声明:本文转载自gnaw0725.blogbus.com,更新网址:http://gnaw0725.blog.51cto.com

DNS和活动目录做集成后,可以实现“安全的动态更新”,一般情况下域内的工作站都可以在DNS区域中动态更新自己的记录.但是最近在测试的时候发现了这样的一个问题:
假如DNS区域中已有主机名为 hneli 的A记录,现在又加入域了台机器,名字也为 hneli(有可能是无意或者有人故意使坏),这台机器成功加入域的同时将会在DNS中将原来名为hneli的A记录更新掉,并且用户在先加入域的同名机器此时也不能正常登录了。这无疑是一个大的安全隐患,假如被更新掉的机器是一台普通的工作站问题还不大,但假如是有人故意使坏,将域内提供服务的服务器(比如邮件,门户)更新掉,后果相当严重。
在论坛里面有网友提示说:普通的域用户是没有权限加同名机器入域的。但经过测试,即使是普通的域用户同样是可以的。
对于这种情况,可以严格控制计算机加域的权限,只有管理员或者委派权限给某个帐户可以,普通员工的帐户不能加并且他们也不知道有权限的帐户信息,所有客户机加域的过程都由管理员亲自去做,但这样做无疑会增加管理员的工作量。又或者取消DNS的动态更新。
请问各位老师,有什么办法解决这个问题?

回答:默认情况下,只有域管理员才可以使用同名的计算机名称加入到域,出现您那样的情况,说明更改过AD的安全设置。普通的域用户,可以加入域,但是,如果域中已经有同名的计算机,那么加入域会失败,或者使用原来的名称加入域。即使是委派了权限的帐号,正常也是不能使用同名加入域的。

对于您这种情况,建议您检查Computers 容器的ACL:
1. 打开Active Directory 用户和计算机。
2. 单击查看->高级功能。
3. 右键点击Computers容器,选择属性,单击安全页。
4. 默认情况下,ACL 中包含以下帐号:
Administrators
System
Domain Admins
Enterprise Admins
Authenticated Users
Account Operators
如果安装了Exchange,则还包含Exchange 的管理员组。
5. 单击高级,选择Authenticated Users,单击编辑,默认只有以下权限:
列出内容
读取全部属性
读取权限
确保没有以下权限:
完全控制
删除计算机对象
删除
删除所有子对象
删除Account 对象
6. 如果有其它包含所有普通域帐户的组,比如Domain Users,也请检查其权限,确保没有以下权限:
完全控制
删除计算机对象
删除
删除所有子对象
删除Account 对象
7. 如果委派了帐号加入域,并且不让委派帐号有使用同名加入域的权限,请确认该帐号没有以下权限:
完全控制
删除计算机对象
删除
删除所有子对象
删除Account 对象
罗俊华 微软全球技术支持中心

首先,域用户的确有权限加入10台机器到域中。不过,是新加入的机器,也就是说域中不存在相应的计算机账户,如果存在,默认状况下普通的域账户是没有权限写入已有的计算机账户的,除非您修改了权限。
再者,基于上面这一点,所以在活动目录最佳实践中,建议您将关键性的服务器,或者说生产服务器单独到一个ou中,这个ou及其中所有的计算机账户,仅仅允许system、domain admins以及create owner具有写入权限。
最后,可以将关键性服务器或者生产服务器单独放置到一个网段,然后这个网段对应的dns zone,也进行相应的安全权限设置。