禁用domain users组账号将计算机加入域

      熟悉AD域的朋友都知道普通domain users组用户都有将10台计算机加入域的权限，这就意味着用户有可能会将单位之外的移动电脑带入公司加入到域的可能，进而访问公司内部网络资源，在一些安全要求极高的企业是绝对不允许的，存在较高的安全风险，所以必须禁止普通domain users组有加域的权限（当然如果你公司对安全要求不高的话不禁止也无妨），然后建立专用加域账号。

首先：禁用普通domain users组有加域的权限。（域管理员账号不受此限制。）

1.运行里输入adsiedit.msc。或者在输入mmc打开控制台，在控制台李添加adsiedit。（如果提示找不到这个命令是因为你没有安装Support Tools，在2003系统安装光盘上可以找到X:\win2003\SUPPORT\TOOLS）.

2.打开后依次展开图中所标记的红圈。右键选择DC=yunwei,DC=cc,DC=cmb的属性。再次找到ms-DC-MachineAccountQuota。将其默认的10改为0即可。

3.我们这里创建两个测试账号test1和test2。

 

4.客户端登陆：分别用test1和test2账号测试。

 

 

其次：授权并指定专用的加域账号权限。这里我们指定domain users组里的test1账号。

1.默认所有客户端计算机账户加入域时都自动加入到默认的Computers目录中，这里对Computers授权。

 

2.选择高级功能

 

3.右击Computer—属性—安全—高级—添加—选择域账号“test1”

 

4.设置test1账号权限：应用到里选择：这个对象及全部子对象；权限里选择：创建计算机对象。

 

5.客户端登陆test1登陆：

 

 

 至此完成所有设置。