本文介绍了如何创建一个仅能加域的普通用户,并解决加域时遇到的'拒绝访问'问题。通过调整域安全策略和使用Adsiedit.msc工具,可以限制用户加域数量并设定特定用户组的加域权限。同时,文中提供了变通解决方案和相关故障排除方法。
需求:
希望有一个公开的用户(),:,
实现:
默认情况下,在域控制器上经过身份验证的用户,有权限将计算机添加到域,最多可以使得验证用户在域中最多可创建 10 个计算机帐户。所以如果希望一个用户能过无限次的加域的话,需要做一些设置:在默认的域安全策略—安全设置—本地策略—用户权限分配里的域中添加工作站里把你的用户加到里面,就可以让别的电脑加入或退出域。然后在里面有个拒绝本地登陆,你把这个帐号添进去就可以不能登入客户机,也就做不了什么操作。
问题:
按照次操作试验时,把一台已经加域的计算机退域重新加入的时候提示“拒绝访问”。但是如果用一台未加过域的电脑加入时就没有这个问题。后查文档得知“您正用于加入过程的域用户帐户只有“向域添加工作站”的权限。因此,在替换之前旧的计算机帐户被删除,客户机使用尚未复制此帐户删除的“轻量级目录访问协议”(LDAP) 服务器或域控制器,但是没有修改仍保留的帐户的正确权限。”也就说以前的这个计算机还保存在AD中,但普通用户没办法更改。这也就是为什么这个时候管理员可以但普通用户不行的原因。
解决:
转:当计算机加入域时出现“拒绝访问”错误消息http://support.microsoft.com/kb/330095/zh-cn
要变通解决此问题,可使用下列任一方法:
• 使用另外一个计算机名称。
• 等待 Active Directory 进行复制,或使用以下命令强制进行复制: repadmin /sync DomainDN目标 DSA GUID._msdcs 源 DSA GUID /force
• 在加入过程中使用域管理员帐户。
• 向您正在使用的帐户授予附加权限:
1. 启动 Adsiedit.msc。
2. 打开“Domain NC, DC=域, CN=Computers”节点。
3. 单击“计算机”,然后单击“属性”。
4. 在“安全”选项卡上,单击“高级”。
5. 单击“添加”,然后单击适当的用户帐户或组。
6. 在“应用到”框中,单击“计算机对象”。
7. 在“权限”窗格中,单击以选中“写入所有属性”、“重设密码”和“将这些权限只应用到这个容器中的对象和/或容器上”复选框。
8. 单击“确定”,直到做出更改。
9. 等待 Active Directory 进行复制,或强制进行同步。
一般而言,任何一个域帐户都有权限将计算机加入域,虽然最多只能加10台计算机。但是这样会给系统的安全带来不稳定的因素
下面就来说明下如何进行限制
方法1去掉普通权限可以加入域的计算机个数
在DC上面安装Support Tools工具,开始--运行,输入“adsiedit.msc”,在弹出窗口中展开“Domain [xxxxxx]”,定位到“DC= xxxxx”,右键选择“属性”,在弹出的属性窗口中找到“ms-DS-MachineAccountQuota”,双击编辑将默认值“10”更改为“0”(默认情况所有用户都可以将10台计算机加入域),更改之后默认用户就没有权限进行将计算机加入域的操作,不影响域管理员将计算机加入域的操作。
方法2 设定具有将工作站加入域的用户组
在域策略中,进行如下设置,删除掉默认的地用户组authenticated users,然后添加需要具有权限的用户或者用户组
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
