【AD】取消普通域用户账号加域权限&受权特定普通域用户加域权 .

 【AD】取消普通域用户账号加域权限&受权特定普通域用户加域权 ...  [复制连接]

发表于 2015-11-13 13:04 | 来自  51CTO网页

[只看他] 楼主

一般来讲，没有作什么特别的设定的话，都是手动加域，且使用的是管理员账号，这种状况下是有风险的，容易被人记忆密码。因此，若是能够设置一个普通用户账号，专门用来执行加域操做，就会下降此类风险。其实默认状况下，域每个普通账号均可以将10台电脑加入域内，这是一个很大的隐患。估计不少人都没有试过吧。


加域分两种，一种是将新电脑加入域内，一种是将已经加入过域的电脑，由于故障没法登陆域或手动退域，原计算机账号仍在的状况下加入域创建链接。第二种状况又分上次加域使用的账号和当前加域使用的账号是否相同且权限是否一致。而退域，用任何账号均可以。

下面错误只在本文范畴内，不讨论其余状况。
加域可能的报错A：
 

就是第二种状况时，加域账号（权限）不一致。
可能的报错B：

 
超过普通用户将电脑加域的数值。

取消普通域用户账号将计算机加入域的权限
域环境，默认普通用户默认能将10台计算机加入到域，若是在考虑到安全因素，须要更改默认设置。通常域内创建的用户默认都是Domain Users组里的，下面将介绍如何取消普通域用户账号将计算机加入域的权限
方法/步骤
一、在PDC上单击“开始” -“全部程序”- “管理工具” 打开“ADSI 编辑器”
 


二、在打开的ADSI编辑器右击-“链接到”-点击肯定。
      右键 “DC=xxx DC="com"  单击“属性”
 


3 、找到“ ms-DS-MachineAccountQuota” ，将其数值由默认的10改为0
 


这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B（见文章开始部分）。
修改完毕不须要从新启动。即刻生效。

受权特定普通域用户将计算机加入域
进全局组策略修改。


这种状况下，此账号的确能够在MachineAccountQuota=0的状况下将新电脑加入域名。然而仍然有可能会报错A。（见文章开始部分）

因此这时候咱们须要使用委派的技巧。
而普通的委派，网络上搜索到的，其实和组策略的方法是一致的，某种程度来讲。在现实环境中仍然会报错A。（见文章开始部分）
要解决这个问题，须要以下操做。
进入控制台-AD用户和计算机，右击域-选择委派控制。

 

 
 
下面要添加的有--
重置密码
读取和写入账户限制
已验证的 DNS 主机名的写入
已验证的写入到服务主体名称

 
这样，这个账号就能够做为专用的加域普通账号用了。
一样是即刻生效。

查看委派
在AD控制台里单击查看-高级功能打开以后在当前域上单击右键-属性-安全，里面能够看到你委派的用户
 

删除能够直接在上面删除。