Theo nguyên tắc của Mô hình quản trị ít đặc quyền nhất Tôi cần tạo nhóm tùy chỉnh để cấp cho các thành viên của nhóm quyền thêm máy tính vào miền nhưng không có gì khác có thể gây rủi ro bảo mật.
Vì vậy, tôi đã tạo nhóm tùy chỉnh của mình trong AD (hãy gọi nó là "Trình quản lý miền") và chỉ định người dùng miền thử nghiệm cho nhóm này.
Sau đó, tôi chuyển sang Trình quản lý chính sách nhóm và tạo GPO. Bên trong GPO của tôi, tôi đã đi đến Cấu hình máy tính > Cài đặt Windows > Cài đặt bảo mật > Chính sách cục bộ > Chỉ định quyền người dùng. và thêm nhóm tùy chỉnh của tôi vào Thêm máy trạm vào Domain chính sách.
Chính xác theo Phương pháp 1 từ bài viết này:
https://www.prajwaldesai.com/allow-domain-user-to-add-computer-to-domain/
Tiếp theo, tôi đã liên kết GPO với một OU bằng một máy tính chỉ để thử nghiệm (và đã chạy gpupdate/lực lượng cho biện pháp tốt). Tôi đã xóa máy tính này khỏi miền và thử thêm lại máy tính đó bằng thông tin xác thực của người dùng thử nghiệm của tôi (được thêm vào nhóm tùy chỉnh) - máy tính không hoạt động (gặp lỗi Truy cập bị từ chối). Tiếp theo, tôi đã thử thực hiện tương tự nhưng chỉ định GPO cho toàn bộ miền - lại xảy ra lỗi tương tự.
Tôi đã tìm kiếm thêm và tìm thấy ghi chú này từ Microsoft
https://docs.microsoft.com/en-us/troubleshoot/windows-server/identity/access-denied-when-joining-computers
Và thật hợp lý, vì máy tính thử nghiệm của tôi trước đây đã ở trong miền nên tôi cần đặt lại mật khẩu. Nhưng tôi không thể tìm thấy cài đặt này bên trong GPO.
Có thể đạt được điều này mà không cần sử dụng ủy nhiệm không? Tôi có thiếu thứ gì đó bên trong GPO không?
