将客户端计算机加入域前建立计算机账户的必要性

虽然几乎每天都在做将客户端加入到域的工作，但是最近突然对这个过程产生了疑惑并且=被困扰了几日。我们知道，用户想要登录到域，所用计算机（指xp/Win7）需要在该域或有信任关系的其它域中有一个计算机帐户（微软的教程上也是这么写的）。此外还需要有一个该域的域用户帐户。     在域中有计算机帐户，说明这台计算机台是域成员，它将受到域的组策略之计算机配置的限制。下面就计算机帐户问题，展开来讨论一下。 一、在域中新建计算机帐户 　　在NT4域时，加入到域需要有管理特权才行。所以微软有这样一个推荐原则：如果是小型网络，可以由管理员负责将所有计算机加入到域；如果是大型网络，管理员忙不过来，可以先在域控制器上预建计算机帐户，用户用相应的计算机名加入域即可。这样可以避免由于管理口令的外泄而带来的威胁。 　　从Windows 2000开始，微软作了改进：在Windows 2000/03域中，默认Authenticated Users可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组，也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。注意：同一台机器，多次退出再加入域，并不累计计数；并且还可以在组策略中将累计数复位。 　 这样的话我们还需要提前在AD中建立计算机账户吗？ 　　先来看一下为什么普通域用户能这样，在管理工具/域控制器安全策略/本地策略/安全设置/用户权利分配下：“域中添加工作站”的默认值为：Authenticated Users。 　　但假设管理员不想让普通域用户有能力将计算机加入到域，就可将这条策略的值更改为Administrators或Domain Admins，然后通过开始/运行：刷新计算机策略命令或重启DC使其生效。说明：在2000域下这个命令是secedit /refreshpolicy machine_policy /enforce；在03域下用gpupdate /target:computer，不加参数，直接运行gpupdate也可，只不过把用户策略也刷新了。 　　我们再进一步假设，管理员想实现张三（域用户名：z3），只能把张三自己所用的计算机（计算机名为cz3）加入域。那么管理员就可以通过预建计算机帐户，并且把“下列用户或组可以将此计算机加入到域”的默认值，由Domain Admins，改为z3。 　　预建计算机帐户还有一个目的就是通过计算机网卡的全程唯一标识符GUID实现RIS（远程安装服务）安装的预分级，这个问题大家可以上网搜搜。 　　加入域时常见的问题：用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。 　　这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。 　　另外，对于在活动目录AD的computers容器或其它OU上有“创建计算机对象”权限的用户，也可以在该域中创建计算机帐户，且不受10个的限制。操作：AD用户计算机/相应容器或OU/属性/安全/高级/添加：“用户”——“创建计算机对象”权限。如果找不到“安全”标签，选中查看菜单下的高级功能。另外在操作上利用“委派控制”向导也可以。还有一点区别在于，由此创建的计算机帐户，创建者即为该计算机帐户的所有者。而前面提到的那种用户具有在“域中添加工作站”权利而创建的计算机帐户的所有者为：Domain Admins。 　　如果用户既有在“域中添加工作站”的用户权利,又有在容器/OU上的“创建计算机对象”权限，则所有者的结果将基于计算机容器/OU上的权限，即创建者即为所有者。但注意不要拿管理员帐户做这个实验，因为管理组成员创建的资源，所有者总是Administrators/Domain Admins这个组，而不是具体的哪个管理员用户帐户。 二、禁用/ 启用计算机帐户 　　如果计算机帐户被禁用，会使使用那台计算机的用户由于“找不到计算机帐户”而无法登录到域，出错提示为：无法与域连接……，域控制器不可用……，找不到计算机帐户……。 　　在域中需要有计算机帐户是我们最前面提到的用户登录到域的两个必备条件之一。解决办法很简单，由管理员启用该计算机帐户即可。可以用管理工具“AD用户和计算机”，也可以使用03的Dsmod computer命令，该命令格式如下： 　　dsmod computer “cn=computername，cn=computers，dc=ms，dc=com” -disabled no 　　引号内为标识名DN，若DN中不含空格，也可以不用引号。使用Dsmod user也可以禁用/启用用户帐户，命令格式与此相同。 　　说明：手动禁用后，客户机需要重启才不可登录；启用后，马上即可登录。 　　管理员禁用计算机帐户，主要是基于安全考虑，如公司财务主管出差，为了避免其它人使用该计算机登录到财务的域，可将其计算机帐户暂时禁用。再者就是域成员计算机正常脱离域，其计算机帐户不会被马上删除，而是被禁用了。这个功能在2000上，大多数时候不好使；而在XP/03上，只要你在脱离域时，输入正确的用户名和密码，帐户是会被自动禁用的。再次加入时，会被自动启用。 三、重设计算机帐户 　　作为域成员的每一个Windows 2000/XP/03工作站或服务器都与域控制器有一个离散的通讯通道，也叫安全通道。安全通道的密码与计算机帐户一道，储存在所有的域控制器中。 　　对于 Windows 2000/XP/03，默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步，登录时就会出现出错提示：计算机帐户丢失……。 　　解决办法：这时就需要重设计算机帐户，该计算机需要重新加入域。简单地说就是重设的计算机帐户相当于一个新的预建的计算机帐户。 　　。