简介

普通用户加入域后默认是在 Domain Users 组里,该组中用户具有将10台计算机加入域的权限,在一些安全要求极高的企业是绝对不允许的,存在较高的风险,所以需要禁止普通 domain users 组中用户加域权限;但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域,但是不能将超管的密码外泄所以需要专门用来加域的用户;

Windows server 2003 禁用普通domain users组的加域权限(管理员账号不受此限制)

1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台,在控制台中添加adsiedit(如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI)

2. 打开后依次展开图中指示,右击dc=accp,dc=com选择属性,找到ms-DC-MachineAccountQuota,其默认值为10,将此值改为0,并单击OK;

clip_p_w_picpath002

Windows server 2008 禁用普通domain users组的加域权限(管理员账号不受此限制)

1. 使用管理员的账号登陆域控制器,开始>管理工具>ADSIEdit;

clip_p_w_picpath003

3. 右键 ADSI编辑器,点击连接到,保持默认点击确定;

clip_p_w_picpath005

4. 在 DC=benet,DC=com处右击属性(域级别),选择ms-DS-MachineAccountQuota属性,双击,修改其值为0,并单击OK;

clip_p_w_picpath007

微软指南

1. 微软帮助文档:http://support.microsoft.com/kb/243327/zh-cn

Windows server 2003授权特定普通域用户将计算机加入域

1. 打开AD管理工具,选择accp.com(域级别),右击属性,选择委派控制

clip_p_w_picpath009

2. 点击下一步,添加需要提升为具有将计算机加入域的账号(普通域账号账号)

clip_p_w_picpath011

3. 在委派页面选择将计算机加如到域,并单击下一步,完成

clip_p_w_picpath012

4. 在下面的页面,单击确定退出就完成了对普通用户的权限提升。

Windows server 2008授权特定普通域用户将计算机加入域

1. 使用管理员登陆域控制器,打开AD用户和计算机管理工具,右击benet.com(域级别)选择 委派控制

clip_p_w_picpath013

2. 单击下一步,在出现的用户或组对话框,点击“添加”,在出现的选择用户或组对话框,输入需要提升权限的普通用户的用户名,点击“检查名称”,检索出名称后点击“确定”;

clip_p_w_picpath014

3. 在出现的要委派的任务对话框,选中“将计算机加入域”,点击“下一步”。

clip_p_w_picpath015

4. 在下面的页面,单击确定退出就完成了对普通用户的权限提升。

查看委派

1. 打开“Active Directory 用户和计算机”—“查看”—“高级功能”;

2. 在DC域"benet.com"上右键属性找到"安全",点"高级",切换到"有效的权限",点选择,输入用户帐号testadmin,点确定即可查看该用户帐号在域中的最终有效权限;

删除委派

1. “Active Directory 用户和计算机”>“查看”>“高级功能”选中;

2. 找到委派的对象OU,再切换到“安全”标签,找到委派的用户或组把它删除即可;

微软指南

1. 微软官方链接 http://support.microsoft.com/kb/932455/zh-cn

报错处理

1. 当使用被委派后的账户(非管理员)将计算机加入域,或更改密码、创建用户的时候可能会出现如下三类报错;

1) 访问被拒绝。

2) Windows 无法完成密码更改username,因为: 访问被拒绝。

3) 不能因为没有足够的权限设置用户名的密码,Windows 将尝试禁用该帐户。如果此尝试失败,则此帐户将成为安全隐患。请与管理员联系以尽快以修复此。此用户可以登录前,应该设置密码,并且必须启用该帐户。

2. 出现此类报错可能是下列原因之一;

1) 用户或组未被授予计算机对象的重设密码权限。

2) 注意将用户或组不能计算机加入到域如果指定的用户或指定的组不具有的重设密码权限集的计算机对象。用户可以创建新的计算机帐户不具有该权限的域。但如果计算机帐户已经存在于 Active Directory,会收到"访问被拒绝"错误消息,因为重置现有的计算机对象的计算机对象属性所需的重设密码权限。

3) 用户已被委派的控制权的帐户操作员组或帐户操作员组的成员。这些用户未被授予读取权限的内置 ou 中"Active Directory 用户和计算机。

3. 用户不能将计算机加入到域解决方法

1) 单击开始,单击运行,键入dsa.msc,然后单击确定。

2) 在任务窗格中,展开域节点。

3) 找到并右键单击要修改的 OU,然后单击委派控制。

4) 在控制委派向导,单击下一步。

5) 单击添加以将特定的用户或特定组添加到所选用户和组列表中,然后单击下一步。

6) 在委派的任务页中,单击创建自定义任务去委派,然后单击下一步。

7) 单击仅以下对象的文件夹中,然后从列表中,单击以选中计算机对象复选框。然后,选择下面的复选框列表,创建此文件夹中的所选的对象并删除此文件夹中的所选的对象。

8) 单击下一步。

9) 在权限列表中,单击以选中下列复选框:

?重置密码

?读取和写入帐户限制

?已验证的 DNS 主机名的写入

?已验证的到服务主体名称的写入

10) 单击下一步,然后单击完成。

11) 关闭"活动目录用户和计算机"mmc 管理单元。

4. 用户不能重置密码解决办法;

1) 单击开始,单击运行,键入dsa.msc,然后单击确定。

2) 在任务窗格中,展开域节点。

3) 找到并右键单击内建,然后单击属性。

4) 在内置属性对话框中,单击安全选项卡。

5) 在组或用户名称列表中,单击帐户操作员。

6) 帐户操作员的权限,请单击以选中读取权限的允许复选框,然后单击确定。

7) 注意如果您想要使用一组或帐户操作员组以外的用户,重复步骤 5) 和步骤 6),该组或该用户。

8) 关闭"活动目录用户和计算机"mmc 管理单元。