AD管理之授权用户将计算机加入域的权限

1、ad管理之授权用户将计算机加入域的权限对于我们这个行业，常常会碰到ad管理的无数问题，其中部分是企业里it管理频繁的需求，部分是鲜见的惊奇需求。今日我来讲一个我们企业目前碰到的一个问题： 在ad里授权给heesk人员将客户端计算机加入域的权限。由于我们通常不希翼给这些人员的账户太多的权限，要遵循最小权限的原则。 首先微软推举我们完成这个任务的两种途径： 一、 通过组策略完成： 1. 打开【域默认组策略】，挑选【计算机配置】-【策略】-【windows设置】-【平安设置】-【本地策略】-【用户权限分配】，在右侧策略列表中挑选【将工作站添加到域】，双击打开； 650) this.wth=650;

2、height=419 border=0 src=/uploads/allimg/111209/1622415s1-0.gif alt=clip_image002 title=clip_image002 / 2. 将需要授权的用户添加到策略中来，点确定即可完成。策略的生效可能需要时光，固然也可以强制刷新组策略。 650) this.width=650; height=332 border=0 src=/uploads/allimg/111209/16224111p-1.gif alt=clip_image004 title=clip_image004 / 二、 通过委派任务来实现，详细如下： 1

3、. 在域控上打开active directory 用户和计算机，右击域名（注重 将计算机加入域 只能在域上委派，不能在ou上），挑选【委派控制】; 650) this.width=650; height=386 border=0 src=/uploads/allimg/111209/1622412301-2.gif alt=clip_image006 title=clip_image006 / 2. 下一步，点击添加，挑选被授权的用户或组，下一步； 3. 挑选委派的任务，在这里你可以用法频繁的委派任务，也可以自定义任务；而我们挑选【将计算机加入域】，下一步，确定囫囵信息后点完成。这样就完成了委

4、派的任务。此时你委派的用户就有将计算机加域的权限了。 650) this.width=650; height=291 border=0 src=/uploads/allimg/111209/1622411342-3.gif alt=clip_image008 title=clip_image008 / 650) this.width=650; height=294 border=0 src=/uploads/allimg/111209/1622414939-4.gif alt=clip_image010 title=clip_image010 / 650) this.width=650; he

5、ight=286 border=0 src=/uploads/allimg/111209/1622413263-5.gif alt=clip_image012 title=clip_image012 / 以上两种办法是微软推举的，可以在网上找到越发具体的教程。 但是本文的目的不仅仅是与大家共享如何授权加域，我要分析的是一个特别场景： 正常来讲，helpdesk人员常常会帮客户的计算机重装系统，而重装系统后需要将计算机名改为本来的计算机名再将其加入域中，这样不会在系统更改不须要的信息，便利计算机管理。由于我们之前已经对helpdesk人员举行加域的授权操作，按理说他们应当是可以对计算机举行加域操

6、作。 但事与愿违，helpdesk人员反映他们用自己的管理帐户加域时，浮现错误，提醒如下： 650) this.width=650; height=128 border=0 src=/uploads/allimg/111209/1622415341-6.gif alt=clip_image014 title=clip_image014 / 用其他有加域权限的helpdesk账号也尝试加域，依旧出错。但假如用域管理员的账号则没有问题。 这个时候helpdesk人员向我们埋怨授权不胜利。 我们也很烦闷，由于我们是根据微软的解释来操作的。 于是，排错的工作就此绽开。 首先，我们确定其他场景下加域是否

7、可以，经过与helpdesk人员的交流，我们缩小 的问题的范围：假如他们用一个新的计算机名加域时，则可以顺当加域，而假如是一个旧的计算机名加域，则会浮现这个问题。惊奇的是我们的其中一个同事a做了一个测试，将一台新的计算机名加域，然后再退域，用另一个helpdesk的账户加域失败，错误同上。而再用这个同事a的加域就可以。 第二，我们查找相关资料并认真在ad控制台中查阅相关对象的权限设置，我发觉一些逻辑： 前提操作：利用委派将kaka与totti两个账户赋与加域的权限 1. 委派加域权限实质上就是赋与用户创建计算机对象的权限。它在computers平安权限为【 创建计算机对象】。 650) thi

8、s.width=650; height=382 border=0 src=/uploads/allimg/111209/162241n01-7.gif alt=clip_image016 title=clip_image016 / 2. 假如我将计算机test19加域，用的是totti的账户，我们会发觉在computers中计算机对象test19的平安权限中有 读取、更改密码。 ，而kaka在这个对象上的平安权限没有 读取、更改密码。 ，惟独特别权限。 650) this.width=650; height=349 border=0 src=/uploads/allimg/111209/162

9、2412628-8.gif alt=clip_image018 title=clip_image018 / 650) this.width=650; height=348 border=0 src=/uploads/allimg/111209/1622415459-9.gif alt=clip_image020 title=clip_image020 / 3. 然后我尝试将test19退域，再加域，此时加域时我挑选用kaka的账号去加域，结果 650) this.width=650; height=104 border=0 src=/uploads/allimg/111209/1622414j5-10.gif alt=clip_image0141 title=clip_image0141 / 至此，我想问题的缘由已经找到： 默认委派加域权限给某个用户，此用户则拥有创建计算机对象的权限。而对已经存在的计算机对象它并没有读取与写入的权限，所以当我们尝试用这个用户将某个dc中已经存在的计算机对象的名称去加域时，会报错：access is deni。而默认当初将这个计算机对象初次加域的用户对这个计算机对象是有读取等权限的。因此，假如我们用当初将这台计算机加入域的用户再举行加域操作时，则不会报错。 最后，解决的方法： 一、将co