取消普通域用户将计算机加入域的权限
普通域用户默认能够将10台计算机加入到域。如果考虑安全因素,您可能需要更改默认设置。
一般域内建立的用户默认都是Domain Users组里的。您会发现发现该组的用户居然可以有加入一台计算机到域内的权限。
那下面的情况如何解决:
一个用户用家里的笔记本接入单位网络,用别人的账户加入到域中,拷贝走域内的一些资料 。
有没有什么方法让所有用户账户不具备让计算机加入域的权限(前提是该账户登录后不影响其本身正常工作,必要的基本的权限还必须具有)。
总结一下:只希望我指定的某几个帐号有加入计算机的权限(比如管理员),其他全部拒绝。
任务:
u 去掉普通域用户能够将计算机加入域的权限
步骤:
1. 如图1-152所示,在域控制器DCServer上,以域管理员身份登录,点击“开始”à“程序”à“管理工具”à“ADSI Edit”。
2. 如图1-153所示,在打开的ADSI Edit管理工具,右击“DC=ess,DC=com”,点击“属性”。
图 1-152 打开ADSI Edit 图 1-153 打开属性
3. 如图1-154所示,在出现的DC=ess,DC=com 属性对话框话,点中ms-DS-MachineAccountQuota,点击“编辑”。
4. 如图1-155所示,在出现的整数属性编辑器对话框,将其值更改为0,点击“确定”。
图 1-154 默认值 图 1-155更改值
5. 如图1-156所示,在marketPC1上,将计算机加入域。
6. 如图1-157所示,在出现的计算机名更改对话框,输入普通域帐号“杜立静”和密码,点击“确定”。
图 1-156 加入域 图 1-157 输入凭据
7. 如图1-158所示,会出现拒绝访问的提示。可见普通域用户帐号已经不能将计算机加入到域。
图 1-158 拒绝访问
本文转自 onesthan 51CTO博客,原文链接:http://blog.51cto.com/91xueit/1133979,如需转载请自行联系原作者
