Trong các doanh nghiệp có quy mô vừa và lớn, việc quản trị hệ thống thường được phân chia rõ ràng. Đối với các doanh nghiệp nhỏ, thường thì một người quản trị mạng sẽ đảm nhiệm tất cả các vai trò như quản trị hệ thống và quản trị mạng, nhằm tiết kiệm chi phí. Tuy nhiên, trong các doanh nghiệp lớn với hệ thống từ vài nghìn đến vài trăm nghìn người dùng, cần có đội ngũ IT helpdesk và phân công nhiệm vụ cụ thể.

Người quản trị hệ thống (System Admin) sẽ quản lý Domain Controller và có thể ủy quyền cho các nhân viên Helpdesk hoặc các đơn vị thuê ngoài (outsourcing) quyền tham gia hoặc kết nối máy tính vào domain. Điều này là cần thiết vì không thể một người làm hết tất cả công việc, do đó cần phải ủy quyền cho một số nhóm hoặc người dùng Helpdesk thực hiện nhiệm vụ này. Tất nhiên, sẽ có một số người dùng bị giới hạn số lần kết nối vào domain, chẳng hạn như tối đa 10 lần.

Giải pháp

Có hai giải pháp để các bạn có thể thực hiện

• Ủy quyền 1 nhóm người hoặc người nào đó có quyền sử dụng Active Directory Users and Computers mà cụ thể là join domain.
• Tạo 1 chính sách GPO trên default domain group policy để cấp quyền

Các thực hiện ủy quyền trên ADUC

Để thực hiện delegation vào start-> gỏ lệnh dsa.msc run Active Directory Users & Computers

Tạo 1 nhóm để ủy quyền nhé ví dụ GroupITHelpdesk

Thêm các user cần ủy quyền join vào nhé ví dụ : jsisen, danh

Muốn ủy quyền OU nào thì chọn OU đấy nhé hoặc có thể chọn cả domain 🙂 phải chuột chọn delegation

Chọn Next->

Chọn -> Add group vừa tạo trên và chọn Ok->Next.

Chọn Delegation the following Common tasks-> Join a Computer to the domain

Hoặc chọn Create a custom task to delegate thì chọn Create computer object và Delete nhé.

Chọn Ok finish nhé.

Mình chia sẻ cách ủy quyền cho một tài khoản hoặc nhóm có quyền tham gia domain. Chúng ta có thể giao nhiệm vụ này cho các anh em IT helpdesk để họ thực hiện.