關於加入域的計算機名稱修改

    最近在作加入域的客戶端改名，因爲計算機數量衆多且較分散，經過IPSec連接的網絡並不穩定，更名退域而後加域，太過繁瑣耗時。

    對於加入域的計算機，默認狀況下，只有計算機域管理員級別的用戶才能更改，普通用戶沒法更更名稱；這種現象很明顯是權限致使。固然，普通用戶確定不能加入域管理員組，通常狀況下，普通用戶都已經分配有客戶端計算機的管理員權限。

    在計算機加入域的同時，會默認在AD的 Computers目錄下自動生成計算機帳戶。默認狀況下，域computers目錄的權限爲：通過認證的帳戶讀取權限，域管理員組 讀取、寫入、建立子對象。計算機名稱是計算機帳戶的一個屬性。由此可知，因爲普通用戶沒有計算機帳戶屬性值的寫入權限，而致使客戶端沒法更名。

    在客戶端部分，計算機的名稱信息存放客戶端操做系統的註冊表的Local Machine分區中。對於註冊表的結構分區中，普通用戶只能讀取Local Machine分區修改Local Users分區。因此在客戶端計算機的名稱修改過程當中，須要用戶有客戶端計算機的管理員權限。

    解決方法：1.確保用戶具備客戶端管理員權限。2.將AD用戶或用戶組添加對 Computers目錄的寫入權限，（並應用到此OU和全部子對象）。