WIndows Server Datacenter 2016 :域控设置特定的账号才能加域或退域
问题
答案
全部回复
-
你好,
首先,管理员可以通过两种方式控制用户可否将计算机加入域
1. 通过修改 ms-DS-机器帐户报价属性
• 打开活动目录服务接口控制台(ADSI 编辑)(启动 + 运行 + adsiedit.msc)
•右键单击ADSI编辑,然后单击连接...
• 从众所周知的命名上下文下拉菜单中选择"默认命名上下文"
• 右键单击域名并单击属性
• 在属性编辑器选项卡上向下滚动到 ms-DS-MachineAccountQuota
• 单击"编辑 ms-DS-MachineAccountQuota"并设置为 0,单击"确定"退出。
注意:
管理员或域管理员组中的用户以及对 Active Directory 中的容器具有委派权限以创建和删除计算机帐户的用户不受此限制的限制。
2. 默认域控制器策略
• 打开组策略管理控制台;
• 找到域控制器 OU 并查找默认域控制器策略。
• 编辑默认域控制器策略。
• 展开计算机配置 • 策略 • 窗口设置 • 安全设置 • 用户权限分配
• 从右窗格右键单击"将工作站添加到域" » 属性 » 删除经过身份验证的用户并添加您委派域加入权限的用户或组。
• 单击"应用",然后单击"确定"以关闭"属性"窗口。
其次,关于退域以及修改主机名称,默认普通域用户无此权限。只有域管理员组或者本地管理员组的成员才有此权限。
Fan
针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。
- 已编辑 flingminMicrosoft contingent staff 2020年6月30日 0:18
-
你好,
普通域用户有把计算机加域的权限,但是默认限制为10次。如果不想给权限则可以通过上面给的方法禁止。
如果想授权某个特定用户加域的权限(并且不受次数限制)及退域的权限,可以进行权限委派,打开ADUC 右击域名或者OU选择delegation control ,选择以下权限:
如之前所说,目前我所知道的是需要把用户加入本地组才能有修改计算机名称的权限。
Fan
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
-
你好,
鉴于不了解你所使用的工具,所有以下回答仅针对不使用工具的情景:
默认加域后,不会自动添加到本地(域管理员除外)
如果想让当前域账号只登录搭配本台计算机,可以使用本地组策略,允许本地登录:administrators , "username"(允许登录的用户名称)。普通用户没有权限安装软件,需要输入管理员密码才能进行操作。
这取决于UAC的设置,可以通过GPO统一部署:Fan
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
-
你好,
鉴于不了解你所使用的工具,所有以下回答仅针对不使用工具的情景:
默认加域后,不会自动添加到本地(域管理员除外)
如果想让当前域账号只登录搭配本台计算机,可以使用本地组策略,允许本地登录:administrators , "username"(允许登录的用户名称)。普通用户没有权限安装软件,需要输入管理员密码才能进行操作。
这取决于UAC的设置,可以通过GPO统一部署:Fan
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
非常感谢你的回复
如果想实现:仅当前的域账号可以登录这台计算机,
1、“运行本地登录” 要把domain users 和 users删除,
2、把当前登录此计算机的域账号加进去才可以,
上述2步,有没有什么工具或方法快速的执行?在用户加域重启之前就完成?
“这取决于UAC的设置,可以通过GPO统一部署:”
=》这句话是啥意思?
基于什么目标,哪些策略配合设置?
“用户账户控制:以管理员批准模式运行所有管理员属性” 禁用,win10 系统下,点击程序就可以直接运行,有些必须“以管理员身份运行”的程序,不用右键,以管理员身份运行,
有什么风险?
- 已编辑 super.ma 2020年7月3日 2:01 增加描述
-
你好,
普通域用户有把计算机加域的权限,但是默认限制为10次。如果不想给权限则可以通过上面给的方法禁止。
如果想授权某个特定用户加域的权限(并且不受次数限制)及退域的权限,可以进行权限委派,打开ADUC 右击域名或者OU选择delegation control ,选择以下权限:
如之前所说,目前我所知道的是需要把用户加入本地组才能有修改计算机名称的权限。
Fan
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
微软的策略是禁止优先允许
禁止了全员加域,退域,会不会把委派加域账号,退域账号都禁止了?
-
你好,
1,实现仅当前的域账号可以登录这台计算机:我个人的经验来看,就是上面所说的办法。
2,实现普通用户没有权限安装软件,需要输入管理员密码才能进行操作:不清楚你现在的环境是什么样子的,默认情况下普通的用户进行软件安装都需要输入密码。可以查看本地策略,或者域策略是怎么部署的,位置以及配置如下:
Fan
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
-
你好,
1,实现仅当前的域账号可以登录这台计算机:我个人的经验来看,就是上面所说的办法。
2,实现普通用户没有权限安装软件,需要输入管理员密码才能进行操作:不清楚你现在的环境是什么样子的,默认情况下普通的用户进行软件安装都需要输入密码。可以查看本地策略,或者域策略是怎么部署的,位置以及配置如下:
Fan
Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com
1,实现仅当前的域账号可以登录这台计算机:我个人的经验来看,就是上面所说的办法。
=》这个方法?
如果想实现:仅当前的域账号可以登录这台计算机,
1、“运行本地登录” 要把domain users 和 users删除,
2、把当前登录此计算机的域账号加进去才可以,
上述2步,有没有什么工具或方法快速的执行?在用户加域重启之前就完成?
