計算機加入到域的注意事項

從Windows NT引入「域（Domain）」概念以後，到Windows 2000將域更名爲Active Directory，直到如今的Windows Server 2012 R2，Microsoft仍然在使用Active Directory這一名詞。如今許多單位已經習慣了使用Active Directory管理單位網絡。在此將在使用Active Directory的一些問題整理出來，供你們分享。

1 計算機更名並加入到域的問題

在操做系統安裝的時候，會自動建立一個計算機名稱，例如a-d8636as237766之類，而在加入到域以前，你們習慣於將計算機名稱改成本身的名稱，或者符合單位命名規則名稱。如今用的工做站操做系統主要有Windows XP、Windows 7及Windows 8.1，對於這些不一樣的計算機，是否支持在更名並同時加入域，是有要求的。

（1）對於Windows XP操做系統來講，若是須要更名加入Active Directory，請在修改計算機名稱以後，從新啓動操做系統，等再次進入系統後，再次加入到Active Directory，以後再次重啓計算機。這樣須要從新啓動兩次才能完成。若是更名的同時加入Active Directory，有可能出現錯誤，如圖1所示。

【說明】若是Windows XP操做系統計算機，更改的名稱在Active Directory中不存在（沒有在域中使用過），則能夠在加入到域的時候同時更名，但若是改的名稱之前使用過，則會出錯。

（2）對於Windows Vista及其以後的系統來講，能夠在加入到Active Directory的同時更名，不會出現錯誤，而且該計算機會以更名後的名稱使用。

圖1 使用舊名稱加入到域

2 ghost的系統須要從新生成SID

若是Windows XP是ghost的，則須要運行sysprep或者使用newsid從新生成SID，才能加入到域。在使用newsid生成新的SID的同時，能夠修改計算機名稱，如圖2所示。

圖2使用NewSID更改計算機名稱

sysprep程序是在Windows XP或Windows Server 2003安裝光盤中，newsid能夠從Microsoft網站下載（下載地址：http://technet.microsoft.com/zh-cn/sysinternals/bb897418(en-us).aspx）。

若是是Windows 7及其之後的系統，已經內置了sysprep程序，執行sysprep /generalize便可從新生成SID（如圖3所示），以後更名加入到域便可。

圖3 從新生成SID

3普通用戶將計算機加入到域的數量上限是10

另外，在將計算機加入到域的時候，若是你「委派」了一個普通的域用戶，授予這個用戶具備「將計算機加入到域」的權限，則這個普通的域用戶，默認只能將10臺具備不一樣的計算機加入到域，當超過10臺時，將會彈出「您的計算機沒法加入到域，已超出此域所容許建立的計算機賬戶的最大值」，如圖4所示。

圖4

對於這個問題，可能在Active Directory域控制器上，使用adsiedit.msc工具修改。

（1）在域控制器中，以域管理員賬戶，打開「運行」，鍵入adsiedit.msc，如圖5所示。

圖5支持adsiedit.msc

（2）打開「ADSI編輯器」後，右擊「ADSI編輯器」，選擇「鏈接到」，在彈出的對話框中使用默認設置而後單擊「肯定」按鈕，如圖6所示。

圖6鏈接到默認域

（3）在鏈接到本地域控制器後，右擊域名，在彈出的快捷菜單中選擇「屬性」，如圖7所示。

圖7屬性

（4）打開域屬性以後，找到ms-DS-MachineAccountQuota，能夠看到，其默認值爲10，這表示普通域用戶將計算機加入到域的上限數是10，如圖8所示。

圖10加入到域上限數目限制

這在通常狀況下已經足夠了。若是你須要禁止普通的域用戶（非域管理員賬戶）將計算機加入到域，能夠將默認值10改成0，這樣普通的域用戶就沒有權限將計算機加入到域了。若是你感受到10這個數目不夠，能夠將這個數值改大，其上限是多少在Microsoft官方資料沒有查到，但你修改到65535應該足夠用了，如圖11所示。

圖11修改上限

（5）修改以後，單擊「肯定」按鈕，完成修改，如圖12所示。

圖12完成修改