域的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合,这样在域内的计算机就可以共享资源,也便于系统管理员的操作管理。但是如何使一个不在这个域内的普通用户具有让其他电脑加入该域的权限呢?具体内容如下所述。
需求:
希望有一个公开的用户(用户名和密码公开),这个用户只有一个权限:可以让别的电脑加入或退出域,而这个用户不是隶属于域管理员组也不能做别的任何操作。
实现:
默认情况下,在域控制器上经过身份验证的用户,有权限将计算机添加到域,最多可以使得验证用户在域中最多可创建10个计算机帐户。所以如果希望一个用户能过无限次的加域的话,需要做一些设置:在默认的域安全策略—安全设置—本地策略—用户权限分配里的域中添加工作站里把你的用户加到里面,就可以让别的电脑加入或退出域。然后在里面有个拒绝本地登陆,你把这个帐号添进去就可以不能登入客户机,也就做不了什么操作。
问题:
按照次操作试验时,把一台已经加域的计算机退域重新加入的时候提示“拒绝访问”。但是如果用一台未加过域的电脑加入时就没有这个问题。后查文档得知“您正用于加入过程的域用户帐户只有“向域添加工作站”的权限。因此,在替换之前旧的计算机帐户被删除,客户机使用尚未复制此帐户删除的“轻量级目录访问协议”(LDAP)服务器或域控制器,但是没有修改仍保留的帐户的正确权限。”也就说以前的这个计算机还保存在AD中,但普通用户没办法更改。这也就是为什么这个时候管理员可以但普通用户不行的原因。
解决:
转:当计算机加入域时出现“拒绝访问”错误消息http://support.microsoft.com/kb/330095/zh-cn
要变通解决此问题,可使用下列任一方法:
•使用另外一个计算机名称。
•等待ActiveDirectory进行复制,或使用以下命令强制进行复制:repadmin/syncDomainDN目标DSAGUID._msdcs源DSAGUID/force
•在加入过程中使用域管理员帐户。
•向您正在使用的帐户授予附加权限:
1.启动Adsiedit.msc。
2.打开“DomainNC,DC=域,CN=Computers”节点。
3.单击“计算机”,然后单击“属性”。
4.在“安全”选项卡上,单击“高级”。
5.单击“添加”,然后单击适当的用户帐户或组。
6.在“应用到”框中,单击“计算机对象”。
7.在“权限”窗格中,单击以选中“写入所有属性”、“重设密码”和“将这些权限只应用到这个容器中的对象和/或容器上”复选框。
8.单击“确定”,直到做出更改。
9.等待ActiveDirectory进行复制,或强制进行同步。
一般而言,任何一个域帐户都有权限将计算机加入域,虽然最多只能加10台计算机。但是这样会给系统的安全带来不稳定的因素
下面就来说明下如何进行限制
方法1:去掉普通权限可以加入域的计算机个数
在DC上面安装SupportTools工具,开始--运行,输入“adsiedit.msc”,在弹出窗口中展开“Domain[xxxxxx]”,定位到“DC=xxxxx”,右键选择“属性”,在弹出的属性窗口中找到“ms-DS-MachineAccountQuota”,双击编辑将默认值“10”更改为“0”(默认情况所有用户都可以将10台计算机加入域),更改之后默认用户就没有权限进行将计算机加入域的操作,不影响域管理员将计算机加入域的操作。
方法2:设定具有将工作站加入域的用户组
在域策略中,进行如下设置,删除掉默认的地用户组authenticatedusers,然后添加需要具有权限的用户或者用户组。
希望本文介绍的使域外用户拥有让其他电脑加域或退域的权限的方法能够对读者有所帮助。
【编辑推荐】