需求:
希望有一个公开的用户(),:,
实现:
默认情况下,在域控制器上经过身份验证的用户,有权限将计算机添加到域,最多可以使得验证用户在域中最多可创建 10 个计算机帐户。所以如果希望一个用户能过无限次的加域的话,需要做一些设置:在默认的域安全策略—安全设置—本地策略—用户权限分配里的域中添加工作站里把你的用户加到里面,就可以让别的电脑加入或退出域。然后在里面有个拒绝本地登陆,你把这个帐号添进去就可以不能登入客户机,也就做不了什么操作。
问题:
按照次操作试验时,把一台已经加域的计算机退域重新加入的时候提示“拒绝访问”。但是如果用一台未加过域的电脑加入时就没有这个问题。后查文档得知“您正用于加入过程的域用户帐户只有“向域添加工作站”的权限。因此,在替换之前旧的计算机帐户被删除,客户机使用尚未复制此帐户删除的“轻量级目录访问协议”(LDAP) 服务器或域控制器,但是没有修改仍保留的帐户的正确权限。”也就说以前的这个计算机还保存在AD中,但普通用户没办法更改。这也就是为什么这个时候管理员可以但普通用户不行的原因。
解决:
转:当计算机加入域时出现“拒绝访问”错误消息http://support.microsoft.com/kb/330095/zh-cn
要变通解决此问题,可使用下列任一方法: <