Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Compte pour lire AD, joindre une machine au domaine, supprimer des comptes d'ordinateurs et déplacer des ordinateurs vers des OU

ayi

Je veux créer un compte qui effectuera les opérations suivantes :

Joindre des ordinateurs à un domaine (sans la restriction de 10, comme un utilisateur normal)
Vérifier les comptes d'ordinateurs dupliqués
Supprimer des comptes d'ordinateurs
Déplacer des ordinateurs vers des OU

ayi

J'ai dû configurer cela récemment moi-même. Nous avons du code personnalisé qui fait le pré-provisionnement des ordinateurs pour les nouveaux PC lorsqu'ils démarrent en PXE et exécutent notre tâche de déploiement.

Voici les permissions que j'ai déléguées à un compte de service dédié :

Créer/Supprimer des objets ordinateur dans l'OU cible
Écrire toutes les propriétés sur les objets ordinateur
Réinitialiser le mot de passe sur les objets ordinateur
Lecture validée du nom d'hôte DNS
Écriture validée du nom d'hôte DNS
Lecture/Écriture de l'attribut servicePrincipalName

Utilisez l'assistant de délégation de contrôle dans ADUC ou dsacls pour configurer ces permissions.