委派控制

"域中添加工作站" 权利:
此安全设置仅对域控制器有效。默认情况下,任何已经过身份验证的用户都具有此权限并可以在该域中最多创建 10 个计算机帐户。默认值:Authenticated Users

说明:默认情况下,一个全新创建的域用户帐户在域中没有任何额外权限来新建计算机帐户。为保证普通域用户可以将他们的工作组计算机(最多10台)加入域,Active Directory使用此权利以防止普通域用户在没有特别权限的情况下加入域失败。

要点:

(1)此权利设定只在域控制器上生效,如果你指派的组策略没有应用到目标域控制器上,则相应组策略中的此权利设定不会生效,即使它已经在成员服务器或客户端上被应用。建议:如果没有特别需求,请不要更改此设定。

(2)如果某些域用户已经被管理员赋予在Active Directory域的Computers容器上的 "创建计算机对象" 权限,则不受此权利设定限制。也就是,他们可以加入任意数量的计算机到域中。

(3)如果计算机帐户是用户使用 "域中添加工作站" 权利加入域的,则此计算机帐户的 "所有者" 值将成为 Domain Admins。如果是使用管理员赋予的权限加入域的,则此计算机帐户的 "所有者" 值就是加入域所使用的域用户帐户。

(4)受此权利限制的加入域计算机数量可以通过以下方法修改ms-DS-MachineAccountQuota值来实现:

a. Run Adsiedit.msc as an administrator of the domain.
b. Expand the Domain NC node. This node contains an object that begins with "DC=" and reflects the correct domain name. Right-click this object, and then click Properties.
c. In the Select which properties to view box, click Both.
d. In the Select a property to view box, click ms-DS-MachineAccountQuota.
e. In the Edit Attribute box, type a number. This number represents the number of workstations that you want users to be able to maintain concurrently.
f. Click Set, and then click OK.


"创建计算机对象" 权限

说明:这一权限历来是饱受争议,问题无数。大量管理员抱怨即使他们给予了受委派的域用户在Computers容器上的权限,这些用户仍然反映他们有时不能将计算机加入域并得到 "访问拒绝" 的错误消息。

要点:

(1)实际上,"创建计算机对象" 权限是足够让受委派的域用户将新计算机加入域并不受 "域中添加工作站" 权利的数量影响的。

(2)那么,"访问拒绝" 的错误消息又是怎么来的呢?要点是用户是否使用唯一不重复的计算机名来加入域,请看以下示例:

比如,你已经委派了两位域用户UserA和UserB来执行将计算机加入域的操作并赋予了他们在Computers容器上的"创建计算机对象" 权限。然后,UserA成功加入了一台计算机PCA后离开,这时UserB在公司的某个其他角落也尝试将一台计算机也叫PCA加入域。这时,由于之前解释过的行为,UserA是PCA计算机帐户的 "所有者" 并拥有一系列在此计算机帐户上的权限,所以UserB由于不是域管理员,不能覆盖重写这个计算机帐户,于是得到"访问拒绝" 的错误消息。

(3)另外,如果使用重复的计算机名来加入域,会有什么后果呢?请看以下示例:

比如,域管理员加入了PCA到域中,交付用户使用并离开。之后,域管理员在另外一个地方又使用PCA做为计算机名并加入域,由于域管理员可以覆盖重写原来的PCA计算机帐户所以加入域不会遇到问题。但是,第一位用户很快就会发现他使用的PCA计算机已经掉出域了,Net Logon服务会报告无法与域建立安全连接(因为域管理员已经覆盖重写了PCA计算机帐户的密码与信息给第二台PC使用)。所以,请务必使用唯一不重复的计算机名来执行加入域的操作。

(4)例外的情况是,假设PCA是唯一的计算机,后来由于重建等因素需要重新加入域(即域中已经有了PCA的帐户,并被UserA用户所有),此时UserB需要覆盖此计算机帐户,管理员可以给予UserB在此PCA帐户上的完全控制权限让UserB完成此工作。

(5)再换一种情况,还是上面的例子,如果你需要的是禁止UserA将其拥有的PCA计算机帐户重新加入域,则请取消UserA在PCA帐户上的额外权限(可以在安全选项卡中的权限列表中看到UserA的条目),这样UserA在尝试重复使用PCA计算机帐户时就会收到 "访问拒绝" 的错误消息。

如何防止普通用户加入域

1. 默认的干净的Active Directory域环境,只要设定ms-DS-MachineAccountQuota值为0即可实现目标。因为:普通域用户在Computers容器上没有"创建计算机对象"权限,也没有拥有的已经存在的计算机帐户和相应权限,唯一可以利用的权利选项已经被设置成0.

2. 生产环境,比较复杂。但是你只要理解了上面的内容,就明白无非是保证以下几点:

(1)ms-DS-MachineAccountQuota值为0

(2)确保普通域用户或在执行加入域操作的人:

  在Computers容器上没有"创建计算机对象"权限。
  取消域用户在已经存在的计算机帐户上的权限(在安全选项卡中检查并取消某个域用户拥有的额外权限,删除相应的针对某个用户的单独权限条目即可):

上传的图片