关于域帐户将计算机加入域的问题

2011年4月5日 | 分类: Windows | 标签: , , , ,

       默认状态下,在域控制器上经过身份验证的用户,有权限将计算机添加到域,这个动作可以使得该验证帐户域中最多可创建 10 个计算机帐户。

       这个10次的设置是可以更改的。以域管理员身份执行 adsiedit.msc (此工具存在于windows安装光盘 SupportTools 下的 support tools 中),展开 Domain NC 节点。选择 “DC=” 的对象,右键点击选择属性。在其属性下拉列表中选择 ms-DS-MachineAccountQuota 进行编辑,此设置项的数值决定了域验证帐户有权限加入计算机的数目。
       但对于在 Active Directory Computers容器上有“创建计算机对象”权限的用户,则不受此创建 10 个计算机帐户的限制。在授权OU管理员管理计算机帐户的时候,我们就可以这样作,一方面在OU下作出委派的授权动作,同时可以在Computers容器上添加该帐户创建计算机对象的权限,这样此帐户便可以自行添加计算机了 。
       另外,通过“域中添加工作站”的方式创建的计算机帐户将“域管理员”看作该计算机帐户所有者,而通过计算机容器权限方式创建的计算机帐户则将创建者看作计算机帐户的所有者。如果用户既有容器的权限,又有“将工作站添加到域”的用户权利,则将基于计算机容器权限而非用户权利添加计算机。
 
此文章摘抄自互联网,呵呵。
Written by an6097

  1. spoonwpa
    2011年4月9日23:00

    那咋们那个s-joindomain那个账户是啥 是“
    可以在Computers容器上添加该帐户创建计算机对象的权限”吗?

  2. 2011年4月9日23:12

    嗯,是的,单独委派了加域权限的用户就是不受数量限制的,所以加域操作最好就都用这个用户来操作,这样这个用户也可以对用他加域的计算机容器有管理员权限。

注意: 评论者允许使用'@user空格'的方式将自己的评论通知另外评论者。例如, ABC是本文的评论者之一,则使用'@ABC '(不包括单引号)将会自动将您的评论发送给ABC。使用'@all ',将会将评论发送给之前所有其它评论者。请务必注意user必须和评论者名相匹配(大小写一致)。