« 上一篇下一篇 »

域架构笔记004:解决域帐户将计算机加入到域的问题

在域中,新创建的用户默认允许加入十个工作站,意思就是,使用新帐号,可以把十台域外的主机加入到域中。这个设置是有安全隐患的,比如员工使用他人帐号把家庭电脑加入到域中,然后冒充他人下载企业资源。

一、在windows 2003 域中修改默认域用户添加工作站到域数量的方法:

windows 2003 中,打开安装盘CD1,从 \SUPPORT\TOOLS\SUPPORT.CAB 中复制出 adsiedit.dlladsiedit.msc 这两个文件,然后把adsiedit.dll 拷贝到 C:\WINDOWS\system32\ 文件夹内,然后开始运行输入 regsvr32 C:\WINDOWS\system32 以注册这个dll。注册后双击运行 adsiedit.msc 这个软件,截图如下

点击[Domain]  >> 右击 [DC=**,DC=**]  属性 ,找到 ms-DS-MachineAccountQuota 这个项目,双击打开修改窗口,把默认的10修改为0

点击ok  - 确定保存。

再测试普通帐户加入域,弹出 超出加域数量最大值错误,截图如下

 

二、windows 2003 域中,委派一个普通用户帐号作为加入域帐号的方法。

上面的操作中,已经禁止普通用户帐号把域外的主机加入到域,以后新的域外主机,都需要使用 it\administrator 帐号添加到域,但是这个帐号权限是域网络中的最高权限帐号,不建议拿出来在普通客户机上使用,这时可以赋予一个员工帐号可以执行加入域操作的权限,称为委派。用这个员工的普通帐号,可以把域外主机加入到域。下面介绍方法:

先在DC上,打开 开始 - 管理工具 - AD用户和计算机,在左侧users 中,右击添加一个组,名称为 Domain Join ,描述为 该组中成员可以把计算机加入到域。

然后,右击 域名 [it.com],选择 [委派控制]

选择 domain jion 组,委派中选择 将计算机加入到域(这里也可以选择用户帐号,而不是选择组,笔者习惯用组,选择用户帐号就不用上面新建组了 ),下一步确定,当然也可以相应的组合权限。

然后把 zhangsan 这帐号,加入 domain join 这个组。

这时,zhangsan 这个帐号就有了把域外主机加入到域的权限了。测试如下。

初次加入域的计算机,初次登录域在登录界面点击选项,登录到的框里选择 IT ,第一次创建域列表,要等待一两分钟。

三、域中使用组策略,使客户机开机登录界面,不要 alt+ctrl+del 组合键,直接到 登录页面。

打开 开始-管理工具-AD用户和计算机,然后右击 域名 [it.com] -属性-组策略,新建一条组策略 winlogin,选择winlogin 后点击 编辑。

在新弹出的 组策略编辑器里,按照下面的图所示,编辑一条组策略:交互式登录,不需要按CTRL+ALT+DEL ,右击属性,已启用。

重启客户机两次,第一次接收新的组策略,第二次组策略效果可见,直接到了登录界面。绝大多数组策略,只要重启就可见效果,这条组策略特殊。