DOMAIN USER 加域權限問題（转）

DOMAIN USER 加域權限問題

問題起因：部門人都有DOMAIN ADMIN的權限，某一，一人不小心發郵件時將寄件者也顯示出來，又在寄件者裡不小心寫上別人的名字，咚的一下郵件就以別人的身份寄出去了，這郵件被老板看見了。於是發話：說要收回權限，免得誤操作。 收回可以，但是沒有DOMAIN ADMIN 權限，給用戶加域就有問題了，於是.我要達到這麼一個目的是：有Domain User 的权限所有人都有加10次域的权限，但某几个人可以无数次限制的加域. 上網相應的方法，試一下，發現，只要把DOMAIN ADMIN 權限收回，剩DOMAIN USER權限時，盡管你在ADSIEDIT裡 COMPUTER的安全性裡給部門人可以加域的權限，也不能加域，提示說存取被拒，異常如下圖。 這時問題來了，就算沒有DOMAIN ADMIN權限，一般DOMAIN USER 也有10加域的機會，為什麼不行，新建了一個帳號，試了，也不行。 現在的問題焦點變為：為什麼DOMAIN USER 連一次加域的權限也沒有，非得用DOMAIN ADMINS,這樣下去，我無法完成主管交待的問題 最後解決了，是看了微軟的這個KB http://support.microsoft.com/kb/330095/zh-cn （這個KB是王緣給的，在他說，微軟的所有KB都可以在這裡搜索到，天哪，如果我當初撐握技巧的話，早搜索到這個KB也不用想破頭，弄那麼久） 具體方法:退域，並改了個電腦名字，用DOMAIN USER權限重新加域就OK 。在AD里的COMPUTER还有原来客户端的计算机名，此时你用DOMAIN USER的权限无法再次加入域，会提示说拒绝存取的错误（但用DOMAIN ADMIN 權限就可以）只要更改一下计算机名字，或在AD里的COMPUTER 里把原来的计算机名字删掉就可以加域。) KB裡還有一個解方案，就是我用過的ADSIEDIT裡 COMPUTER的安全性裡給部門人可以加域的權限，為什麼KB裡說的解決方法用在我身上無效呢？ 因為找到原因並解決目前問題，我也就不去深入研究為什麼用另外一個方案不行了。但是，緊接著的問題是，部門人有意見了，說碰到這樣的情況，老是要改名，麻煩。 好只能繼續解決問題看能不能說直接可以覆蓋掉原來的電腦名.於是回頭仔細看KB， 2.1. 开始，运行 键入“Adsiedit.msc” 回车 2.2 展开domain，找到DC＝domain，cn＝ computers 2.3 右键属性，找到“安全”选项，“高级 ” 2.4点击“添加”，然后选择，您希望授权的user或者 group 2.5选中该用户，编辑，在“应用到”选择“计算机对象 ” 2.6在“computers的权限项目”中将“写入全部属性”“重设密码”勾选，确定退出. 照做，發現有人有時能在不改名情況下直接加域，有時又不行。最後發現一個規律：如果這台電腦當初第一次加域是用某個人帳號，比如是帳號A來加域的話，那麼後來如果退域後，只有帳號A才能在不改名的情況下加域，其它人不行，加的時候會說拒絕存取。 為什麼呢？只有自已才能覆蓋自已的當初加域時的電腦名呢？這麼說來，我用上面的方法根本不起作用。搞不懂。。。。 後來發現，公司的所有的計算機帳號並不在computers裡，而在另外一個OU，也就是說我給權限的地方選錯了，暈，狂暈，後來跑到真正放計算機帳號的OU裡進行給權限，解決問題。 此時，雖然高興，但還是想死。。。 但同時，又有疑問了，默認情況下，所有加域的電腦都自動會出現在computers裡的啊，而公司的為什麼會自動跑到另一個地點呢？之前上課的老師說，只能手動搬，計算機帳號才能跑到別的地方，為此我專門請教了老師，說了我司情況，他說不行的，但是腳本能實現的，但事事實上，我沒有看到與此相關的腳本啊，這個問題留到有時間再研究 回到原點看我當初要實現的目標：有Domain User 的权限所有人都有加10次域的权限，但某几个人可以无数次限制的加域. 網上的方法是如下說，我照做，是可以實現部門人無限制的加域。 第一步：這一步只是定義使用组策略只是限制谁有权利添加客户端计算机到域，默认的次数还是10次 可以通过组策略，使用默认域控制器策略－计算机配置－windows设置－安全设置－本地策略－用户权利分配域中添加工作站－选择定义这些组策略后就可以添加您希望那些账户有权利将客户端计算机加入到域. 第二步：這一步是設定，哪些用戶可以復寫原來在AD已有的電腦名字進行加域 2.1. 开始，运行 键入“Adsiedit.msc” 回车 2.2 展开domain，找到DC＝domain，cn＝ computers 2.3 右键属性，找到“安全”选项，“高级 ” 2.4点击“添加”，然后选择，您希望授权的user或者 group 2.5选中该用户，编辑，在“应用到”选择“计算机对象 ” 2.6在“computers的权限项目”中将“写入全部属性”“重设密码”勾选，确定退出. 後來我竟然發現，我無論怎麼做，域中的所有人都有10次以上的加域權限，暈，測了好久，也沒有測得個所以然，甚至按如下方法，將10次變為1次，最終發現還是會超過1次。不理了，沒時間玩下去了。（針對這個問題，後來就不會了，估計是改了，DC間還沒有同步復制過來） 对于加入域账户的使用次数的修改您可以用过下面的步骤： 1. 安装Windows Server 2000/2003 Support Tools. 您可以从下载Support Tools http://www.microsoft.com/downloads/details.aspx?FamilyID=96a35011-fd83-419d-939b-9a772ea2df90&DisplayLang=en 2. 在开始运行中键入 “adsiedit.msc” 3. 展开domain，找到DC＝XXX，DC＝ XXX 4. 右键属性，找到ms-DS-MachineAccountQuota 条目 5. 双击修改值您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/ 生活繼續著，問題也繼續著. 因為收回部門人員的DOMAIN　ADMINS權限所帶來的另外一個問題是，客戶端的本機管理員組中沒有我們的管理員的帳號了，剛好，用MIMI　REMOTE工具連客戶端時，連不過去，原因是，這個軟件連到客戶端時強制在客戶端安裝一個MINI代理，而安裝程式需要用到本機管理員權限.我們的帳號並沒有在用戶的本機管理員群組，所以連不過去。 問題的焦點變為：我要實現在每個客戶端裡的本地管理員組裡加上我們部門人的帳號，這樣管理客戶端就暢通無阻了。於是找到如下方法 1.用組策略裡的受限的組來達到目的，經測試有如下現象： 是可以将某域账号加到本地的管理员组中，但原来在本地管理员组中的其它账号会被踢出去。而我要的效果是，可以将某域账号加到本地的管理员组中，但同时不覆盖其它账号，（又比如，后续如果哪个管理员想手动加另外一个域账号进来，也不会因为因为开机后组策一刷新，新加的人又被踢出去了 2.用腳本：net localgroup administrators "domain users" /add 實現： 這個腳本依然是在組策略來實現:在用戶配置配置→windows设置→脚本→登入 真正的位置是：计算机配置→windows设置→脚本→启动　 最絡我選定第二種方法實現 如下為第一種方法的鏈接 http://bbs.winos.cn/viewthread.php?tid=32797&highlight=%CA%DC%CF%DE%D7%E9 试验环境： 1、Server 2003和XP（客户端计算机名xp1、原始的域用户帐号也为xp1）。 2、创建OU取名为computer，将客户端电脑移动到该OU内。 提示： 1、受限组的策略是应用在计算机帐户上的，所以请确保OU内的是计算机帐户而非用户帐户。 2、良好的习惯是不在Default Domain Policy 和 Default Domain Controller Policy内设置组策略。 在Computer OU上建立组策略，取名为Restricted Groups，如图1 图1 选中受限制的组后，在右边空白处右键单击，然后添加需要的组。在这里我希望做到所有该OU中的客户端电脑的本地管理员组内只有域用户xp2存在其中。所以在选中了Administrators这个组后，为其添加成员。如图2 图2 这是xp1受到该组策略影响前的图片，如图3 图3 在客户端刷新策略后，可以看到除了内置的本地管理员帐号，另外两个都消失了。取而代之的是域用户xp2的帐号了。如图4 图4 如果组策略删除的话，前面消失的两个帐号会再次出现。从这里也可以看出，受限组策略可以控制组中有哪些帐号存在，不被允许的帐号会被自动挤出去。（除了内置的administrator帐号） 在图2中的下方有个选项为“这个组隶属于”，怎么说呢？举个例子吧。 当要确保Domain Admins这个组一定要存在于客户端本地管理员组内时，就可以用到这个选项。策略生效后Domain Admins会被添加进客户端电脑的本地管理员组，并且不会挤掉原先存在的那些帐户或组，和上面的例子是有所区别的。另外这个选项只能添加组，若需要添加成员就把成员帐号添加到组内，然后选中该组即可。 小结： Restricted Group带来的好处是有效控制组内的成员，比如既便客户端域帐号拥有本地管理员权限，并删除了一些网管设置的帐号，我们只需要重启一下电脑一切就又恢复了原样！ ------------------------------------------------------------------- 故事並未結束,休假一段時間回來後，部門人反映，有次數限制，不能加域，異常如下圖： 按如下KB解決此異常 http://support.microsoft.com/?id=251335#top 具體用到方法２ 方法 2：將「建立電腦物件」和「刪除電腦物件」存取控制項目 (ACE) 授予使用者 在 [Active Directory 使用者及電腦] 嵌入式管理單元中，按一下 [檢視] 功能表上的 [進階功能]，如此當您按一下 [內容] 時，就會展開 [安全性] 索引標籤。 用滑鼠右鍵按一下 [電腦] 容器，再按一下 [內容]。 在 [安全性] 索引標籤上，按一下 [進階]。 在 [使用權限] 索引標籤上，按一下 [Authenticated Users]，然後按一下 [檢視/編輯]。 注意：如果沒有列出 Authenticated Users 群組，請按一下 [新增]，並將此群組加入使用權限項目清單。 確認 [套用在] 方塊中顯示出 [這個物件及所有的子物件] 選項。 在 [使用權限] 方塊中，按一下以選取 [建立電腦物件] 和 [刪除電腦物件] ACE 旁的 [允許]，然後按一下 [確定]。 ---------------------------------------------------------------------------------------------------------------------------------- 總結這次解決方案 1. 第一步：這一步只是定義使用组策略只是限制谁有权利添加客户端计算机到域，默认的次数还是10次 可以通过组策略，使用默认域控制器策略－计算机配置－windows设置－安全设置－本地策略－用户权利分配域中添加工作站－选择定义这些组策略后就可以添加您希望那些账户有权利将客户端计算机加入到域. 2.解決同一電腦中退域加域說被拒的問題，即如下異常 方法是：

转载于:https://blog.51cto.com/wshaibing/544742