最近在做加入域的客户端更名,由于计算机数量众多且较分散,通过IPSec链接的网络并不稳定,改名退域然后加域,太过繁琐耗时。
对于加入域的计算机,默认情况下,只有计算机域管理员级别的用户才能更改,普通用户无法更改名称;这种现象很明显是权限导致。当然,普通用户肯定不能加入域管理员组,一般情况下,普通用户都已经分配有客户端计算机的管理员权限。
在计算机加入域的同时,会默认在AD的 Computers目录下自动生成计算机账户。默认情况下,域computers目录的权限为:经过认证的账户读取权限,域管理员组 读取、写入、创建子对象。计算机名称是计算机账户的一个属性。由此可知,由于普通用户没有计算机账户属性值的写入权限,而导致客户端无法改名。
在客户端部分,计算机的名称信息存放客户端操作系统的注册表的Local Machine分区中。对于注册表的结构分区中,普通用户只能读取Local Machine分区修改Local Users分区。所以在客户端计算机的名称修改过程中,需要用户有客户端计算机的管理员权限。
解决方法:1.确保用户具有客户端管理员权限。2.将AD用户或用户组添加对 Computers目录的写入权限,(并应用到此OU和所有子对象)。
本文转自秘飞虎51CTO博客,原文链接:http://blog.51cto.com/mifeihu/1692573 ,如需转载请自行联系原作者
