LPS:PristupAUPkAD
Z HelpDesk
Přístup vybraných správců z AUP do Active Directory
Při přeinstalaci počítačů z OrionXP na Orion7 nebo změně kategorie z učebny na IS a pod. Je třeba smazat existující účet počítače z AD. Tuto činost lze snadno delegovat.
Návod pro LPS
- v AD je v OU=Orion Groups vytvořena skupina aup-ad-admins, stačí přídat/odebrat příslušného správce. V současné době je skupina udržována ručně. Výhledově může spravovat IDMko
- Skupina aup-ad-admins má pouze právo Odebírání objektů typu Počítač v OU=OrionXP a OU=Orion7 + podřízené. Právo číst vyplývá z defaultní skupiny Authenticated Users.
Postup pro AUP
- Je nutné mít počítač zařazený v doméně w3k.zcu.cz. Nejjednodušší je použít virtuální Orion stanici.
- Na stroj je třeba doinstalovat RSAT (Remote Server Administration Tools) pro příslušný systém. Pro Window7 je dostupný zde.
- Po instalaci je třeba v Ovládacích panelech > Programy a funkce > Zapnutí nebo vypnutí funkce systému Windows přidat Nástroje pro vzdálené správu serveru > Nástroje pro správu rolí > Nástroje služby AD DS a AD LDS > Nástroje služby AD DS > zde stačí první dvě položky.
- Poté je třeba pod účtem (OrionLogin@ZCU.CZ) přidaným ve skupině aup-ad-admins spustit správcovskou konzoli Uživatelé a počítače služby Active Directory (dsa.msc). Buď se přímo účtem přihlásit nebo spustit například přes runas.
- Nyní stačí vyhledat příslušný počítač a smazat jej (pravé tlačítko na OU > Najít, nezapomeňte přepnout na vyhledávání počítačů, defaultně počítače nevyhledává). POZOR operace odstranění je nevratná!