【AD】取消普通域用戶賬號加域權限&受權特定普通域用戶加域權 .

 【AD】取消普通域用戶賬號加域權限&受權特定普通域用戶加域權 ...  [複製連接]

發表於 2015-11-13 13:04 | 來自  51CTO網頁

[只看他] 樓主

一般來講，沒有作什麼特別的設定的話，都是手動加域，且使用的是管理員賬號，這種狀況下是有風險的，容易被人記憶密碼。因此，若是能夠設置一個普通用戶賬號，專門用來執行加域操做，就會下降此類風險。其實默認狀況下，域每個普通賬號均可以將10臺電腦加入域內，這是一個很大的隱患。估計不少人都沒有試過吧。


加域分兩種，一種是將新電腦加入域內，一種是將已經加入過域的電腦，由於故障沒法登陸域或手動退域，原計算機賬號仍在的狀況下加入域創建鏈接。第二種狀況又分上次加域使用的賬號和當前加域使用的賬號是否相同且權限是否一致。而退域，用任何賬號均可以。

下面錯誤只在本文範疇內，不討論其餘狀況。
加域可能的報錯A：
 

就是第二種狀況時，加域賬號（權限）不一致。
可能的報錯B：

 
超過普通用戶將電腦加域的數值。

取消普通域用戶賬號將計算機加入域的權限
域環境，默認普通用戶默認能將10臺計算機加入到域，若是在考慮到安全因素，須要更改默認設置。通常域內創建的用戶默認都是Domain Users組裏的，下面將介紹如何取消普通域用戶賬號將計算機加入域的權限
方法/步驟
一、在PDC上單擊「開始」 -「全部程序」- 「管理工具」 打開「ADSI 編輯器」
 


二、在打開的ADSI編輯器右擊-「鏈接到」-點擊肯定。
      右鍵 「DC=xxx DC="com"  單擊「屬性」
 


3 、找到「 ms-DS-MachineAccountQuota」 ，將其數值由默認的10改爲0
 


這樣普通用戶就不能將新電腦計算機加入域了。XP會提示「訪問拒絕」,Win7會提示錯誤B（見文章開始部分）。
修改完畢不須要從新啓動。即刻生效。

受權特定普通域用戶將計算機加入域
進全局組策略修改。


這種狀況下，此賬號的確能夠在MachineAccountQuota=0的狀況下將新電腦加入域名。然而仍然有可能會報錯A。（見文章開始部分）

因此這時候咱們須要使用委派的技巧。
而普通的委派，網絡上搜索到的，其實和組策略的方法是一致的，某種程度來講。在現實環境中仍然會報錯A。（見文章開始部分）
要解決這個問題，須要以下操做。
進入控制檯-AD用戶和計算機，右擊域-選擇委派控制。

 

 
 
下面要添加的有--
重置密碼
讀取和寫入賬戶限制
已驗證的 DNS 主機名的寫入
已驗證的寫入到服務主體名稱

 
這樣，這個賬號就能夠做爲專用的加域普通賬號用了。
一樣是即刻生效。

查看委派
在AD控制檯裏單擊查看-高級功能打開以後在當前域上單擊右鍵-屬性-安全，裏面能夠看到你委派的用戶
 

刪除能夠直接在上面刪除。