域外用戶如何擁有讓其他電腦加域或退域的權限
域的真正含義指的是服務器控制網絡上的計算機能否加入的計算機組合,這樣在域內的計算機就可以共享資源,也便于系統管理員的操作管理。但是如何使一個不在這個域內的普通用戶具有讓其他電腦加入該域的權限呢?具體內容如下所述。
需求:
希望有一個公開的用戶(用戶名和密碼公開),這個用戶只有一個權限:可以讓別的電腦加入或退出域,而這個用戶不是隸屬于域管理員組也不能做別的任何操作。
實現:
默認情況下,在域控制器上經過身份驗證的用戶,有權限將計算機添加到域,最多可以使得驗證用戶在域中最多可創建10個計算機帳戶。所以如果希望一個用戶能過無限次的加域的話,需要做一些設置:在默認的域安全策略—安全設置—本地策略—用戶權限分配里的域中添加工作站里把你的用戶加到里面,就可以讓別的電腦加入或退出域。然后在里面有個拒絕本地登陸,你把這個帳號添進去就可以不能登入客戶機,也就做不了什么操作。
問題:
按照次操作試驗時,把一臺已經加域的計算機退域重新加入的時候提示“拒絕訪問”。但是如果用一臺未加過域的電腦加入時就沒有這個問題。后查文檔得知“您正用于加入過程的域用戶帳戶只有“向域添加工作站”的權限。因此,在替換之前舊的計算機帳戶被刪除,客戶機使用尚未復制此帳戶刪除的“輕量級目錄訪問協議”(LDAP)服務器或域控制器,但是沒有修改仍保留的帳戶的正確權限。”也就說以前的這個計算機還保存在AD中,但普通用戶沒辦法更改。這也就是為什么這個時候管理員可以但普通用戶不行的原因。
解決:
轉:當計算機加入域時出現“拒絕訪問”錯誤消息http://support.microsoft.com/kb/330095/zh-cn
要變通解決此問題,可使用下列任一方法:
•使用另外一個計算機名稱。
•等待ActiveDirectory進行復制,或使用以下命令強制進行復制:repadmin/syncDomainDN目標DSAGUID._msdcs源DSAGUID/force
•在加入過程中使用域管理員帳戶。
•向您正在使用的帳戶授予附加權限:
1.啟動Adsiedit.msc。
2.打開“DomainNC,DC=域,CN=Computers”節點。
3.單擊“計算機”,然后單擊“屬性”。
4.在“安全”選項卡上,單擊“高級”。
5.單擊“添加”,然后單擊適當的用戶帳戶或組。
6.在“應用到”框中,單擊“計算機對象”。
7.在“權限”窗格中,單擊以選中“寫入所有屬性”、“重設密碼”和“將這些權限只應用到這個容器中的對象和/或容器上”復選框。
8.單擊“確定”,直到做出更改。
9.等待ActiveDirectory進行復制,或強制進行同步。
一般而言,任何一個域帳戶都有權限將計算機加入域,雖然最多只能加10臺計算機。但是這樣會給系統的安全帶來不穩定的因素
下面就來說明下如何進行限制
方法1:去掉普通權限可以加入域的計算機個數
在DC上面安裝SupportTools工具,開始--運行,輸入“adsiedit.msc”,在彈出窗口中展開“Domain[xxxxxx]”,定位到“DC=xxxxx”,右鍵選擇“屬性”,在彈出的屬性窗口中找到“ms-DS-MachineAccountQuota”,雙擊編輯將默認值“10”更改為“0”(默認情況所有用戶都可以將10臺計算機加入域),更改之后默認用戶就沒有權限進行將計算機加入域的操作,不影響域管理員將計算機加入域的操作。
方法2:設定具有將工作站加入域的用戶組
在域策略中,進行如下設置,刪除掉默認的地用戶組authenticatedusers,然后添加需要具有權限的用戶或者用戶組。
希望本文介紹的使域外用戶擁有讓其他電腦加域或退域的權限的方法能夠對讀者有所幫助。
【編輯推薦】
