普通用戶加入域的權限問題。我現在想使用一個普通的域用戶,讓他能夠有無數次加入域的權限,並不限於10次加入域的次數,請問有什麼好的方法可以實現呢?然後禁用其他所有域用戶加入域的權限,請問又如何實現比較好。
回答:根據您描述,您想知道如何讓一個用戶擁有大於默認10次把計算機加入域的權限。我們可以通過以下方法來實現這個目的:
1、打開組策略編輯器,雙擊默認域控制器策略
2、展開找到如下策略:
計算機配置 | Windows設置 | 安全設置 | 本地策略 | 用戶權限分配 | 將工作站添加到域
3、雙擊該策略,將其中的authenticated users移除,然後將相應用戶的賬號添加進去。
上面這些操作,是用來設置有權將默認10臺計算機加入的域的權限。然後,我們需要去修改,默認10次這個限制:您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-1
- 以域的管理員身份運行 Adsiedit.msc。
-
展開域 NC 節點。此節點包含開頭的對象"DC =",反映了正確的域名。右鍵單擊此對象,然後單擊 屬性。
- 在 選擇要查看的屬性 框單擊 兩者。
-
在 選擇要查看屬性 框單擊 ms-DS-MachineAccountQuota。
- 在 編輯屬性 框中鍵入一個數字。此數值表示所需的用戶可以同時維護的工作站的數量。
- 單擊 設置,,然後再單擊 確定。
如果你需要設置單獨用戶擁有此權限,您可以用下面這個步驟來授予這個特定用戶能創建計算機對象的權限:
- 從 Active Directory 用戶和計算機管理單元中,單擊在 視圖 菜單上 高級功能,以便當您單擊 屬性 時公開的 安全 選項卡。
-
用鼠標右鍵單擊 計算機 容器,然後單擊 屬性。
- 在 安全 選項卡上單擊 高級。
- 在 權限 選項卡上單擊 已驗證用戶,然後單擊 查看/編輯。
注: 如果未列出通過身份驗證的用戶組,則單擊 添加,並將其添加到列表中的權限項。您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-1
- 請確保在 應用到 框中顯示 這個對象及所有子對象 選項。
- 權限 框中單擊以選中 創建計算機對象 和 刪除計算機對象 ACE旁邊的 允許 複選框,然後單擊 確定。