通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码。所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险。其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。估计很多人都没有试过吧。
加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一致。而退域,用任何帐号都可以。
下面错误只在本文范畴内,不讨论其他情况。
加域可能的报错A:
第二种情况,加域帐号(权限)不一致。
可能的报错B:
超过普通用户将电脑加域的数值。
取消普通域用户帐号将计算机加入域的权限
域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是Domain Users组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限
方法/步骤
1、在PDC上单击“开始” -“所有程序”- “管理工具” 打开“ADSI 编辑器”
2、在打开的ADSI编辑器右击-“连接到”-点击确定。
右键 “DC=xxx DC="com" 单击“属性”
3 、找到“ ms-DS-MachineAccountQuota” ,将其数值由默认的10改成0
这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B(见文章开始部分)。
修改完毕不需要重新启动。即刻生效。
授权特定普通域用户将计算机加入域
进全局组策略修改。
这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新电脑加入域名。然而仍然有可能会报错A。(见文章开始部分)
所以这时候我们需要使用委派的技巧。
而普通的委派,网络上搜索到的,其实和组策略的方法是一致的,某种程度来说。在现实环境中仍然会报错A。(见文章开始部分)
要解决这个问题,需要如下操作。
进入控制台-AD用户和计算机,右击域-选择委派控制。
下面要添加的有--
重置密码
读取和写入帐户限制
已验证的 DNS 主机名的写入
已验证的写入到服务主体名称
这样,这个帐号就可以作为专用的加域普通帐号用了。
同样是即刻生效。
查看委派
在AD控制台里单击查看-高级功能打开之后在当前域上单击右键-属性-安全,里面可以看到你委派的用户
删除可以直接在上面删除。