none
如何修改一個users帳號, 讓它可以協助加入AD (join AD) RRS feed

  • 問題

  • Dear all MS experts and friends:

     

    在Win2003 AD環境下, 想要請user幫忙把Client PC加入網域,

    但又不想開Admin權限的話, 請問要怎麼做較好呢?

     

    PS:我已試過, user的帳號是無法加入網域的...Sad

    感謝各位的幫忙...

    2007年11月2日 上午 11:38

解答

  •  

    這個錯誤應該與Join Domain權限無關, 這只是這部電腦亦在ADUC內的Computer內仍存在, 所以你未能成功再次加入網域, 請嘗試把這部電腦的相關資料從 Domain 內移除, 否則俾 Administrators Group你你也不能加這部電腦入你的網域呢....
    2007年11月13日 上午 01:57

所有回覆

  • 先建立電腦帳號, user 就可以自己加入網域.

    2007年11月4日 上午 05:01
  •  BTSIU 寫信:

    先建立電腦帳號, user 就可以自己加入網域.

    Dear 大大:

    我請同事使用Domain Users等級的帳號, 似乎不行, 難道還要加什麼權限嗎?

    感謝...

    2007年11月4日 下午 02:21
  • 一個domain User 預設只能加入10台電腦到AD中 ,

    有兩個方式可以做,

    1.先在AD使用者及電腦 中建立好電腦物件

    2.或是由 AD 使用者及電腦 去做委派授權,委派使用者 對 OU 有 新增電腦物件的權利。

     

    2007年11月5日 上午 05:59
  •  Lusheng 寫信:

    一個domain User 預設只能加入10台電腦到AD中 ,

    有兩個方式可以做,

    1.先在AD使用者及電腦 中建立好電腦物件

    2.或是由 AD 使用者及電腦 去做委派授權,委派使用者 對 OU 有 新增電腦物件的權利。

     

     

    非常感謝您的幫忙...

    關於1.  還沒加入AD, 要怎麼建立好電腦物件呢? 是在ADUC Computers目錄內 以Hostname Create嗎?

    關於2.  我Create一個Group叫 JoinAD, 在其內設定委派控制---->加入 "電腦 物件", 然後權限是"全部" ,設完此Group後,

               再將JoinADUser帳號加入此JoinAD Group, 想讓JoinADUser可以有加入AD的權限, 但結果卻失敗!!!!

                JoinADUser(本身還有DomainUsers的權限) 沒辦法將Client PC加入AD...不知該如何處理呢?

    感謝Lusheng...與各位的幫忙.

    2007年11月9日 上午 03:04
  •  

    Dear Kenneth,

     

       我試一下俾些意見你吧, 用最少的權限設定使用者能把電腦加入網域, 應該是使用 GPO 來做吧,

     

    GPO -> Computer Configuration -> Windows Settings -> Security Settings -> User Rights Assignment 中

    把 Add workstations to domain 項目內選取 Define these policy settings 後再加入相關使用者就可以了, 例如想 John 有權, 就加入 John 這個 account 吧。

     

    Thanks, Hope can help you.

     

    2007年11月9日 上午 07:49
  •  CKTang 寫信:

     

    Dear Kenneth,

     

       我試一下俾些意見你吧, 用最少的權限設定使用者能把電腦加入網域, 應該是使用 GPO 來做吧,

     

    GPO -> Computer Configuration -> Windows Settings -> Security Settings -> User Rights Assignment 中

    把 Add workstations to domain 項目內選取 Define these policy settings 後再加入相關使用者就可以了, 例如想 John 有權, 就加入 John 這個 account 吧。

     

    Thanks, Hope can help you.

     

    現在正在測試新的方法中, 順便必須問的是退出網域有GPO的方法嗎?

    有看到一個設定: 從連接站上移除電腦... 不知是否就是退出網域的設定?

    若不是的話, 請問要使用那一個設定? 感謝各位熱心的幫忙.

    2007年11月9日 上午 08:52
  • 除了使用者本身是Domain Admin或是Workstation內的Administrators Group, 應該沒有方法, 你可以把所有 Workstation的Administrator設定為同一個password, 那你就可以容易移除電腦從網域當中。

     

    其實最簡單都是在AD內直接把電腦重Domain內移除呢...

     

    2007年11月12日 上午 03:03
  •  CKTang 寫信:

     

    Dear Kenneth,

     

       我試一下俾些意見你吧, 用最少的權限設定使用者能把電腦加入網域, 應該是使用 GPO 來做吧,

     

    GPO -> Computer Configuration -> Windows Settings -> Security Settings -> User Rights Assignment 中

    把 Add workstations to domain 項目內選取 Define these policy settings 後再加入相關使用者就可以了, 例如想 John 有權, 就加入 John 這個 account 吧。

     

    大大: 使用 GPO的方法, 仍失敗。

    出現對話框的訊息: "電腦名稱變更"

    "嘗試加入網域"aten.com.tw"時,發生以下錯誤:存取被拒。"

     

    感謝大家的幫忙.

     

     

    2007年11月12日 上午 10:11
  •  Kenneth Sung 寫信:
     Lusheng 寫信:

    一個domain User 預設只能加入10台電腦到AD中 ,

    有兩個方式可以做,

    1.先在AD使用者及電腦 中建立好電腦物件

    2.或是由 AD 使用者及電腦 去做委派授權,委派使用者 對 OU 有 新增電腦物件的權利。

     

     

    非常感謝您的幫忙...

    關於1.  還沒加入AD, 要怎麼建立好電腦物件呢? 是在ADUC Computers目錄內 以Hostname Create嗎?

    關於2.  我Create一個Group叫 JoinAD, 在其內設定委派控制---->加入 "電腦 物件", 然後權限是"全部" ,設完此Group後,

               再將JoinADUser帳號加入此JoinAD Group, 想讓JoinADUser可以有加入AD的權限, 但結果卻失敗!!!!

                JoinADUser(本身還有DomainUsers的權限) 沒辦法將Client PC加入AD...不知該如何處理呢?

    感謝Lusheng...與各位的幫忙.

     

    A1:沒錯,就是利用ADUC 先去建立好電腦帳號

     

    A2:我沒試過使用Group,你可以先用User 試試嗎

    2007年11月12日 上午 11:16
  •  

    這個錯誤應該與Join Domain權限無關, 這只是這部電腦亦在ADUC內的Computer內仍存在, 所以你未能成功再次加入網域, 請嘗試把這部電腦的相關資料從 Domain 內移除, 否則俾 Administrators Group你你也不能加這部電腦入你的網域呢....
    2007年11月13日 上午 01:57