【AD】取消普通域用戶帳號加域權限&授權特定普通域用戶加域權 ... [複製鏈接]
發表於 2015-11-13 13:04 | 來自 51CTO網頁
[只看他] 樓主
通常來說,沒有做什麼特別的設定的話,都是手動加域,且使用的是管理員帳號,這種情況下是有風險的,容易被人記憶密碼。所以,如果可以設置一個普通用戶帳號,專門用來執行加域操作,就會降低此類風險。其實默認情況下,域每一個普通帳號都可以將10臺電腦加入域內,這是一個很大的隱患。估計很多人都沒有試過吧。
加域分兩種,一種是將新電腦加入域內,一種是將已經加入過域的電腦,因爲故障無法登錄域或手動退域,原計算機帳號仍在的情況下加入域建立連接。第二種情況又分上次加域使用的帳號和當前加域使用的帳號是否相同且權限是否一致。而退域,用任何帳號都可以。
下面錯誤只在本文範疇內,不討論其他情況。
加域可能的報錯A:
就是第二種情況時,加域帳號(權限)不一致。
可能的報錯B:
超過普通用戶將電腦加域的數值。
取消普通域用戶帳號將計算機加入域的權限
域環境,默認普通用戶默認能將10臺計算機加入到域,如果在考慮到安全因素,需要更改默認設置。一般域內建立的用戶默認都是Domain Users組裏的,下面將介紹如何取消普通域用戶帳號將計算機加入域的權限
方法/步驟
1、在PDC上單擊“開始” -“所有程序”- “管理工具” 打開“ADSI 編輯器”
2、在打開的ADSI編輯器右擊-“連接到”-點擊確定。
右鍵 “DC=xxx DC="com" 單擊“屬性”
3 、找到“ ms-DS-MachineAccountQuota” ,將其數值由默認的10改成0
這樣普通用戶就不能將新電腦計算機加入域了。XP會提示“訪問拒絕”,Win7會提示錯誤B(見文章開始部分)。
修改完畢不需要重新啓動。即刻生效。
授權特定普通域用戶將計算機加入域
進全局組策略修改。
這種情況下,此帳號的確可以在MachineAccountQuota=0的情況下將新電腦加入域名。然而仍然有可能會報錯A。(見文章開始部分)
所以這時候我們需要使用委派的技巧。
而普通的委派,網絡上搜索到的,其實和組策略的方法是一致的,某種程度來說。在現實環境中仍然會報錯A。(見文章開始部分)
要解決這個問題,需要如下操作。
進入控制檯-AD用戶和計算機,右擊域-選擇委派控制。
下面要添加的有--
重置密碼
讀取和寫入帳戶限制
已驗證的 DNS 主機名的寫入
已驗證的寫入到服務主體名稱
這樣,這個帳號就可以作爲專用的加域普通帳號用了。
同樣是即刻生效。
查看委派
在AD控制檯裏單擊查看-高級功能打開之後在當前域上單擊右鍵-屬性-安全,裏面可以看到你委派的用戶
刪除可以直接在上面刪除。