普通用户加入域后默认是在Domain Users组里,该组中用户具有将10台计算机加入域的权限,在一些安全要求极高的企业是绝对不允许的,存在较高的风险,所以需要禁止普通Domain Users组中用户加域权限;但是可能公司部门较多的时候需要有二级网管来负责普通的运维,比如将某部门新入职员工计算机加入域,但是不能将超管的密码外泄所以需要专门用来加域的用户;
使用管理员的账号登陆域控制器,依次点击 开始-->管理工具-->ADSI 编辑器,然后右键 ADSI编辑器,点击连接到:
在 DC=beavan,DC=cn 处右击属性(域级别),ms-DS-MachineAccountQuota属性,双击,修改其值为0,并单击确定;
这样就可以禁用普通Domain Users组的加域权限;
1.新建一个域用户,可以看到新用户默认是在Domain Users组里,该组中用户默认具有将10台计算机加入域的权限
2.打开AD管理工具,选择 beavan.cn(域级别),右击属性,选择委派控制:
3.点击下一步,添加需要提升为具有将计算机加入域的账号(普通域账号账号)
4.在委派页面选择将计算机加如到域,并单击下一步,完成
5.在下面的页面,单击完成退出就完成了对普通用户的权限提升
这样就可以使用 test 用户将计算机加入到域中,并且没有次数限制;
1.打开“Active Directory 用户和计算机”-->“查看”-->“高级功能”;
2.在DC域"beavan.cn"上右键属性找到"安全",点"高级",切换到"有效的权限",点选择,输入用户帐号test,点确定即可查看该用户帐号在域中的最终有效权限;
1.“Active Directory 用户和计算机”>“查看”>“高级功能”选中;
2.找到委派的对象OU,再切换到“安全”标签,找到委派的用户或组把它删除即可;
1)访问被拒绝。
2)Windows 无法完成密码更改username,因为:访问被拒绝。
3)因为没有足够的权限设置用户名的密码,Windows 将尝试禁用该帐户。如果此尝试失败,则此帐户将成为安全隐患。请与管理员联系以尽快修复。此用户可以登录前,应该设置密码,并且必须启用该帐户。
1)用户或组未被授予计算机对象的重设密码权限。
2)注意不能将用户或组计算机加入到域,如果指定的用户或指定的组不具有的重设密码权限。用户可以创建新的计算机帐户不具有该权限的域。但如果计算机帐户已经存在于 Active Directory,会收到"访问被拒绝"错误消息,因为重置现有的计算机对象的计算机对象属性所需的重设密码权限。
3)用户是已被委派的控制权的帐户操作员组或帐户操作员组的成员。这些用户未被授予读取权限的内置 ou 中"Active Directory 用户和计算机。
1)单击开始,单击运行,键入dsa.msc,然后单击确定。
2)在任务窗格中,展开域节点。
3)找到并右键单击要修改的 OU,然后单击委派控制。
4)在控制委派向导,单击下一步。
5)单击添加以将特定的用户或特定组添加到所选用户和组列表中,然后单击下一步。
6)在委派的任务页中,单击创建自定义任务去委派,然后单击下一步。
7)单击仅以下对象的文件夹中,然后从列表中,单击以选中计算机对象复选框。然后,选择下面的复选框列表,创建此文件夹中的所选的对象并删除此文件夹中的所选的对象。
8)单击下一步。
9)在权限列表中,单击以选中下列复选框:
?重置密码
?读取和写入帐户限制
?已验证的 DNS 主机名的写入
?已验证的到服务主体名称的写入
10)单击下一步,然后单击完成。
11)关闭"活动目录用户和计算机"mmc 管理单元。
1)单击开始,单击运行,键入dsa.msc,然后单击确定。
2)在任务窗格中,展开域节点。
3)找到并右键单击内建,然后单击属性。
4)在内置属性对话框中,单击安全选项卡。
5)在组或用户名称列表中,单击帐户操作员。
6)帐户操作员的权限,请单击以选中读取权限的允许复选框,然后单击确定。
7)注意如果您想要使用一组或帐户操作员组以外的用户,重复步骤 5) 和步骤 6),该组或该用户。
8)关闭"活动目录用户和计算机"mmc管理单元。
原文:https://www.cnblogs.com/Beavan/p/13220610.html