none
WIndows Server Datacenter 2016 :域控设置特定的账号才能加域或退域 RRS feed

  • 问题

  • 【背景描述】:域控是 2016  Datacenter,

    【诉求】:要求普通用户不能自己修改主机名,不能自己加域和退域,只能指定特定的域账号才能加域,退域,修改主机名

    能否实现?如何做?


    • 已编辑 super.ma 2020年6月29日 12:00 增加描述
    2020年6月29日 12:00

答案

  • 你好,

    我的经验是要实现当前域账号登录这台计算机需要在本地策略里进行以下设置,将允许登录的域用户放进去并删除其他用户,建议把管理员组也放进去,否则管理员也不能登录。

    2,目前我还没有找到更快捷的方法。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 super.ma 2020年7月8日 8:33
    2020年7月8日 5:42

全部回复

  • 你好,

    首先,管理员可以通过两种方式控制用户可否将计算机加入域
    1. 通过修改 ms-DS-机器帐户报价属性
    • 打开活动目录服务接口控制台(ADSI 编辑)(启动 + 运行 + adsiedit.msc)
    •右键单击ADSI编辑,然后单击连接... 
    • 从众所周知的命名上下文下拉菜单中选择"默认命名上下文"
    • 右键单击域名并单击属性
    • 在属性编辑器选项卡上向下滚动到 ms-DS-MachineAccountQuota 
    • 单击"编辑 ms-DS-MachineAccountQuota"并设置为 0,单击"确定"退出。
    注意:
    管理员或域管理员组中的用户以及对 Active Directory 中的容器具有委派权限以创建和删除计算机帐户的用户不受此限制的限制。
    2. 默认域控制器策略
    • 打开组策略管理控制台;
    • 找到域控制器 OU 并查找默认域控制器策略。
    • 编辑默认域控制器策略。
    • 展开计算机配置 • 策略 • 窗口设置 • 安全设置 • 用户权限分配
    • 从右窗格右键单击"将工作站添加到域" » 属性 » 删除经过身份验证的用户并添加您委派域加入权限的用户或组。
    • 单击"应用",然后单击"确定"以关闭"属性"窗口。 

    其次,关于退域以及修改主机名称,默认普通域用户无此权限。只有域管理员组或者本地管理员组的成员才有此权限。

    Fan


    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年6月30日 0:17
  • 你好,

    首先,管理员可以通过两种方式控制用户可否将计算机加入域
    1. 通过修改 ms-DS-机器帐户报价属性
    • 打开活动目录服务接口控制台(ADSI 编辑)(启动 + 运行 + adsiedit.msc)
    •右键单击ADSI编辑,然后单击连接... 
    • 从众所周知的命名上下文下拉菜单中选择"默认命名上下文"
    • 右键单击域名并单击属性
    • 在属性编辑器选项卡上向下滚动到 ms-DS-MachineAccountQuota 
    • 单击"编辑 ms-DS-MachineAccountQuota"并设置为 0,单击"确定"退出。
    注意:
    管理员或域管理员组中的用户以及对 Active Directory 中的容器具有委派权限以创建和删除计算机帐户的用户不受此限制的限制。
    2. 默认域控制器策略
    • 打开组策略管理控制台;
    • 找到域控制器 OU 并查找默认域控制器策略。
    • 编辑默认域控制器策略。
    • 展开计算机配置 • 策略 • 窗口设置 • 安全设置 • 用户权限分配
    • 从右窗格右键单击"将工作站添加到域" » 属性 » 删除经过身份验证的用户并添加您委派域加入权限的用户或组。
    • 单击"应用",然后单击"确定"以关闭"属性"窗口。 

    其次,关于退域以及修改主机名称,默认普通域用户无此权限。只有域管理员组或者本地管理员组的成员才有此权限。

    描述:加域后,普通域账号在本地管理员组,还有什么办法,禁止随意修改计算机名?退域?
    2020年6月30日 13:21
  • 你好,

    如果域成员在本地管理员组,则无法禁止这些权限。

    如果想分配或者禁止域用户某些特定权限,则建议移出本地管理员组。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年6月30日 23:49
  • 你好,

    如果域成员在本地管理员组,则无法禁止这些权限。

    如果想分配或者禁止域用户某些特定权限,则建议移出本地管理员组。


    我们内网:有个加域工具:该加域的动作是:加域并且把登录这台计算机的域账号加入到本地administrators组,配合下图的组策略,实现该域账号仅能登录该计算机

    【诉求】:有没什么办法?加域后,不在本地管理员组,且当前的域账号仅登录这台机器?同时解决如果安装软件,可以后台或流程审批后再自动授权安装软件,同时可以解决随意加域和修改计算机名的事情

    补充说下:不能用在域控登录到限制,因为那样会导致和AD 集成认证的系统无法登录;

    2020年7月1日 14:52
  • 你好,

    首先,管理员可以通过两种方式控制用户可否将计算机加入域
    1. 通过修改 ms-DS-机器帐户报价属性
    • 打开活动目录服务接口控制台(ADSI 编辑)(启动 + 运行 + adsiedit.msc)
    •右键单击ADSI编辑,然后单击连接... 
    • 从众所周知的命名上下文下拉菜单中选择"默认命名上下文"
    • 右键单击域名并单击属性
    • 在属性编辑器选项卡上向下滚动到 ms-DS-MachineAccountQuota 
    • 单击"编辑 ms-DS-MachineAccountQuota"并设置为 0,单击"确定"退出。
    注意:
    管理员或域管理员组中的用户以及对 Active Directory 中的容器具有委派权限以创建和删除计算机帐户的用户不受此限制的限制。
    2. 默认域控制器策略
    • 打开组策略管理控制台;
    • 找到域控制器 OU 并查找默认域控制器策略。
    • 编辑默认域控制器策略。
    • 展开计算机配置 • 策略 • 窗口设置 • 安全设置 • 用户权限分配
    • 从右窗格右键单击"将工作站添加到域" » 属性 » 删除经过身份验证的用户并添加您委派域加入权限的用户或组。
    • 单击"应用",然后单击"确定"以关闭"属性"窗口。 

    其次,关于退域以及修改主机名称,默认普通域用户无此权限。只有域管理员组或者本地管理员组的成员才有此权限。


    授权“某个特定的普通域账号”才能加域和退域?修改计算机名称?
    2020年7月1日 14:56
  • 你好,

    普通域用户有把计算机加域的权限,但是默认限制为10次。如果不想给权限则可以通过上面给的方法禁止。

    如果想授权某个特定用户加域的权限(并且不受次数限制)及退域的权限,可以进行权限委派,打开ADUC 右击域名或者OU选择delegation control ,选择以下权限:

    如之前所说,目前我所知道的是需要把用户加入本地组才能有修改计算机名称的权限。

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年7月2日 1:28
  • 你好,

    鉴于不了解你所使用的工具,所有以下回答仅针对不使用工具的情景:

    默认加域后,不会自动添加到本地(域管理员除外)

    如果想让当前域账号只登录搭配本台计算机,可以使用本地组策略,允许本地登录:administrators , "username"(允许登录的用户名称)。普通用户没有权限安装软件,需要输入管理员密码才能进行操作。

    这取决于UAC的设置,可以通过GPO统一部署:

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年7月2日 1:38
  • 你好,

    鉴于不了解你所使用的工具,所有以下回答仅针对不使用工具的情景:

    默认加域后,不会自动添加到本地(域管理员除外)

    如果想让当前域账号只登录搭配本台计算机,可以使用本地组策略,允许本地登录:administrators , "username"(允许登录的用户名称)。普通用户没有权限安装软件,需要输入管理员密码才能进行操作。

    这取决于UAC的设置,可以通过GPO统一部署:

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    非常感谢你的回复

    如果想实现:仅当前的域账号可以登录这台计算机,

    1、“运行本地登录” 要把domain users 和 users删除,

    2、把当前登录此计算机的域账号加进去才可以,

    上述2步,有没有什么工具或方法快速的执行?在用户加域重启之前就完成?

    这取决于UAC的设置,可以通过GPO统一部署:

    =》这句话是啥意思?

    基于什么目标,哪些策略配合设置?

    “用户账户控制:以管理员批准模式运行所有管理员属性”  禁用,win10 系统下,点击程序就可以直接运行,有些必须“以管理员身份运行”的程序,不用右键,以管理员身份运行,

    有什么风险?


    • 已编辑 super.ma 2020年7月3日 2:01 增加描述
    2020年7月3日 1:54
  • 你好,

    普通域用户有把计算机加域的权限,但是默认限制为10次。如果不想给权限则可以通过上面给的方法禁止。

    如果想授权某个特定用户加域的权限(并且不受次数限制)及退域的权限,可以进行权限委派,打开ADUC 右击域名或者OU选择delegation control ,选择以下权限:

    如之前所说,目前我所知道的是需要把用户加入本地组才能有修改计算机名称的权限。

    Fan



    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    微软的策略是禁止优先允许

    禁止了全员加域,退域,会不会把委派加域账号,退域账号都禁止了?

    2020年7月3日 2:42
  • 你好,

    1,实现仅当前的域账号可以登录这台计算机:我个人的经验来看,就是上面所说的办法。

    2,实现普通用户没有权限安装软件,需要输入管理员密码才能进行操作:不清楚你现在的环境是什么样子的,默认情况下普通的用户进行软件安装都需要输入密码。可以查看本地策略,或者域策略是怎么部署的,位置以及配置如下:

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年7月3日 5:08
  • 你好,

    分配权限或者禁止权限用户的范围都是可选的。

    如果你想禁止某些用户的权限,则可以把这些权限加入一个安全组。

    分配权限也是可以在域范围内进行分配,也可以在OU范围内进行分配。分配时,会让输入分配权限对象或者组名称。

    所以,目前您首先要明确自己的目的是什么,然后需要进行哪些操作。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年7月3日 5:14
  • 你好,

    1,实现仅当前的域账号可以登录这台计算机:我个人的经验来看,就是上面所说的办法。

    2,实现普通用户没有权限安装软件,需要输入管理员密码才能进行操作:不清楚你现在的环境是什么样子的,默认情况下普通的用户进行软件安装都需要输入密码。可以查看本地策略,或者域策略是怎么部署的,位置以及配置如下:

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    1,实现仅当前的域账号可以登录这台计算机:我个人的经验来看,就是上面所说的办法。

    =》这个方法?

    如果想实现:仅当前的域账号可以登录这台计算机,

    1、“运行本地登录” 要把domain users 和 users删除,

    2、把当前登录此计算机的域账号加进去才可以,

    上述2步,有没有什么工具或方法快速的执行?在用户加域重启之前就完成?

    2020年7月4日 3:52
  • 你好,

    我的经验是要实现当前域账号登录这台计算机需要在本地策略里进行以下设置,将允许登录的域用户放进去并删除其他用户,建议把管理员组也放进去,否则管理员也不能登录。

    2,目前我还没有找到更快捷的方法。

    Fan


    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    • 已标记为答案 super.ma 2020年7月8日 8:33
    2020年7月8日 5:42