问题:

    按照次操作试验时,把一台已经加域的计算机退域重新加入的时候提示“拒绝访问”。但是如果用一台未加过域的电脑加入时就没有这个问题。后查文档得知“您正用于加入过程的域用户帐户只有“向域添加工作站”的权限。因此,在替换之前旧的计算机帐户被删除,客户机使用尚未复制此帐户删除的“轻量级目录访问协议”(LDAP) 服务器或域控制器,但是没有修改仍保留的帐户的正确权限。”也就说以前的这个计算机还保存在AD中,但普通用户没办法更改。这也就是为什么这个时候管理员可以但普通用户不行的原因。

解决:

    当计算机加入域时出现“拒绝访问”错误提示:

要变通解决此问题,可使用下列任一方法:

使用另外一个计算机名称。

等待 Active Directory 进行复制,或使用以下命令强制进行复制: repadmin /sync DomainDN目标 DSA GUID._msdcs DSA GUID /force

在加入过程中使用域管理员帐户。

向您正在使用的帐户授予附加权限:

1. 启动 Adsiedit.msc

2. 打开“Domain NC, DC=, CN=Computers”节点。

3. 单击“计算机”,然后单击“属性”。

4. 在“安全”选项卡上,单击“高级”。

5. 单击“添加”,然后单击适当的用户帐户或组。

6. 在“应用到”框中,单击“计算机对象”。

7. 在“权限”窗格中,单击以选中“写入所有属性”、“重设密码”和“将这些权限只应用到这个容器中的对象和/或容器上”复选框。

8. 单击“确定”,直到做出更改。

9. 等待 Active Directory 进行复制,或强制进行同步。

一般而言,任何一个域帐户都有权限将计算机加入域,虽然最多只能加10台计算机。但是这样会给系统的安全带来不稳定的因素

下面就来说明下如何进行限制

方法1去掉普通权限可以加入域的计算机个数

在DC上面安装Support Tools工具,开始--运行,输入“adsiedit.msc”,在弹出窗口中展开“Domain [xxxxxx]”,定位到“DC= xxxxx”,右键选择“属性”,在弹出的属性窗口中找到“ms-DS-MachineAccountQuota”,双击编辑将默认值“10”更改为“0”(默认情况所有用户都可以将10台计算机加入域),更改之后默认用户就没有权限进行将计算机加入域的操作,不影响域管理员将计算机加入域的操作。
方法2 设定具有将工作站加入域的用户组

在域策略中,进行如下设置,删除掉默认的地用户组authenticated users,然后添加需要具有权限的用户或者用户组;

   

需求:

希望有一个公开的用户(这个用户只有一个权限:而这个用户不是隶属于域管理员组也不能做别的任何操作。

实现:

默认情况下,在域控制器上经过身份验证的用户,有权限将计算机添加到域,最多可以使得验证用户在域中最多可创建 10 个计算机帐户。所以如果希望一个用户能过无限次的加域的话,需要做一些设置:在默认的域安全策略—安全设置—本地策略—用户权限分配里的域中添加工作站里把你的用户加到里面,就可以让别的电脑加入或退出域。然后在里面有个拒绝本地登陆,你把这个帐号添进去就可以不能登入客户机,也就做不了什么操作。