我們知道,用戶想要登錄到域,所用計算機(指NT/2000/XP/03,而運行95/98 的計算機沒有高級安全功能,未被指派計算機帳戶)需要在該域或有信任關係的其它域中有一個計算機帳戶。此外還需要有一個該域的域用戶帳戶。
我們還知道,在域中有計算機帳戶,說明這臺計算機臺是域成員,它將受到域的組策略之計算機配置的限制。下面就計算機帳戶問題,展開來討論一下。
一、在域中新建計算機帳戶
在NT4域時,加入到域需要有管理特權才行。所以微軟有這樣一個推薦原則:如果是小型網絡,可以由管理員負責將所有計算機加入到域;如果是大型網絡,管理員忙不過來,可以先在域控制器上預建計算機帳戶,用戶用相應的計算機名加入域即可。這樣可以避免由於管理口令的外泄而帶來的威脅。
從Windows 2000開始,微軟作了改進:在Windows 2000/03域中,默認Authenticated Users可在域中最多創建 10 個計算機帳戶。Authenticated Users指被驗證的用戶組,也就是說任何經過身份驗證的普通域用戶都可以加最多10臺計算機到域。注意:同一臺機器,多次退出再加入域,並不累計計數;並且還可以在組策略中將累計數復位。
既然在2000/03域中普通域用戶就可以把10臺計算機加入到域,那麼在AD中手動預建計算機帳戶還有什麼意義呢?
讓我們先來看一下爲什麼普通域用戶能這樣,在管理工具/域控制器安全策略/本地策略/安全設置/用戶權利分配下:“域中添加工作站”的默認值爲:Authenticated Users。
但假設管理員不想讓普通域用戶有能力將計算機加入到域,就可將這條策略的值更改爲Administrators或Domain Admins,然後通過開始/運行:刷新計算機策略命令或重啓DC使其生效。說明:在2000域下這個命令是secedit /refreshpolicy machine_policy /enforce;在03域下用gpupdate /target:computer,不加參數,直接運行gpupdate也可,只不過把用戶策略也刷新了。
我們再進一步假設,管理員想實現張三(域用戶名:z3),只能把張三自己所用的計算機(計算機名爲cz3)加入域。那麼管理員就可以通過預建計算機帳戶,並且把“下列用戶或組可以將此計算機加入到域”的默認值,由Domain Admins,改爲z3。
預建計算機帳戶還有一個目的就是通過計算機網卡的全程唯一標識符GUID實現RIS(遠程安裝服務)安裝的預分級,這裏就不詳細討論了。
加入域時常見的問題:用同一個普通域帳戶加計算機到域,有時沒問題,有時卻出現“拒絕訪問”提示。
這個問題的產生是由於AD已有同名計算機帳戶,這通常是由於非正常脫離域,計算機帳戶沒有被自動禁用或手動刪除,而普通域帳戶無權覆蓋而產生的。解決辦法:1、手動在AD中刪除該計算機帳戶;2、改用管理員帳戶將計算機加入到域;3、在最初預建帳戶時就指明可加入域的用戶。
另外,對於在活動目錄AD的computers容器或其它OU上有“創建計算機對象”權限的用戶,也可以在該域中創建計算機帳戶,且不受10個的限制。操作:AD用戶計算機/相應容器或OU/屬性/安全/高級/添加:“用戶”——“創建計算機對象”權限。如果找不到“安全”標籤,選中查看菜單下的高級功能。另外在操作上利用“委派控制”嚮導也可以。還有一點區別在於,由此創建的計算機帳戶,創建者即爲該計算機帳戶的所有者。而前面提到的那種用戶具有在“域中添加工作站”權利而創建的計算機帳戶的所有者爲:Domain Admins。
如果用戶既有在“域中添加工作站”的用戶權利,又有在容器/OU上的“創建計算機對象”權限,則所有者的結果將基於計算機容器/OU上的權限,即創建者即爲所有者。但注意不要拿管理員帳戶做這個實驗,因爲管理組成員創建的資源,所有者總是Administrators/Domain Admins這個組,而不是具體的哪個管理員用戶帳戶。
二、禁用/啓用計算機帳戶
如果計算機帳戶被禁用,會使使用那臺計算機的用戶由於“找不到計算機帳戶”而無法登錄到域,出錯提示爲:無法與域連接……,域控制器不可用……,找不到計算機帳戶……。
在域中需要有計算機帳戶是我們最前面提到的用戶登錄到域的兩個必備條件之一。解決辦法很簡單,由管理員啓用該計算機帳戶即可。可以用管理工具“AD用戶和計算機”,也可以使用03的Dsmod computer命令,該命令格式如下:
dsmod computer “cn=computername,cn=computers,dc=ms,dc=com” -disabled no
引號內爲標識名DN,若DN中不含空格,也可以不用引號。使用Dsmod user也可以禁用/啓用用戶帳戶,命令格式與此相同。
說明:手動禁用後,客戶機需要重啓纔不可登錄;啓用後,馬上即可登錄。
管理員禁用計算機帳戶,主要是基於安全考慮,如公司財務主管出差,爲了避免其它人使用該計算機登錄到財務的域,可將其計算機帳戶暫時禁用。再者就是域成員計算機正常脫離域,其計算機帳戶不會被馬上刪除,而是被禁用了。這個功能在2000上,大多數時候不好使;而在XP/03上,只要你在脫離域時,輸入正確的用戶名和密碼,帳戶是會被自動禁用的。再次加入時,會被自動啓用。
三、重設計算機帳戶
作爲域成員的每一個Windows 2000/XP/03工作站或服務器都與域控制器有一個離散的通訊通道,也叫安全通道。安全通道的密碼與計算機帳戶一道,儲存在所有的域控制器中。
對於 Windows 2000/XP/03,默認計算機帳戶密碼的更換週期爲 30 天。如果由於某種原因該計算機帳戶的密碼與 LSA 機密不同步,登錄時就會出現出錯提示:計算機帳戶丟失……。
解決辦法:這時就需要重設計算機帳戶,該計算機需要重新加入域。簡單地說就是重設的計算機帳戶相當於一個新的預建的計算機帳戶。
以上討論了NT/2000/03域中的計算機帳號,及常見與計算機帳戶相關故障的原因和解決辦法。不盡之處,請批評指正。
新增:加10臺計算機到域的設置是可以更改的。
1、運行03安裝光盤Support\Tools下的suptools.msi來安裝Windows支持工具
2、以域管理員身份登錄,開始/運行: adsiedit.msc
3、在域上/右鍵/屬性
4、找到ms-DS-MachineAccountQuota,默認等於10
5、根據需要進行修改,此設置項的數值決定了域驗證帳戶有權限加入計算機的數目。