测试
取消普通域用户帐号将计算机加入域的权限/授权特定普通域用户将计算机加入域
加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同。而退域,用任何帐号都可以。
默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。
可能的报错A:
就是第二种情况时,加域帐号不一致。
可能的报错B:
超过 MachineAccountQuota的数值。
取消普通域用户帐号将计算机加入域的权限
域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是Domain Users组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限
方法/步骤
图1 在域控制器DCServer上,以域管理员身份登录,单击“开始” 选择“程序” “管理工具” 打开“ADSI Edit”
图2 在打开的ADSI Edit 管理工具 右键 “DC=ess DC="com" 单击“属性”
3 在出现的DC=ess,DC=com 属性对话框,单击 ms-DS-MachineAccountQuota 单击 “编辑”
图4 在出现的整数属性编辑器对话框,将其值更改为0 单击“确定”
到这里就完毕了,这样普通用户就不能将计算机加入域了。会提示“访问拒绝”。admin无限制。
修改完毕不需要重新启动。即刻生效。
授权特定普通域用户将计算机加入域
进全局组策略修改。
这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新电脑加入域名。然而仍然有可能会报错B。(见文章开始部分)
所以这时候我们需要使用委派的技巧。
而普通的委派,可以从网络上搜索到,这种委派其实和组策略的方法是一致的,某种程度来说。在现实环境中仍然会报错B。(见文章开始部分)
要解决这个问题,需要如下操作。
进入控制台-AD用户和计算机,然后单击确定。
在任务窗格中,展开域节点。
找到并右键单击要修改的 OU,然后单击委派控制。
在委派控制向导,单击下一步。
单击添加到所选用户和组列表中,添加特定的用户或特定组,然后单击下一步。
在委派的任务页中,单击创建自定义任务去委派,然后单击下一步。
仅文件夹中的下列对象,请单击,然后从列表中,单击以选中计算机对象复选框。然后,选择下面的复选框列表,创建此文件夹中的所选的对象并删除此文件夹中的所选的对象。
单击下一步。
在权限列表中,单击以选中下列复选框:
重置密码
读取和写入帐户限制
已验证的 DNS 主机名的写入
已验证的写入到服务主体名称
单击下一步,然后单击完成。
关闭"活动目录用户和计算机"mmc 管理单元。
这样操作后,效果是
查看委派
在AD控制台里单击查看-高级功能打开
之后在当前域上单击右键-属性-安全,里面可以看到你委派的用户
删除可以在安全中直接删除。
https://support.microsoft.com/zh-cn/kb/932455
委派加入域后仍然无法加域仍然提示拒绝的解决方案
在基于 Microsoft Windows Server 2003 或基于 Windows Server 2008 的域控制器上,非管理员用户可能会遇到一个或多个以下症状:
若要添加或删除计算机上通过委派向导的组织单位 (OU) 的域对象的权限提供的特定用户或特定组后,用户无法添加的某些计算机到域。当用户尝试将计算机加入到域时,用户可能会收到以下错误消息:
访问被拒绝。
注意:管理员可以将计算机加入到域中未出现任何问题。
帐户操作员组的成员是谁或者谁已被委派的控制权的用户不能创建新用户帐户或本地登录时,或当他们登录到终端服务对域控制器重置密码。
当用户尝试重设密码时,他们可能会收到以下错误消息:
Windows 无法完成更改用户名的密码,因为: 访问被拒绝。
当用户尝试创建新用户帐户时,他们会收到以下错误消息:
不能因为没有足够的权限设置用户名的密码,Windows 将尝试禁用该帐户。如果此尝试失败,此帐户将成为安全隐患。请与管理员联系,尽快以修复此。此用户可以登录前,应该设置密码,并且必须启用该帐户。
原因
可能会出现这些症状,如果一个或多个下列条件都为真:
用户或组未被授予对计算机对象的重置密码权限。
注意:用户或组不能将计算机加入到域如果指定的用户或指定的组不具有的重设密码权限集的计算机对象。用户可以创建新的计算机帐户不具有该权限的域。但如果计算机帐户已经存在于 Active Directory,会收到"访问被拒绝"错误消息因为重置密码权限需要重置现有的计算机对象的计算机对象属性。
用户已被委派的控制权的帐户操作员组或帐户操作员组的成员。这些用户未被授予读取权限的内置 ou 中"Active Directory 用户和计算机。"
解决方案
用户无法将计算机加入到域
若要解决此问题的用户无法将计算机加入到域,请执行以下步骤:
单击开始,单击运行,键入dsa.msc,然后单击确定。
在任务窗格中,展开域节点。
找到并右键单击要修改的 OU,然后单击委派控制。
在委派控制向导,单击下一步。
单击添加到所选用户和组列表中,添加特定的用户或特定组,然后单击下一步。
在委派的任务页中,单击创建自定义任务去委派,然后单击下一步。
仅文件夹中的下列对象,请单击,然后从列表中,单击以选中计算机对象复选框。然后,选择下面的复选框列表,创建此文件夹中的所选的对象并删除此文件夹中的所选的对象。
单击下一步。
在权限列表中,单击以选中下列复选框:
重置密码
读取和写入帐户限制
已验证的 DNS 主机名的写入
已验证的写入到服务主体名称
单击下一步,然后单击完成。
关闭"活动目录用户和计算机"mmc 管理单元。
用户不能重置密码
若要解决此问题,用户不能重新设置密码,请执行以下步骤:
单击开始,单击运行,键入dsa.msc,然后单击确定。
在任务窗格中,展开域节点。
找到并右键单击内置,然后单击属性。
在内建的属性对话框中,单击安全选项卡。
在组或用户名称列表中,单击帐户操作员。
帐户操作员的权限,请单击以选中读取权限的允许复选框,然后单击确定。
注意:如果您想要使用一组或帐户操作员组以外的用户,则该组或用户重复步骤 5 和 6。
关闭"活动目录用户和计算机"mmc 管理单元。