» Как удалить учетную запись компа из домена

Есть большой домен. Тысячи компов.
Часто компы перезатачиваются системщиками и вводятся в домен.
Право на это у них есть. А вот в группе Domain Admins они не состоят,
да и не хотелось бы их туда вводить...
Вот они и звонят каждый раз с необходимостью удалить из директории
(native mode) учетную запись данного ПК.

Хотелось бы сделать юзера, не администстратора, который мог бы выводить компы из Active Directory или дать необходимые права группе системщиков.

Выручайте! даешь ценные идеи

kibkalo

Посмотрите политику безопасности домена, там это есть... Там есть права на добавление станций.

Ну не надо мне на добавление!!!
И так системщики добавляют компы!
Мне надо чтобы они могли их УДАЛЯТЬ из домена!
Право Add Workstations To Domain это не дает.
А именно это право им и пожаловано...

Надо чтобы они могли именно выводить учетную запись ИЗ домена!
Или чтобы перед добавлением компа в домен оно автоматом выводилось.

Может просто дать им право 'reset password' для соответствующих объектов в OU 'Сomputers'?

Не очень понял о каких именно объектах с паролями идет речь?
Reset Password чего?

kibkalo

JcVai имел ввиду "AD - Пользователи и компьютеры"
дальше ou=Computers. Вызываешь его свойства/безопасность.
Там Дополнительно\Разрешения - Добавляешь пользователя - среди кучи галок выбираешь то что нужно, а именно "Удаление компьютер объектов"...
Помоему все...

Угу. спс.
Нашел...

Можно возродить тему?

Не подскажете, можно ли вывести компьютер (W2K Prof) из домена (Win2003)? Нужно ли для этого знать пароль доменного администратора или пароля локального администратора хватит? И если получиться удалить комп из домена, доменные политики все же будут превалировать над локальными?

Цитата:

можно ли вывести компьютер

да, можно.
Можешь просто исключить его из домена и ввести в любую рабочую группу.

Цитата:

удалить комп из домена

только при наличии сорответствующих прав можно удалить учетную запись компьютера.

Цитата:

доменные политики все же будут превалировать над локальными

при загрузке компьютер - член домена получает соответствующие доменные политики, которые перезаписывают локальные.
Если вывести компьютер из домена, презаписанные политики сохранятся

Можно сбросить параметры политики безопасности через оснастку Security Configuration and Analysis

Параметры политики у локального пользователя будут свои.

kibkalo

[q][/q]

http://spam_detected/products/activerolesserver/

правда он слишком много чего еще умеет Пиши если какие вопросы в мыло. Ну или ключи.

Имеет в себе все возможности ActiveRoles Direct, плюс:

Возможность синхронизации AD с внешним источником данных (HR / ERP системы)
Журналирование всех административных действий над AD
Открытый SDK, позволяющий доработать систему под свои нужды .




Добавлено:

Тысячи компов. ) Интересно, чем их мониторите

Lamerok, пожалуйста, уточните, если в настройках Мой компьютер>Свойства>Сетевая идентификаци указать Является членом рабочей группы, компьютер выйдет из домена? Или понадобится пароль доменного администратора? И должны быть права на проведение такой операции?

Quest ActiveRoles Direct

http://spam_detected/products/activerolesdirect/



Продукт для делегирования прав на Active Directory.

Основные преимущества:

Введение понятия ролей (в роли подробно описывается, какие полномочия над AD есть у пользователя, после чего пользователю назначается одна или несколько ролей)
Возможность увидеть, на какие группы объектов AD выданы дополнительные права, и кому
Возможность создания представлений: - пользователь, имеющий права на часть объектов AD, видит только их в дереве объектов
Возможность создания Web-интерфейса для выполнения задач Help-Desk (например - сброс паролей)

Цитата:

Мой компьютер>Свойства>Сетевая идентификаци указать Является членом рабочей группы, компьютер выйдет из домена?

да.

Цитата:

Или понадобится пароль доменного администратора?

нет.

Цитата:

должны быть права на проведение такой операции?

нет.


не забудь также, что после выведения из домена, под доменной учетной записью пользователя зайти нельзя.
Нужно создать локального пользователя и хорошо бы знать пароль локального администратора.
Если пользователя не создал, а пароль админа не знаешь - придется сбрасывать пароль админа специальным софтом.

Спасибо, Lamerok


Добавлено:
А еще вопрос: можно ли такую OU завести в AD, чтобы она контролировалась не администраторами домена и выше, а какой-то определенной группой в домене? И как организовать в таком случае политики безопасности для OU? Или в таком случае, лучше организовать поддомен? Но ведь потребуется еще один DC, или не обязательно?

aezh

Цитата:

можно ли такую OU завести в AD, чтобы она контролировалась не администраторами домена и выше, а какой-то определенной группой в домене?

Делегирование полномочий.

Цитата:

И как организовать в таком случае политики безопасности для OU?

Организовать ее так, чтобы она не наследовала выше стоящие политики.

Лучший способ сбросить пароль Биос - Windows это загрузочный диск
BootPass Win7Live ищите в просторах интернет!!!!

vladshishkin
Цитата:

Отправлено: 03:52 06-10-2005

С чего это на вас сегодня жестокая некрофилия накатила? Весна начала действовать?