню (правой кнопокй мыши) для необходимых подразделений и выбрать опцию «Делегирование управления»:



Далее указать группу, для которой делаем делегирование полномочий:



Далее переключить «Создать особую задачу для делегирования



Далее переключить в «только следующими объектами в этой папке», выбрать «Компьютер объектов», установить птицы «Создать в этой папке выбранные объекты», «Удалить из этой папки выбранные объекты»:



Далее указать, что делегируется разрешение «Запись»



• Назад
• Вперёд
• Вы здесь:  
• Главная />
• Active Directory />
• Делегирование полномочий на добавление компьютеров в домен

Делегирование административных полномочий в Active Directory

06.10.2022
itpro
Active Directory, PowerShell, Windows Server 2019
комментариев 28

В этой статье мы рассмотрим особенности делегирования полномочий в домене Active Directory. Делегирование позволяет предоставить право на выполнение некоторых задач управления AD обычным пользователям домена, не включая их в привилегированные доменные группы, такие как Domain Admins, Account Operators и т.д.. Например, с помощью делегирования вы можете предоставить определённой группе пользователей (допустим, Helpdesk) право на добавление пользователей в группы, заведение новых пользователей в AD и сброс пароля.

Особенности делегирования прав в Active Directory

Для делегирования прав в AD используется мастер Delegation of Control Wizard в графической оснастке Active Directory Users and Computers (DSA.msc).

Административные права в AD можно делегировать на довольно детальном уровне. Одной группе можно предоставить право на сброс пароля в OU, другой – на создание и удаление аккаунтов, третьей на сброс пароля. Можно настроить наследование разрешений на вложенные OU. Вы можете делегировать права в AD на четырех уровнях:

1. Сайта AD;
2. Всего домена;
3. Конкретной OU в Active Directory;
4. Конкретного объекта AD.

Несколько рекомендаций по правильному использованию делегирования администраивных полномочий в AD:

• Не рекомендуется делегировать разрешения непосредственно для кокретных учетных записей пользователей. Вместо этого создайте в AD новую группу безопасности, добавьте в нее пользователя и делегируйте полномочия на OU для этой группы. Если вам понадобится предоставить такие же права в домене еще одному пользователю, вам будет достаточно добавить его в группу безопасности;
• Старайтесь не использовать запрещающих разрешений, т.к. они имеют приоритет над разрешающими;
• Периодически выполняйте аудит делегированных полномочий в домене (отчет с текущими списками разрешений на OU можно сгенерировать с помощью PowerShell).
• Не делегируйте права на управление OU с административными аккаунтами. Иначе легко может произойти ситуация, когда любой сотрудник службы поддержки может сбросить пароль администратора домена. Все чувствительные пользователи и группы с повышенными привилегиями нужно размещать в отдельной OU, на которую не распространяется правила делегирования.

Делегирование прав на сброс паролей и разблокировку учетных записей

Представим, наша задача – предоставить группе HelpDesk право на сброс пароля и разблокировку аккаунтов пользователей в домене. Итак, создадим новую группу в AD с помощью PowerShell:

New-ADGroup «HelpDesk» -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global

Добавьте в группу нужных пользователей:

Add-AdGroupMember -Identity HelpDesk -Members ivanovaa, semenovvb

Запустите консоль Active Directory Users and Computers (ADUC), щелкните ПКМ по OU с пользователями (в нашем примере это ‘OU=Users,OU=Moscow,DC=corp,dc=winitpro,DC=ru’) и выберите пункт меню Delegate Control.



Выберите группу, которой вы хотите предоставить административные полномочия.



Выберите из списка один из преднастроенных наборов привилегий (Delegate the following common tasks):

• Create, delete, and manage user accounts;
• Reset user passwords and force password change at next logon;
• Read all user information;
• Create, delete and manage groups;
• Modify the membership of a group;
• Manage Group Policy links;
• Generate Resultant Set of Policy (Planning);
• Generate Resultant Set of Policy (Logging);
• Create, delete, and manage inetOrgPerson accounts;
• Reset inetOrgPerson passwords and force password change at next logon;
• Read all inetOrgPerson information.

Либо создайте собственное задание делегирования (Create a custom task to delegate). Я выберу второй вариант.



Выберите тип объектов AD, на которые нужно предоставить права. Т.к. нам нужно предоставить права на учетные записи пользователей, выберите пункт User Object. Если вы хотите предоставить право на создание и удаление пользователей в этом OU, выберите опции Create/Delete selected objects in this folder. В нашем примере мы не предоставляем таких полномочий.



В списке разрешений нужно выбрать те привилегий, которые вы хотите делегировать. В нашем примере мы выберем право на разблокировку (Read lockoutTime и Write lockoutTime) и сброс пароля (Reset password).



Нажмите Next и на последнем экране подтвердите назначение выбранных полномочий.



Теперь под учетной записью пользователя из группы HelpDesk попробуйте из PowerShell сбросить пароль пользователя из OU Users, например из PowerShell:

Set-ADAccountPassword petricdb -Reset -NewPassword (ConvertTo-SecureString -AsPlainText “PPPPa$$w0rd1” -Force -Verbose) –PassThru

Пароль должен сброситься успешно (если он соответствует доменной политике паролей).

Теперь попробуйте создать пользователя в данной OU с помомью командлета New-ADUser:

New-ADUser -Name kalininda -Path ‘OU=Users,OU=Moscow,OU=winitpro,OU=DC=ru’ -Enabled $true

Должна появится ошибка доступа, т.к. вы не делегировали полномочий на создание учетных записей.

Для контроля действий пользователей, которым вы делегированными административные права, вы можете использовать журналы контроллеров домена. Например, вы можете отследить кто сбросил пароль пользователя в домене, узнать кто создал учетную запись пользователя в AD или отследить изменения в определённых группах AD.

Предоставление права на добавление компьютеров в домен AD

По умолчанию любой пользователь домена может присоединить в домен 10 компьютеров. При добавлении в домен 11-го компьютера появится ошибка:



Вы можете изменить это ограничение на уровне всего домена, увеличив значение в атрибуте ms-DS-MachineAccountQuota (ссылка). Либо (гораздо правильнее и безопаснее), делегировав право на ввод компьютеров в домен в определенной OU конкретной группе пользователей (helpdesk). Для этого нужно предоставить право создавать объекты типа (Computer objects). В мастере делегирования выберите Create selected objects in this folder.



А в секции Permissions выберите Create All Child Objects.



Если вы хотите делегировать права на перемещение объектов между организационными подразделениями в AD, нужно предоставить следующие расрешения: Delete User objects, Write Distinguished Name, Write name (**), Create User (или Computer) objects.

Просмотр и удаление назначенных прав в Active Directory

На любую OU в AD можно назначить любое количество правил делегирования. Вы можете получить список групп и делегированные им права в свойствах OU в консоли ADUC. Перейдите на вкладку Security.

Здесь содержится список объектов AD, которым предсоатвлены разрешения на этот контейнер. Список предоставленных полномочий можно посмотреть на вкладке Advanced. Как вы видите для группы HelpDesk разрешен сброс паролей.



Вы можете лишить определенную группу администраивных прав, назначенных ранее через делегирование. В списке разрешений найдите группу, который вы делегировали права и нажмите Remove.

Также со вкладки Security -> Advanced вы можете самостоятельно настроить делегирование полномочий, назначая нестандартные разрешений различным группам безопасности.

Делегирование прав в Active Directory с помощью PowerShell

С помощью PowerShell вы можете вывести список прав, которые делегированы на OU или изменить текущие разрешения. Для получения и изменения прав в Active Directory используются командлеты Get-ACL и Set-ACL (эти же командлеты PowerShell используются для управления NTFS разрешения на файлы и папки).

Следующий простой скрипт выведет список нестандартных разрешений, которые делегированы на определенное организационное подразделение в AD:

# Получаем OU
$OUs = Get-ADOrganizationalUnit -Filter ‘DistinguishedName -eq «OU=Users,OU=NSK,DC=winitpro,DC=ru»‘| Select-Object -ExpandProperty DistinguishedName
$schemaIDGUID = @<>
$ErrorActionPreference = ‘SilentlyContinue’
Get-ADObject -SearchBase (Get-ADRootDSE).schemaNamingContext -LDAPFilter ‘(schemaIDGUID=*)’ -Properties name, schemaIDGUID |
ForEach-Object <$schemaIDGUID.add([System.GUID]$_.schemaIDGUID,$_.name)>
Get-ADObject -SearchBase «CN=Extended-Rights,$((Get-ADRootDSE).configurationNamingContext)» -LDAPFilter ‘(objectClass=controlAccessRight)’ -Properties name, rightsGUID |
ForEach-Object <$schemaIDGUID.add([System.GUID]$_.rightsGUID,$_.name)>
$ErrorActionPreference = ‘Continue’
ForEach ($OU in $OUs) <
$report += Get-Acl -Path «AD:\$OU» |
Select-Object -ExpandProperty Access |
Select-Object @>, `
@ Else <$schemaIDGUID.Item($_.objectType)>>>, `
@>, `
*
>
# отчет с назначенными правами на OU

Вы можете получить отчет с разрешениями в виде графической таблицы Out-GridView:

Или экспортировать права в CSV файл для дальнейшего анализа в Excel (из скрипта PowerShell можно писать строки напрямую в Excel файл):
$report | Export-Csv -Path «C:\ps\ADOU_Permissions.csv» –NoTypeInformation



В полученном отчете сразу видно, что для группы HelpDesk делегированы права на сброс паролей пользователей в OU.

Для делегирования прав на OU можно использовать утилиту dsacls. Например:

dsacls «ou=users,ou=msk, dc=winitpro,dc=ru» /I:S /G «WINITPRO\HELPDESK:CA;Reset Password;user» «WINITPRO\HELPDESK:WP;pwdLastSet;user» «WINITPRO\HELPDESK:WP;lockoutTime;user

Также вы можете назначить права на организационный контейнер с помощью PowerShell (в этом примере делегируются права на сброс пароля):

$ou = «AD:\OU=test,DC=test,DC=com»
$group = Get-ADGroup helpdesk
$sid = new-object System.Security.Principal.SecurityIdentifier $group.SID
$ResetPassword = [GUID]»00299570-246d-11d0-a768-00aa006e0529″
$UserObjectType = «bf967aba-0de6-11d0-a285-00aa003049e2»
$ACL = get-acl $OU
$RuleResetPassword = New-Object System.DirectoryServices.ActiveDirectoryAccessRule ($sid, «ExtendedRight», «Allow», $ResetPassword, «Descendents», $UserObjectType)
$ACL.AddAccessRule($RuleResetPassword)
Set-Acl -Path $OU -AclObject $ACL

По аналогии с помощью PowerShell можно делегировать и другие права на организационные контейнеры AD.

Предыдущая статья Следующая статья

Квота на присоединение компьютеров к домену

По умолчанию право на присоединение компьютеров к домену предоставляется группе пользователей Прошедшие проверку (Autentificated Users). Другими словами, любой пользователь, имеющий доменную учетную запись, может добавить свой компьютер в домен. Однако чтобы избежать злоупотреблений, максимальное количество машин, которое может присоединить рядовой пользователь, ограничено 10.

Если превысить эту квоту, то при добавлении компьютера в домен пользователь получит сообщение о ошибке :

Компьютер не может быть присоединен к домену. На этом домене превышено максимально допустимое число учетных записей. Обратитесь к системному администратору с просьбой отменить это ограничение или увеличить значение.

За размер квоты отвечает атрибут пользователя ms-DS-MachineAccountQuota. Считается квота следующим образом: в учетной записи компьютера (а не пользователя) есть атрибут ms-DS-CreatorSID, в котором хранится SID учетной записи пользователя, заводившего учетную запись этого компьютера. Когда рядовой пользователь добавляет компьютер в домен, то система подсчитывает количество учетных записей компьютеров, в которых атрибут ms-DS-CreatorSID равен SID-у пользователя. Если это значение меньше значения квоты ms-DS-MachineAccountQuota, то компьютер подключается к домену, иначе появляется приведенная выше ошибка. Квота носит относительный характер, т.е. считаются не все учетные записи компьютеров, когда либо заведенные пользователем, а только существующие в домене на данный момент.

Есть несколько способов обойти квоту.

Предварительное создание учетной записи компьютера

1. Открываем оснастку «Active Directory — пользователи и компьютеры».
2. Щелкаем правой кнопкой мыши на контейнере, в котором планируется создавать учетную запись и выбираем пункт Создать — Компьютер.
3. В открывшемся окне вводим имя компьютера, который необходимо добавить в домен.
4. Жмем на кнопку Изменить и выбираем пользователя или группу, от имени которого производится присоединение к домену. При выборе имейте ввиду, что квота не распространяется только на членов группы Администраторы домена (Domain admins) и тех пользователей, которым делегированы права на управление данным контейнером.
5. Далее жмем OK и учетная запись компьютера создана, а в значении атрибута ms-DS-CreatorSID будет указан SID того пользователя, от имени которого заводилась учетная запись в AD, а не того кто физически подключал компьютер к домену.

Достоинство этого способа в том, что мы сразу создаем учетную запись в нужном нам контейнере, а не в контейнере Computers (контейнер для компьютеров по умолчанию). Однако он более трудоемок, чем остальные, ведь таким образом придется создавать учетку для каждого нового компьютера.

Делегирование прав на создание и удаление учетных записей компьютеров

• Открываем оснастку «Active Directory — пользователи и компьютеры».
• Щелкаем правой кнопкой мыши на контейнере Computers и выбираем пункт «Делегирование управления».
• В мастере делегирования управления выбираем пользователя или группу, которой доверим создавать учетные записи компьютеров. Правильным решением, на мой взгляд, будет создать для этой цели отдельную группу.
• В следующем окне отмечаем пункт «Создать особую задачу для делегирования», т.к. в стандартных задачах нет возможности выбрать создание и удаление учетных записей компьютеров.
• Отмечаем пункт «Разрешения для создания и удаления дочерних объектов» и выбираем из списка пункты «Создание объекта компьютер» и «Удаление объекта компьютер».
• Жмем кнопку Далее, затем Готово. Делегирование создано, и теперь на выбранных пользователей квота не распространяется.

По моему, наиболее оптимальный способ, достаточно один раз создать группу и делегировать ей полномочия, а затем при необходимости просто добавлять в нее пользователей.

Изменение установленной по умолчанию квоты

• Заходим в меню Пуск — Администрирование и выбираем пункт «Редактирование ADSI» (ADSIEdit).
• Подключаемся к контесту именования домена по умолчанию.
• Подключившись, щелкаем правой кнопкой мыши на нашем домене и в контекстном меню выбираем пункт «Свойства».
• Находим в свойствах атрибут ms-DS-MachineAccountQuota и изменяем его значение на нужное нам.
Сохраняем значение и закрываем оснастку. Квота на добавление компьютеров изменена, причем изменения будут действовать на всех пользователей, прошедших проверку (группа Autentificated Users).

Способ довольно экстремальный, ведь ADSIEdit — инструмент очень мощный, и его неправильное применение может привести к серьезным последствиям. Хотя, если четко понимать свои действия, то этот пособ ничем не хуже остальных. В любом случае выбирать вам.

Делегирование административных задач в Active Directory

Более чем очевидно, что практически в каждой организации ИТ-подразделение включает в себя нескольких администраторов, и различные административные задачи должны быть распределены среди администраторов, либо, скажем, среди членов службы поддержки. Например, как в данном примере, скажем сотрудники подразделения поддержки должны вносить компьютеры в домен. Однако такая группа пользователей не должна иметь возможности выполнять остальные операции, помимо тех, которые вы хотите им разрешить.
А вот те разрешения, которые можно назначать пользователям, группам или компьютерам, иначе говоря принципалам безопасности, называются записями контроля доступа (Access Control Entry, ACE). Следовательно, с помощью ACL модифицируются разрешения доступа для объекта. Списки ACL вы можете просматривать непосредственно при помощи таких оснасток как «Active Directory – пользователи и компьютеры», «Центр администрирования Active Directory», а также в таких оснастках и средствах как «Active Directory – Сайты и службы», «Редактор ADSI», а также «LDP» (некоторые средства будут подробнее рассмотрены далее в данной статье). Если же говорить о разрешениях контроля доступа к объектам AD, то сразу следует отметить, что они разделены на стандартные разрешения и на особые разрешения. Особые разрешения представляют собой гранулированные опции, которые применяются к конкретному объекту, а стандартные разрешения доступа уже составляются из набора особых разрешений, которые разрешают, либо, наоборот, запрещают определенную функцию. Исключительно в качестве примера можно выделить такое стандартное разрешение как чтение, ведь на самом деле оно включает в себя записи таких особых разрешений как чтение разрешений, список содержимого, а также прочитать все свойства. Но это уже совсем другая тема.
Собственно, все записи ACE располагаются в дискреционном списке контроля доступа, иначе говоря, в оригинале это звучит как Discretionary Access Control List, или же, проще говоря, в списке DACL. Это список записей управления доступом, определяющий разрешения доступа для каждого принципала безопасности к объекту. В свою очередь, каждый принципал безопасности, который добавляется в объект, получает список разрешений, в котором указано, что конкретный пользователь либо группа пользователей может выполнять конкретные операции с самим объектом. Здесь всегда следует помнить то, что записи ACE, которые были назначены явным образом, всегда будут оцениваться перед унаследованными записями ACE. А также всегда следует учитывать то, что запрещающие записи всегда будут превалировать над разрешающими.
Сам по себе список DACL является составляющей списка ACL самого объекта, который еще содержит системный список контроля доступа, другими словами System Access Control List, SACL. Этот список определяет параметры аудита для объекта, включая все принципалы безопасности и операции, для которых должен выполняться аудит.
Таким образом, возвращаясь к самой теме данного раздела, делегированием административных задач называется наследование разрешений родительского объекта для принципала безопасности, созданного в Active Directory.

Пример делегирование административных полномочий

Для начала следует на контроллере домена открыть оснастку «Active Directory – пользователи и компьютеры». Здесь необходимо создать глобальную группу безопасности, члены которой смогут присоединять компьютеры пользователей к домену. Другими словами, эта группа будет выглядеть следующим образом:

Определение задач, для которых было предоставлено делегирование

Первый метод – это использование оснастки «Active Directory – пользователи и компьютеры». Прежде всего, для того чтобы просмотреть задачи, которые были делегированы, следует в меню «Вид» включить для самой оснастки отображение дополнительных компонентов. После этого необходимо перейти к диалоговому окну свойств подразделения, для которого выполнялось делегирование. Так как в предыдущем разделе выполнялось делегирование для уровня всего домена, в данном примере открывается диалоговое окно свойств домена.
В отобразившемся диалоговом окне следует перейти на вкладку «Безопасность», а затем оттуда вызвать диалоговое окно дополнительных параметров безопасности. Здесь, в отобразившемся диалоговом окне, вы можете обнаружить все записи ACE, которые были заданы как по умолчанию, так и при помощи мастера делегирования. Например, на следующей иллюстрации видно, что для группы «Поддержка» было добавлено разрешение, позволяющее создавать объекты «Компьютер»:


Рис. 8. Подключение к контроллеру домена
После этого следует выполнить привязку, используя одноименную команду из меню «Подключение». Так как в данный момент я выполнил вход в систему от учетной записи администратора, я могу не вводить учетные данные, а сразу в отобразившемся диалоговом окне «Привязка» нажать на кнопку «ОК», как показано ниже:


Рис. 9. Выполнение привязки
Теперь можно подключиться к необходимому подразделению или же сразу ко всему домену, выбрав команду «Дерево» из меню «Вид». В том случае, если следует просмотреть весь домен, можно оставить поле пустым, однако если вы планируете просматривать конкретное подразделение, следует указывать различающееся имя в следующем формате: «OU=имя OU, DN=domain…».
Затем для того, чтобы увидеть, кому было предоставлено делегирование, следует просмотреть всю структуру в древовидном представлении. Другими словами, из меню «Вид» выбираем команду «Дерево» и в отобразившемся диалоговом окне «Дерево» указываем базовое расширяемое имя (либо, так как в приведенном примере необходимо просмотреть весь домен, можно оставить данное текстовое поле пустым).
Уже находясь в привычной области дерева, необходимо выбрать подразделение, предоставление прав к которому следует проверить, а затем из контекстного меню выбрать команду «Дополнительно» и «Дескриптор безопасности». В отобразившемся диалоговом окне обязательно удостоверьтесь в том, что у вас выбран правильный DN, а также в том, что установлен флажок на опции «Список ACL», как показано на следующей иллюстрации:


Рис. 10. Открытие диалогового окна дескрипторов безопасности
Теперь в отобразившемся диалоговом окне вы можете просмотреть все группы и пользователей, которым были предоставлены определенные разрешения. При необходимости вы также можете отредактировать либо удалить делегируемые разрешения, воспользовавшись соответствующими кнопками. Диалоговое окно дескрипторов безопасности, как и окно редактирования делегируемых разрешений, отображены на следующей иллюстрации:


Рис. 12. Переход к свойствам выбранного объекта
После работы с оснасткой «Active Directory – пользователи и компьютеры» вы сможете сразу определиться, что нужно сделать. В отобразившемся диалоговом окне следует перейти к группе «Разрешения», и просто останется лишь выбрать требуемую группу и перейти к диалогу дополнительных параметров безопасности. Группа разрешений отображена ниже:

Разрешения перемещения объектов между подразделениями

Последняя задача, которая будет рассмотрена в данной статье, представляет собой реализацию разрешения перемещения объектов компьютеров между подразделениями для группы безопасности «Поддержка». Так как в предыдущий раз разрешения для присоединения компьютеров к домену мы реализовывали средствами делегирования управления, следует и в этот раз попробовать поискать средства решения этой задачи в данном мастере. Для решения этой задачи нужно будет отредактировать некоторые разрешения для контейнера «Computers», так как известно, что объекты групповой политики невозможно связывать с данным контейнером, а сотрудникам подразделения поддержки необходимо распределять компьютеры по различным подразделениям.
После открытия мастера делегирования управления и добавления целевой группы вы обнаружите, что среди обычных задач невозможно выполнить подобные действия. В этом случае следует попробовать воспользоваться списком особых задач для делегирования. В отобразившемся диалоговом окне вам предоставляется возможность делегирования всех объектов в выбранном вами контейнере (в этом случае вам следует установить переключатель на опцию «этой папкой, существующими в ней объектами и созданием новых объектов в этой папке»), а также возможность передачи управления только выбранным объектам, которые можно найти в соответствующем списке (опция «только следующим объектам в этой папке»).
Среди доступных объектов следует установить флажок на опции «Компьютер объектов», а затем под данным списком установить флажок на опции «Удалить из этой папки выбранные объекты».
Диалоговое окно данной страницы мастера делегирования изображено на следующей иллюстрации:


Рис. 15. Страница создания особой задачи для делегирования
После этого, на следующей странице мастера, странице «Разрешения» — следует указать, что делегируется разрешение «Запись», и этого будет достаточно.
Так как задачу по перемещению можно разделить на две части – удаление объекта из контейнера «Computers» и последующее создание объекта в другом подразделении – исключительно в качестве примера, создание объектов в специально созданном подразделении для учетных записей компьютеров будет продемонстрировано средствами изменения дополнительных параметров безопасности для требуемого подразделения (подобные действия были рассмотрены в предыдущем разделе).
Сейчас, в том случае, если вы закрывали оснастку «Active Directory – пользователи и компьютеры», нужно включить для нее отображение дополнительных компонентов, а затем перейти к диалоговому окну свойств подразделения, в которое должны перемещаться учетные записи компьютеров. В моем случае это подразделение «Клиенты».
В диалоговом окне свойств данного подразделения следует перейти ко вкладке «Безопасность», а затем открыть диалоговое окно дополнительных параметров безопасности. В отобразившемся диалоговом окне следует локализовать добавленную ранее группу и удостовериться, что сотрудникам группы поддержки разрешается присоединять компьютеры к домену, но разрешения, связанные с удалением объектов, здесь отсутствуют, а затем перейти к диалогу изменения разрешений посредством нажатия на кнопку «Добавить».
В отобразившемся диалоговом окне «Элемент разрешения для Computers» необходимо добавить группу, которой будут применяться разрешения. Другими словами, нажмите на ссылку «Выберите субъект» и при помощи соответствующего диалогового окна локализуйте группу «Поддержка». Так как внутри созданного ранее подразделения могут находиться дочерние подразделения с различной разбивкой (например, компьютеров по отделам), из раскрывающегося списка «Применяется к» следует выбрать опцию «Этот объект и все дочерние объекты», что и установлено по умолчанию.
Осталось только выбрать требуемое разрешение. Так как нам нужно разрешить перемещать компьютеры, а это означает, что объекты будут создаваться внутри данного и всех вложенных контейнеров, следует установить флажок напротив разрешения «Создание объектов: Компьютер», после чего сохранить все внесенные изменения. Диалоговое окно «Элемент разрешения для «Клиенты»» показано ниже:


Рис. 16. Добавление разрешений для создания объектов компьютеров

Похожие публикации:
1. Progman exe что это
2. Как поставить таймер на выключение пс4
3. Как убрать проверку орфографии в ворде
4. Dp45977c lfl что это за файл