计算机加入到域的注意事项

从Windows NT引入“域（Domain）”概念以后，到Windows 2000将域更名为Active Directory，直到如今的Windows Server 2012 R2，Microsoft仍然在使用Active Directory这一名词。如今许多单位已经习惯了使用Active Directory管理单位网络。在此将在使用Active Directory的一些问题整理出来，供你们分享。

1 计算机更名并加入到域的问题

在操做系统安装的时候，会自动建立一个计算机名称，例如a-d8636as237766之类，而在加入到域以前，你们习惯于将计算机名称改成本身的名称，或者符合单位命名规则名称。如今用的工做站操做系统主要有Windows XP、Windows 7及Windows 8.1，对于这些不一样的计算机，是否支持在更名并同时加入域，是有要求的。

（1）对于Windows XP操做系统来讲，若是须要更名加入Active Directory，请在修改计算机名称以后，从新启动操做系统，等再次进入系统后，再次加入到Active Directory，以后再次重启计算机。这样须要从新启动两次才能完成。若是更名的同时加入Active Directory，有可能出现错误，如图1所示。

【说明】若是Windows XP操做系统计算机，更改的名称在Active Directory中不存在（没有在域中使用过），则能够在加入到域的时候同时更名，但若是改的名称之前使用过，则会出错。

（2）对于Windows Vista及其以后的系统来讲，能够在加入到Active Directory的同时更名，不会出现错误，而且该计算机会以更名后的名称使用。

图1 使用旧名称加入到域

2 ghost的系统须要从新生成SID

若是Windows XP是ghost的，则须要运行sysprep或者使用newsid从新生成SID，才能加入到域。在使用newsid生成新的SID的同时，能够修改计算机名称，如图2所示。

图2使用NewSID更改计算机名称

sysprep程序是在Windows XP或Windows Server 2003安装光盘中，newsid能够从Microsoft网站下载（下载地址：http://technet.microsoft.com/zh-cn/sysinternals/bb897418(en-us).aspx）。

若是是Windows 7及其之后的系统，已经内置了sysprep程序，执行sysprep /generalize便可从新生成SID（如图3所示），以后更名加入到域便可。

图3 从新生成SID

3普通用户将计算机加入到域的数量上限是10

另外，在将计算机加入到域的时候，若是你“委派”了一个普通的域用户，授予这个用户具备“将计算机加入到域”的权限，则这个普通的域用户，默认只能将10台具备不一样的计算机加入到域，当超过10台时，将会弹出“您的计算机没法加入到域，已超出此域所容许建立的计算机账户的最大值”，如图4所示。

图4

对于这个问题，可能在Active Directory域控制器上，使用adsiedit.msc工具修改。

（1）在域控制器中，以域管理员账户，打开“运行”，键入adsiedit.msc，如图5所示。

图5支持adsiedit.msc

（2）打开“ADSI编辑器”后，右击“ADSI编辑器”，选择“链接到”，在弹出的对话框中使用默认设置而后单击“肯定”按钮，如图6所示。

图6链接到默认域

（3）在链接到本地域控制器后，右击域名，在弹出的快捷菜单中选择“属性”，如图7所示。

图7属性

（4）打开域属性以后，找到ms-DS-MachineAccountQuota，能够看到，其默认值为10，这表示普通域用户将计算机加入到域的上限数是10，如图8所示。

图10加入到域上限数目限制

这在通常状况下已经足够了。若是你须要禁止普通的域用户（非域管理员账户）将计算机加入到域，能够将默认值10改成0，这样普通的域用户就没有权限将计算机加入到域了。若是你感受到10这个数目不够，能够将这个数值改大，其上限是多少在Microsoft官方资料没有查到，但你修改到65535应该足够用了，如图11所示。

图11修改上限

（5）修改以后，单击“肯定”按钮，完成修改，如图12所示。

图12完成修改