域的真正含義指的是服務(wù)器控制網(wǎng)絡(luò)上的計(jì)算機(jī)能否加入的計(jì)算機(jī)組合，這樣在域內(nèi)的計(jì)算機(jī)就可以共享資源，也便于系統(tǒng)管理員的操作管理。但是如何使一個(gè)不在這個(gè)域內(nèi)的普通用戶具有讓其他電腦加入該域的權(quán)限呢？具體內(nèi)容如下所述。

需求：

希望有一個(gè)公開的用戶(用戶名和密碼公開),這個(gè)用戶只有一個(gè)權(quán)限:可以讓別的電腦加入或退出域,而這個(gè)用戶不是隸屬于域管理員組也不能做別的任何操作。

實(shí)現(xiàn)：

默認(rèn)情況下，在域控制器上經(jīng)過身份驗(yàn)證的用戶，有權(quán)限將計(jì)算機(jī)添加到域，最多可以使得驗(yàn)證用戶在域中最多可創(chuàng)建10個(gè)計(jì)算機(jī)帳戶。所以如果希望一個(gè)用戶能過無限次的加域的話，需要做一些設(shè)置：在默認(rèn)的域安全策略—安全設(shè)置—本地策略—用戶權(quán)限分配里的域中添加工作站里把你的用戶加到里面，就可以讓別的電腦加入或退出域。然后在里面有個(gè)拒絕本地登陸，你把這個(gè)帳號(hào)添進(jìn)去就可以不能登入客戶機(jī)，也就做不了什么操作。

問題：

按照次操作試驗(yàn)時(shí)，把一臺(tái)已經(jīng)加域的計(jì)算機(jī)退域重新加入的時(shí)候提示“拒絕訪問”。但是如果用一臺(tái)未加過域的電腦加入時(shí)就沒有這個(gè)問題。后查文檔得知“您正用于加入過程的域用戶帳戶只有“向域添加工作站”的權(quán)限。因此，在替換之前舊的計(jì)算機(jī)帳戶被刪除，客戶機(jī)使用尚未復(fù)制此帳戶刪除的“輕量級(jí)目錄訪問協(xié)議”(LDAP)服務(wù)器或域控制器，但是沒有修改仍保留的帳戶的正確權(quán)限。”也就說以前的這個(gè)計(jì)算機(jī)還保存在AD中，但普通用戶沒辦法更改。這也就是為什么這個(gè)時(shí)候管理員可以但普通用戶不行的原因。

解決：

轉(zhuǎn)：當(dāng)計(jì)算機(jī)加入域時(shí)出現(xiàn)“拒絕訪問”錯(cuò)誤消息http://support.microsoft.com/kb/330095/zh-cn

要變通解決此問題，可使用下列任一方法：

•使用另外一個(gè)計(jì)算機(jī)名稱。

•等待ActiveDirectory進(jìn)行復(fù)制，或使用以下命令強(qiáng)制進(jìn)行復(fù)制：repadmin/syncDomainDN目標(biāo)DSAGUID._msdcs源DSAGUID/force

•在加入過程中使用域管理員帳戶。

•向您正在使用的帳戶授予附加權(quán)限：

1.啟動(dòng)Adsiedit.msc。

2.打開“DomainNC,DC=域,CN=Computers”節(jié)點(diǎn)。

3.單擊“計(jì)算機(jī)”，然后單擊“屬性”。

4.在“安全”選項(xiàng)卡上，單擊“高級(jí)”。

5.單擊“添加”，然后單擊適當(dāng)?shù)挠脩魩艋蚪M。

6.在“應(yīng)用到”框中，單擊“計(jì)算機(jī)對(duì)象”。

7.在“權(quán)限”窗格中，單擊以選中“寫入所有屬性”、“重設(shè)密碼”和“將這些權(quán)限只應(yīng)用到這個(gè)容器中的對(duì)象和/或容器上”復(fù)選框。

8.單擊“確定”，直到做出更改。

9.等待ActiveDirectory進(jìn)行復(fù)制，或強(qiáng)制進(jìn)行同步。

一般而言，任何一個(gè)域帳戶都有權(quán)限將計(jì)算機(jī)加入域，雖然最多只能加10臺(tái)計(jì)算機(jī)。但是這樣會(huì)給系統(tǒng)的安全帶來不穩(wěn)定的因素

下面就來說明下如何進(jìn)行限制

方法1：去掉普通權(quán)限可以加入域的計(jì)算機(jī)個(gè)數(shù)

在DC上面安裝SupportTools工具，開始--運(yùn)行，輸入“adsiedit.msc”，在彈出窗口中展開“Domain[xxxxxx]”，定位到“DC=xxxxx”，右鍵選擇“屬性”，在彈出的屬性窗口中找到“ms-DS-MachineAccountQuota”，雙擊編輯將默認(rèn)值“10”更改為“0”（默認(rèn)情況所有用戶都可以將10臺(tái)計(jì)算機(jī)加入域），更改之后默認(rèn)用戶就沒有權(quán)限進(jìn)行將計(jì)算機(jī)加入域的操作，不影響域管理員將計(jì)算機(jī)加入域的操作。

方法2：設(shè)定具有將工作站加入域的用戶組

在域策略中，進(jìn)行如下設(shè)置，刪除掉默認(rèn)的地用戶組authenticatedusers，然后添加需要具有權(quán)限的用戶或者用戶組。

希望本文介紹的使域外用戶擁有讓其他電腦加域或退域的權(quán)限的方法能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 域控制器在域中的作用
2. vista系統(tǒng)中組策略的三大應(yīng)用
3. Vista系統(tǒng)中的組策略有何應(yīng)用？
4. 將計(jì)算機(jī)提升至域控制器之故障排除
5. Microsoft WINS之域控制器欺騙漏洞