none
AD指定用户组可以加域,普通用户不能加域 RRS feed

  • 问题

  • 微软工程师,您好,

    微软目前AD系统默认Domain Users可以加域几次的,我们想实现指定的组可以实现加域操作,普通用户没有加域的权限,请问具体如何实现?

    期待您的回复!

    2020年4月2日 1:51

答案

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    问题1:微软目前AD系统默认Domain Users可以加域几次?
    回答1:据我所知,微软目前AD系统默认Domain Users可以加域10次。

    问题2:实现指定的组可以实现加域操作,普通用户没有加域的权限具体如何实现?
    回答2:要实现加域权限,首先这个普通用户需是域内的普通用户,即有域账号的域用户;其次需要有加域权限;满足这两点,这个域账号就有加域权限了。


    要授权特定的普通域用户将计算机加入域,我们可以通过组策略实现,具体操作步骤如下:

    1.新建一个组织单元OU,把指定的用户或者组(普通域用户和管理者)放在此Group里。
    2.新建一个组策略对象GPO(此实验为Test),右击此GPO,选择“编辑”,打开组策略管理编辑器。
    3.打开计算机配置->策略->Windows设置->安全设置->本地策略->用户权限分配->将工作站添加到域,设置此策略,添加指定的用户或者组。
    4.把此组策略对象链接到此OU 。

    希望以上信息对您有帮助,如有不清楚的地方,您可以随时咨询我们。

    此致,
    Snowy Guan

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2020年4月2日 10:33
  • 您好,

    基于“我之前修改了默认域策略中的将工作站添加到域,并添加指定的用户组
    ms-DS-MachineAccountQuota也设置成了0,但是发现默认域用户还是有加域的权限,检查OU委派权限,并没有发现普通域用户的相关权限”,您添加的指定的用户组是否是默认域用户。

    您也可以参考如下步骤完成权限委派。

    1.在Active Directory Users and Comuters右击上面新建的OU,选择“委派控制”,出现如下界面,添加指定的用户和组,添加好所有的用户和组以后,点击“下一步”。

    2.选择“自定义任务去委派”,点击“下一步”。

    3.选择“只是在这个文件夹中的下列对象”,勾选下面的“计算机对象”,同时勾选 “在这个文件夹中创建所选对象”和“删除这个文件夹中的选择的对象”,点击“下一步”。

    4.勾选“常规”,且添加以下四个权限:
    重置密码
    读取和写入账户限制
    已验证的NDNS主机名的写入
    已验证的写入到服务主体名称

    5.通过右击刚才新建的OU,右边“委派”中选择“高级”,我们可以看到刚才委派的用户或者组拥有的权限。


    希望以上信息对您有帮助,如有不清楚的地方,您可以随时咨询我们。

    此致,
    Snowy Guan

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

         

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年4月8日 0:49

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    问题1:微软目前AD系统默认Domain Users可以加域几次?
    回答1:据我所知,微软目前AD系统默认Domain Users可以加域10次。

    问题2:实现指定的组可以实现加域操作,普通用户没有加域的权限具体如何实现?
    回答2:要实现加域权限,首先这个普通用户需是域内的普通用户,即有域账号的域用户;其次需要有加域权限;满足这两点,这个域账号就有加域权限了。


    要授权特定的普通域用户将计算机加入域,我们可以通过组策略实现,具体操作步骤如下:

    1.新建一个组织单元OU,把指定的用户或者组(普通域用户和管理者)放在此Group里。
    2.新建一个组策略对象GPO(此实验为Test),右击此GPO,选择“编辑”,打开组策略管理编辑器。
    3.打开计算机配置->策略->Windows设置->安全设置->本地策略->用户权限分配->将工作站添加到域,设置此策略,添加指定的用户或者组。
    4.把此组策略对象链接到此OU 。

    希望以上信息对您有帮助,如有不清楚的地方,您可以随时咨询我们。

    此致,
    Snowy Guan

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.



    2020年4月2日 10:33
  • 微软专家您好,

    我之前修改了默认域策略中的将工作站添加到域,并添加指定的用户组。

    ms-DS-MachineAccountQuota也设置成了0,但是发现默认域用户还是有加域的权限,检查OU委派权限,并没有发现普通域用户的相关权限。

    目前有点疑惑,不知道哪里出现了问题。

    2020年4月3日 9:16
  • 您好,

    基于“我之前修改了默认域策略中的将工作站添加到域,并添加指定的用户组
    ms-DS-MachineAccountQuota也设置成了0,但是发现默认域用户还是有加域的权限,检查OU委派权限,并没有发现普通域用户的相关权限”,您添加的指定的用户组是否是默认域用户。

    您也可以参考如下步骤完成权限委派。

    1.在Active Directory Users and Comuters右击上面新建的OU,选择“委派控制”,出现如下界面,添加指定的用户和组,添加好所有的用户和组以后,点击“下一步”。

    2.选择“自定义任务去委派”,点击“下一步”。

    3.选择“只是在这个文件夹中的下列对象”,勾选下面的“计算机对象”,同时勾选 “在这个文件夹中创建所选对象”和“删除这个文件夹中的选择的对象”,点击“下一步”。

    4.勾选“常规”,且添加以下四个权限:
    重置密码
    读取和写入账户限制
    已验证的NDNS主机名的写入
    已验证的写入到服务主体名称

    5.通过右击刚才新建的OU,右边“委派”中选择“高级”,我们可以看到刚才委派的用户或者组拥有的权限。


    希望以上信息对您有帮助,如有不清楚的地方,您可以随时咨询我们。

    此致,
    Snowy Guan

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

         

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年4月8日 0:49
  • 你好,

    我们想听听您关于我们的问题是否得到解决的反馈。 如果问题已解决,请在此处分享您的经验和解决方案。 对于其他有类似问题的社区成员,这将是非常有益的。 如果没有,请回复并告诉我们当前情况,以便提供进一步的帮助。

    此致,
    Snowy Guan

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年4月14日 3:14
  • 你好,

    请问这个问题是已解决。 如果问题已解决,请在此处分享您的经验和解决方案。 对于其他有类似问题的社区成员,这将是非常有益的。 如果没有,请回复并告诉我们当前情况,以便提供进一步的帮助。

    此致,
    Snowy Guan

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年4月20日 6:00