域的真正含義指的是服務器控制網(wǎng)絡上的計算機能否加入的計算機組合，這樣在域內(nèi)的計算機就可以共享資源，也便于系統(tǒng)管理員的操作管理。但是如何使一個不在這個域內(nèi)的普通用戶具有讓其他電腦加入該域的權(quán)限呢？具體內(nèi)容如下所述。

需求：

希望有一個公開的用戶(用戶名和密碼公開),這個用戶只有一個權(quán)限:可以讓別的電腦加入或退出域,而這個用戶不是隸屬于域管理員組也不能做別的任何操作。

實現(xiàn)：

默認情況下，在域控制器上經(jīng)過身份驗證的用戶，有權(quán)限將計算機添加到域，最多可以使得驗證用戶在域中最多可創(chuàng)建10個計算機帳戶。所以如果希望一個用戶能過無限次的加域的話，需要做一些設置：在默認的域安全策略—安全設置—本地策略—用戶權(quán)限分配里的域中添加工作站里把你的用戶加到里面，就可以讓別的電腦加入或退出域。然后在里面有個拒絕本地登陸，你把這個帳號添進去就可以不能登入客戶機，也就做不了什么操作。

問題：

按照次操作試驗時，把一臺已經(jīng)加域的計算機退域重新加入的時候提示“拒絕訪問”。但是如果用一臺未加過域的電腦加入時就沒有這個問題。后查文檔得知“您正用于加入過程的域用戶帳戶只有“向域添加工作站”的權(quán)限。因此，在替換之前舊的計算機帳戶被刪除，客戶機使用尚未復制此帳戶刪除的“輕量級目錄訪問協(xié)議”(LDAP)服務器或域控制器，但是沒有修改仍保留的帳戶的正確權(quán)限。”也就說以前的這個計算機還保存在AD中，但普通用戶沒辦法更改。這也就是為什么這個時候管理員可以但普通用戶不行的原因。

解決：

轉(zhuǎn)：當計算機加入域時出現(xiàn)“拒絕訪問”錯誤消息http://support.microsoft.com/kb/330095/zh-cn

要變通解決此問題，可使用下列任一方法：

•使用另外一個計算機名稱。

•等待ActiveDirectory進行復制，或使用以下命令強制進行復制：repadmin/syncDomainDN目標DSAGUID._msdcs源DSAGUID/force

•在加入過程中使用域管理員帳戶。

•向您正在使用的帳戶授予附加權(quán)限：

1.啟動Adsiedit.msc。

2.打開“DomainNC,DC=域,CN=Computers”節(jié)點。

3.單擊“計算機”，然后單擊“屬性”。

4.在“安全”選項卡上，單擊“高級”。

5.單擊“添加”，然后單擊適當?shù)挠脩魩艋蚪M。

6.在“應用到”框中，單擊“計算機對象”。

7.在“權(quán)限”窗格中，單擊以選中“寫入所有屬性”、“重設密碼”和“將這些權(quán)限只應用到這個容器中的對象和/或容器上”復選框。

8.單擊“確定”，直到做出更改。

9.等待ActiveDirectory進行復制，或強制進行同步。

一般而言，任何一個域帳戶都有權(quán)限將計算機加入域，雖然最多只能加10臺計算機。但是這樣會給系統(tǒng)的安全帶來不穩(wěn)定的因素

下面就來說明下如何進行限制

方法1：去掉普通權(quán)限可以加入域的計算機個數(shù)

在DC上面安裝SupportTools工具，開始--運行，輸入“adsiedit.msc”，在彈出窗口中展開“Domain[xxxxxx]”，定位到“DC=xxxxx”，右鍵選擇“屬性”，在彈出的屬性窗口中找到“ms-DS-MachineAccountQuota”，雙擊編輯將默認值“10”更改為“0”（默認情況所有用戶都可以將10臺計算機加入域），更改之后默認用戶就沒有權(quán)限進行將計算機加入域的操作，不影響域管理員將計算機加入域的操作。

方法2：設定具有將工作站加入域的用戶組

在域策略中，進行如下設置，刪除掉默認的地用戶組authenticatedusers，然后添加需要具有權(quán)限的用戶或者用戶組。

希望本文介紹的使域外用戶擁有讓其他電腦加域或退域的權(quán)限的方法能夠?qū)ψx者有所幫助。

【編輯推薦】

1. 域控制器在域中的作用
2. vista系統(tǒng)中組策略的三大應用
3. Vista系統(tǒng)中的組策略有何應用？
4. 將計算機提升至域控制器之故障排除
5. Microsoft WINS之域控制器欺騙漏洞