LPS:PristupAUPkAD

Z HelpDesk

Přístup vybraných správců z AUP do Active Directory

Při přeinstalaci počítačů z OrionXP na Orion7 nebo změně kategorie z učebny na IS a pod. Je třeba smazat existující účet počítače z AD. Tuto činost lze snadno delegovat.


Návod pro LPS

  • v AD je v OU=Orion Groups vytvořena skupina aup-ad-admins, stačí přídat/odebrat příslušného správce. V současné době je skupina udržována ručně. Výhledově může spravovat IDMko
  • Skupina aup-ad-admins má pouze právo Odebírání objektů typu Počítač v OU=OrionXP a OU=Orion7 + podřízené. Právo číst vyplývá z defaultní skupiny Authenticated Users.


Postup pro AUP

  1. Je nutné mít počítač zařazený v doméně w3k.zcu.cz. Nejjednodušší je použít virtuální Orion stanici.
  2. Na stroj je třeba doinstalovat RSAT (Remote Server Administration Tools) pro příslušný systém. Pro Window7 je dostupný zde.
  3. Po instalaci je třeba v Ovládacích panelech > Programy a funkce > Zapnutí nebo vypnutí funkce systému Windows přidat Nástroje pro vzdálené správu serveru > Nástroje pro správu rolí > Nástroje služby AD DS a AD LDS > Nástroje služby AD DS > zde stačí první dvě položky.
  4. Poté je třeba pod účtem (OrionLogin@ZCU.CZ) přidaným ve skupině aup-ad-admins spustit správcovskou konzoli Uživatelé a počítače služby Active Directory (dsa.msc). Buď se přímo účtem přihlásit nebo spustit například přes runas.
  5. Nyní stačí vyhledat příslušný počítač a smazat jej (pravé tlačítko na OU > Najít, nezapomeňte přepnout na vyhledávání počítačů, defaultně počítače nevyhledává). POZOR operace odstranění je nevratná!