Windows活动目录笔记13-为了安全禁用普通账户将计算机加入域
与环境中,普通用户默认能将10台计算机加入到域中,我们在实际生产环境中,考虑到安全因素,需要禁用普通账户的加入计算机到域的权限,设置特定的账户可以将计算机加入到域中。
修改方法:
1、服务器管理器-工具-ADSI编辑器,打开ADSI编辑器器窗口
2、右键“ADSI编辑器”-连接到,出现连接设置,点击确定
3、右键“DC=jinxing,DC=com”-属性,打开DC=jinxing,DC=com属性窗口,找到“ms-DS-MachineAccountQuota”,选中后点击编辑,弹出整数属性编辑器窗口
4、把默认值10修改为0
5、客户端执行gpupdate /force命令,生效配置,使用jinxing001账户将计算机加入域,提示加入未成功
6、AD用户户和计算机中,右键“域名”,选择委派控制,打开控制委派向导。
7、下一步,
8、添加用户jinxing001
9、创建自定义任务去委派
10、选择只是在这个文件夹中的下列对象,框中勾选“计算机 对象”,页面中勾选“在这个文件夹中创建所选的对象”和“删除这个文件夹中的选择的对象”
11、权限中勾选重置密码、读取和写入帐户权限、已验证的DNS主机名的写入和已验证的写入到服务主体名称。
12、查看委派的权限:AD用户和计算机,查看菜单中勾选高级功能,右键“域名”属性-安全,选中委派的账号-高级
13、再在客户端中测试,加入成功。
14、加入后的普通用户登录后的系统属性。
