【摘要】
普通用户加入域后默认是在Domain Users组里,该组中用户具有将10台计算机加入域的权限,在一些安全要求极高的企业是绝对不允许的,存在较高的风险,所以需要禁止普通Domain Users组中用户加域权限;但是可能公司部门较多的时候需要有二级网管来负责普通的运维,比如将某部门新入职员工计算机加入域,但是不能将超管的密码外泄所以需要专门用来加域的用户;
【正文】
1、 新建一个域用户,可以看到新用户默认是在Domain Users组里,该组中用户默认具有将10台计算机加入域的权限
2、 禁用普通Domain Users组的加域权限(管理员账号不受此限制)
使用管理员的账号登陆域控制器,开始-->管理工具-->ADSI 编辑器,然后右键 ADSI编辑器,点击连接到:
在 DC=beavan,DC=cn 处右击属性(域级别),ms-DS-MachineAccountQuota属性,双击,修改其值为0,并单击确定;
这样就可以禁用普通Domain Users组的加域权限。
3、 授权特定普通域用户将计算机加入域:
打开AD管理工具,选择 beavan.cn(域级别),右击属性,选择委派控制:
点击下一步,添加需要提升为具有将计算机加入域的账号(普通域账号账号)
在委派页面选择将计算机加如到域,并单击下一步,完成
4、在下面的页面,单击完成退出就完成了对普通用户的权限提升
5、查看委派
1.打开“Active Directory 用户和计算机”-->“查看”-->“高级功能”;
2.在DC域"beavan.cn"上右键属性找到"安全",点"高级",切换到"有效的权限",点选择,输入用户帐号test,点确定即可查看该用户帐号在域中的最终有效权限;
6、删除委派
1.“Active Directory 用户和计算机”>“查看”>“高级功能”选中;
2.找到委派的对象OU,再切换到“安全”标签,找到委派的用户或组把它删除即可;
7、将计算机加域出现的报错:
1.当使用被委派后的账户(非管理员)将计算机加入域,或更改密码、创建用户的时候可能会出现如下三类报错;
1)访问被拒绝。
2)Windows 无法完成密码更改username,因为:访问被拒绝。
3)因为没有足够的权限设置用户名的密码,Windows 将尝试禁用该帐户。如果此尝试失败,则此帐户将成为安全隐患。请与管理员联系以尽快修复。此用户可以登录前,应该设置密码,并且必须启用该帐户。
2.出现此类报错可能是下列原因之一;
1)用户或组未被授予计算机对象的重设密码权限。
2)注意不能将用户或组计算机加入到域,如果指定的用户或指定的组不具有的重设密码权限。用户可以创建新的计算机帐户不具有该权限的域。但如果计算机帐户已经存在于 Active Directory,会收到"访问被拒绝"错误消息,因为重置现有的计算机对象的计算机对象属性所需的重设密码权限。
3)用户是已被委派的控制权的帐户操作员组或帐户操作员组的成员。这些用户未被授予读取权限的内置 ou 中"Active Directory 用户和计算机。
3.用户不能将计算机加入到域解决方法
1)单击开始,单击运行,键入dsa.msc,然后单击确定。
2)在任务窗格中,展开域节点。
3)找到并右键单击要修改的 OU,然后单击委派控制。
4)在控制委派向导,单击下一步。
5)单击添加以将特定的用户或特定组添加到所选用户和组列表中,然后单击下一步。
6)在委派的任务页中,单击创建自定义任务去委派,然后单击下一步。
7)单击仅以下对象的文件夹中,然后从列表中,单击以选中计算机对象复选框。然后,选择下面的复选框列表,创建此文件夹中的所选的对象并删除此文件夹中的所选的对象。
8)单击下一步。
9)在权限列表中,单击以选中下列复选框:
重置密码
读取和写入帐户限制
已验证的 DNS 主机名的写入
已验证的到服务主体名称的写入
10)单击下一步,然后单击完成。
11)关闭"活动目录用户和计算机"mmc 管理单元。
4.用户不能重置密码解决办法;
1)单击开始,单击运行,键入dsa.msc,然后单击确定。
2)在任务窗格中,展开域节点。
3)找到并右键单击内建,然后单击属性。
4)在内置属性对话框中,单击安全选项卡。
5)在组或用户名称列表中,单击帐户操作员。
6)帐户操作员的权限,请单击以选中读取权限的允许复选框,然后单击确定。
7)注意如果您想要使用一组或帐户操作员组以外的用户,重复步骤 5) 和步骤 6),该组或该用户。
8)关闭"活动目录用户和计算机"mmc管理单元。
标签:委派,帐户,单击,用户,权限,计算机 来源: https://www.cnblogs.com/Beavan/p/13220610.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。