普通用户加入域的权限问题。我现在想使用一个普通的域用户,让他能够有无数次加入域的权限,并不限于10次加入域的次数,请问有什么好的方法可以实现呢?然后禁用其他所有域用户加入域的权限,请问又如何实现比较好。

回答:根据您描述,您想知道如何让一个用户拥有大于默认10次把计算机加入域的权限。我们可以通过以下方法来实现这个目的:

1、打开组策略编辑器,双击默认域控制器策略

2、展开找到如下策略:
计算机配置 | Windows设置 | 安全设置 | 本地策略 | 用户权限分配 | 将工作站添加到域

3、双击该策略,将其中的authenticated users移除,然后将相应用户的账号添加进去。

上面这些操作,是用来设置有权将默认10台计算机加入的域的权限。然后,我们需要去修改,默认10次这个限制:您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

  1. 以域的管理员身份运行 Adsiedit.msc。
  2. 展开域 NC 节点。此节点包含开头的对象"DC =",反映了正确的域名。右键单击此对象,然后单击 属性。

  3. 在 选择要查看的属性 框单击 两者。
  4. 在 选择要查看属性 框单击 ms-DS-MachineAccountQuota。

  5. 在 编辑属性 框中键入一个数字。此数值表示所需的用户可以同时维护的工作站的数量。
  6. 单击 设置,,然后再单击 确定。

如果你需要设置单独用户拥有此权限,您可以用下面这个步骤来授予这个特定用户能创建计算机对象的权限:

  1. 从 Active Directory 用户和计算机管理单元中,单击在 视图 菜单上 高级功能,以便当您单击 属性 时公开的 安全 选项卡。
  2. 用鼠标右键单击 计算机 容器,然后单击 属性。

  3. 在 安全 选项卡上单击 高级。
  4. 在 权限 选项卡上单击 已验证用户,然后单击 查看/编辑。

注: 如果未列出通过身份验证的用户组,则单击 添加,并将其添加到列表中的权限项。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

  1. 请确保在 应用到 框中显示 这个对象及所有子对象 选项。
  2. 权限 框中单击以选中 创建计算机对象 和 删除计算机对象 ACE旁边的 允许 复选框,然后单击 确定。