域外用戶如何擁有讓其他電腦加域或退域的權(quán)限

佚名  ChinaUnix博客  2011-07-27

域的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合,，這樣在域內(nèi)的計(jì)算機(jī)就可以共享資源,，也便于系統(tǒng)管理員的操作管理。但是如何使一個不在這個域內(nèi)的普通用戶具有讓其他電腦加入該域的權(quán)限呢,？具體內(nèi)容如下所述,。

需求：

希望有一個公開的用戶(用戶名和密碼公開),這個用戶只有一個權(quán)限:可以讓別的電腦加入或退出域,而這個用戶不是隸屬于域管理員組也不能做別的任何操作。

實(shí)現(xiàn)：

默認(rèn)情況下,，在域控制器上經(jīng)過身份驗(yàn)證的用戶，有權(quán)限將計(jì)算機(jī)添加到域,，最多可以使得驗(yàn)證用戶在域中最多可創(chuàng)建10個計(jì)算機(jī)帳戶,。所以如果希望一個用戶能過無限次的加域的話，需要做一些設(shè)置：在默認(rèn)的域安全策略—安全設(shè)置—本地策略—用戶權(quán)限分配里的域中添加工作站里把你的用戶加到里面,，就可以讓別的電腦加入或退出域,。然后在里面有個拒絕本地登陸，你把這個賬號添進(jìn)去就可以不能登入客戶機(jī)，也就做不了什么操作,。

問題：

按照次操作試驗(yàn)時,，把一臺已經(jīng)加域的計(jì)算機(jī)退域重新加入的時候提示“拒絕訪問”。但是如果用一臺未加過域的電腦加入時就沒有這個問題,。后查文檔得知“您正用于加入過程的域用戶帳戶只有“向域添加工作站”的權(quán)限,。因此，在替換之前舊的計(jì)算機(jī)帳戶被刪除,，客戶機(jī)使用尚未復(fù)制此帳戶刪除的“輕量級目錄訪問協(xié)議”(LDAP)服務(wù)器或域控制器,，但是沒有修改仍保留的帳戶的正確權(quán)限?！币簿驼f以前的這個計(jì)算機(jī)還保存在AD中,，但普通用戶沒辦法更改。這也就是為什么這個時候管理員可以但普通用戶不行的原因,。

解決：

轉(zhuǎn)：當(dāng)計(jì)算機(jī)加入域時出現(xiàn)“拒絕訪問”錯誤消息http://support.microsoft.com/kb/330095/zh-cn

要變通解決此問題,，可使用下列任一方法：

·使用另外一個計(jì)算機(jī)名稱。

·等待ActiveDirectory進(jìn)行復(fù)制,，或使用以下命令強(qiáng)制進(jìn)行復(fù)制：repadmin/syncDomainDN目標(biāo)DSAGUID._msdcs源DSAGUID/force

·在加入過程中使用域管理員帳戶,。

·向您正在使用的帳戶授予附加權(quán)限：

1.啟動Adsiedit.msc。

2.打開“DomainNC,DC=域,CN=Computers”節(jié)點(diǎn),。

3.單擊“計(jì)算機(jī)”,，然后單擊“屬性”。

4.在“安全”選項(xiàng)卡上,，單擊“高級”,。

5.單擊“添加”，然后單擊適當(dāng)?shù)挠脩魩艋蚪M,。

6.在“應(yīng)用到”框中,，單擊“計(jì)算機(jī)對象”。

7.在“權(quán)限”窗格中,，單擊以選中“寫入所有屬性”,、“重設(shè)密碼”和“將這些權(quán)限只應(yīng)用到這個容器中的對象和/或容器上”復(fù)選框。

8.單擊“確定”,，直到做出更改,。

9.等待ActiveDirectory進(jìn)行復(fù)制，或強(qiáng)制進(jìn)行同步,。

一般而言,，任何一個域帳戶都有權(quán)限將計(jì)算機(jī)加入域，雖然最多只能加10臺計(jì)算機(jī),。但是這樣會給系統(tǒng)的安全帶來不穩(wěn)定的因素

下面就來說明下如何進(jìn)行限制

方法1：去掉普通權(quán)限可以加入域的計(jì)算機(jī)個數(shù)

在DC上面安裝SupportTools工具,，開始--運(yùn)行，輸入“adsiedit.msc”，在彈出窗口中展開“Domain[xxxxxx]”,，定位到“DC=xxxxx”,，右鍵選擇“屬性”，在彈出的屬性窗口中找到“ms-DS-MachineAccountQuota”,，雙擊編輯將默認(rèn)值“10”更改為“0”（默認(rèn)情況所有用戶都可以將10臺計(jì)算機(jī)加入域）,，更改之后默認(rèn)用戶就沒有權(quán)限進(jìn)行將計(jì)算機(jī)加入域的操作，不影響域管理員將計(jì)算機(jī)加入域的操作,。

方法2：設(shè)定具有將工作站加入域的用戶組

在域策略中,，進(jìn)行如下設(shè)置，刪除掉默認(rèn)的地用戶組authenticatedusers,，然后添加需要具有權(quán)限的用戶或者用戶組,。

希望本文介紹的使域外用戶擁有讓其他電腦加域或退域的權(quán)限的方法能夠?qū)ψx者有所幫助。