从Windows NT引入“域(Domain)”概念之后,到Windows 2000将域改名为Active Directory,直到现在的Windows Server 2012 R2,Microsoft仍然在使用Active Directory这一名词。现在许多单位已经习惯了使用Active Directory管理单位网络。在此将在使用Active Directory的一些问题整理出来,供大家分享。

1 计算机改名并加入到域的问题

在操作系统安装的时候,会自动创建一个计算机名称,例如a-d8636as237766之类,而在加入到域之前,大家习惯于将计算机名称改为自己的名称,或者符合单位命名规则名称。现在用的工作站操作系统主要有Windows XP、Windows 7及Windows 8.1,对于这些不同的计算机,是否支持在改名并同时加入域,是有要求的。

(1)对于Windows XP操作系统来说,如果需要改名加入Active Directory,请在修改计算机名称之后,重新启动操作系统,等再次进入系统后,再次加入到Active Directory,之后再次重启计算机。这样需要重新启动两次才能完成。如果改名的同时加入Active Directory,有可能出现错误,如图1所示。

【说明】如果Windows XP操作系统计算机,更改的名称在Active Directory中不存在(没有在域中使用过),则可以在加入到域的时候同时改名,但如果改的名称以前使用过,则会出错。

(2)对于Windows Vista及其之后的系统来说,可以在加入到Active Directory的同时改名,不会出现错误,并且该计算机会以改名后的名称使用。

计算机加入到域的注意事项_第1张图片

图1 使用旧名称加入到域

2 ghost的系统需要重新生成SID

如果Windows XP是ghost的,则需要运行sysprep或者使用newsid重新生成SID,才能加入到域。在使用newsid生成新的SID的同时,可以修改计算机名称,如图2所示。

计算机加入到域的注意事项_第2张图片

图2使用NewSID更改计算机名称

sysprep程序是在Windows XP或Windows Server 2003安装光盘中,newsid可以从Microsoft网站下载(下载地址:http://technet.microsoft.com/zh-cn/sysinternals/bb897418(en-us).aspx)。

如果是Windows 7及其以后的系统,已经内置了sysprep程序,执行sysprep /generalize即可重新生成SID(如图3所示),之后改名加入到域即可。

计算机加入到域的注意事项_第3张图片

图3 重新生成SID

3普通用户将计算机加入到域的数量上限是10

另外,在将计算机加入到域的时候,如果你“委派”了一个普通的域用户,授予这个用户具有“将计算机加入到域”的权限,则这个普通的域用户,默认只能将10台具有不同的计算机加入到域,当超过10台时,将会弹出“您的计算机无法加入到域,已超出此域所允许创建的计算机帐户的最大值”,如图4所示。

计算机加入到域的注意事项_第4张图片

图4

对于这个问题,可能在Active Directory域控制器上,使用adsiedit.msc工具修改。

(1)在域控制器中,以域管理员帐户,打开“运行”,键入adsiedit.msc,如图5所示。

计算机加入到域的注意事项_第5张图片

图5支持adsiedit.msc

(2)打开“ADSI编辑器”后,右击“ADSI编辑器”,选择“连接到”,在弹出的对话框中使用默认设置然后单击“确定”按钮,如图6所示。

计算机加入到域的注意事项_第6张图片

图6连接到默认域

(3)在连接到本地域控制器后,右击域名,在弹出的快捷菜单中选择“属性”,如图7所示。

计算机加入到域的注意事项_第7张图片

图7属性

(4)打开域属性之后,找到ms-DS-MachineAccountQuota,可以看到,其默认值为10,这表示普通域用户将计算机加入到域的上限数是10,如图8所示。

计算机加入到域的注意事项_第8张图片

图10加入到域上限数目限制

这在一般情况下已经足够了。如果你需要禁止普通的域用户(非域管理员帐户)将计算机加入到域,可以将默认值10改为0,这样普通的域用户就没有权限将计算机加入到域了。如果你感觉到10这个数目不够,可以将这个数值改大,其上限是多少在Microsoft官方资料没有查到,但你修改到65535应该足够用了,如图11所示。

计算机加入到域的注意事项_第9张图片

图11修改上限

(5)修改之后,单击“确定”按钮,完成修改,如图12所示。

计算机加入到域的注意事项_第10张图片

图12完成修改