活動(dòng)目錄域加入域權(quán)限委派
加入域的時(shí)候打算用委派的方式, 可是沒有 找到 "將計(jì)算機(jī)加入域"這個(gè)任務(wù)���,只有其他的比如添加用戶����,查看信息這些���,常見任務(wù)里面沒有�����。系統(tǒng)是win2003企業(yè)版sp1,用委派了權(quán)限的帳號(hào)和一般的users組的帳號(hào)加入域的時(shí)候提示拒絕訪問��,不知道什么原因。
回答:根據(jù)您的描述�����,我對(duì)這個(gè)問題的理解是:在域中委派控制權(quán)限時(shí)���,未看到"將計(jì)算機(jī)加入域"權(quán)限�����。如果我的理解有誤��,請(qǐng)告訴我�����。
這可能是您在OU上委派控制�,只有在域?qū)蛹?jí)上委派控制,才能看到"將計(jì)算機(jī)加入域"權(quán)限�����,因?yàn)榧尤胗蚴轻槍?duì)一個(gè)域的�����,并非針對(duì)某個(gè)OU,所以只有在域?qū)蛹?jí)上才能看到這個(gè)選項(xiàng)����。建議您再做一次權(quán)限委派,添加"將計(jì)算機(jī)加入域"權(quán)限��,使用委派的帳號(hào)加入域����,看是否還有問題����。
這個(gè)帳號(hào)對(duì)這個(gè)域內(nèi)所有的ou都有權(quán)限加入域了��,能不能只限制讓他在某個(gè)ou有權(quán)限加入域啊?
---simple
要對(duì)特定的OU委派加入域的權(quán)限����,必須自定義委派任務(wù)。步驟如下:
1. 打開Active Directory用戶和計(jì)算機(jī)管理�。
2. 展開OU,在需要委派的OU上,點(diǎn)擊右鍵����,選擇委派控制。
3. 根據(jù)向?qū)?�,選擇委派權(quán)限的組��,單擊下一步���。
4. 選擇創(chuàng)建自定義任務(wù)去委派,單擊下一步�����。
5. 單擊只是文件夾中的下列對(duì)象,從列表框中選擇下列選項(xiàng):
計(jì)算機(jī)對(duì)象
在此文件夾中創(chuàng)建選定對(duì)象
刪除此文件夾中選定對(duì)象
6. 單擊下一步�����,在權(quán)限列表框�����,選擇以下選項(xiàng):
讀取
寫入
重置密碼
驗(yàn)證寫入DNS 主機(jī)名
Read 和 Write 帳戶限制
驗(yàn)證寫入到服務(wù)主體名稱
7. 單擊下一步�����,單擊完成���。
計(jì)算機(jī)在加入域時(shí)�����,計(jì)算機(jī)帳戶默認(rèn)是存放到Computers容器�,因此���,在加入域時(shí)�,必須先在該OU創(chuàng)建計(jì)算機(jī)對(duì)象,然后再加入域�,否則無(wú)法加入域?����;蛘呤褂肗etdom 指定加入域時(shí)創(chuàng)建計(jì)算機(jī)對(duì)象的OU.
之所以出現(xiàn)拒絕訪問的問題�����,是由于普通的域用戶無(wú)法寫入computers 容器或者無(wú)法寫入相應(yīng)的OU,對(duì)它們賦予相應(yīng)的域賬戶以寫入權(quán)限即可�。
