none
如何讓AD某幾個帳號僅可以做加退網域跟直接在AD內直接修改電腦名稱 RRS feed

  • 問題

  • 如題

    目前遇到退網域必須與加網域同一個帳號才能夠退網域,而且直接在AD內修改電腦名稱會有次數限制

    想請問各位高手前輩有沒有什麼辦法可以做到"如何讓AD某幾個帳號僅可以做加退網域跟直接在AD內直接修改電腦名稱(不要有次數限制)"

    感謝了!!!

    2016年1月26日 上午 08:37

所有回覆

  • 正常來說除了Domain admin, 只要有local admin權限就能把電腦退出網域, 而且不需要與AD有任何連線

    你能把錯誤訊息貼一下嗎?

    把電腦加入AD這個效果任何使用者帳號都可以做到, 只是普通使用者有次數限制, 而Domain Admin並沒有限制


    邊幫助, 邊鍛鍊

    2016年1月26日 上午 09:51
    1. 建立一個安全性群組,ex:JoinDomain,將要委派權限的帳號加入群組中
    2. 在 [Active Directory 使用者及電腦] 嵌入式管理單元中,按一下 [檢視] 功能表上的 [進階功能],如此當您按一下 [內容] 時,就會展開 [安全性] 索引標籤。
    3. 用滑鼠右鍵按一下 [電腦] 容器,再按一下 [內容]
    4. 在 [安全性] 索引標籤上,按一下 [進階]
    5. 在 [使用權限] 索引標籤上,新增 JoinDomain群組。
    6. 確認 [套用在] 方塊中顯示出 [這個物件及所有的子物件] 選項。
    7. 在 [使用權限] 方塊中,按一下以選取 [建立電腦物件] 和 [刪除電腦物件] ACE 旁的 [允許],然後按一下 [確定]

    這樣 joindomain 群組成員,便可以突破10次限制,只有加退網域權限

    參考資訊

    https://support.microsoft.com/zh-tw/kb/251335

    2016年1月26日 下午 05:28
  • 正常來說除了Domain admin, 只要有local admin權限就能把電腦退出網域, 而且不需要與AD有任何連線

    你能把錯誤訊息貼一下嗎?

    把電腦加入AD這個效果任何使用者帳號都可以做到, 只是普通使用者有次數限制, 而Domain Admin並沒有限制


    邊幫助, 邊鍛鍊

    目前遇到的是在網域內要直接退出AD是需要先輸入管理者的帳號密碼才能進去做修改,管理者帳號密碼驗證通過後再修改完網域或是修改電腦名稱都不會再一次確認帳號密碼,但是如果在網域內改用本機登入,再做電腦名稱或是加退網域前就不需要先輸入管理者帳密,但是要退網域必須使用當初加網域的帳號才能退出網域,所以才想要請問有沒有辦法設定某一個或某幾個帳號可以在網域內直接做修改電腦名稱與加退網域的動作或是可以在本機內修改電腦名稱與加退網域的動作,僅能做"修改電腦名稱與加退網域的動作"
    2016年1月27日 上午 06:04
    1. 建立一個安全性群組,ex:JoinDomain,將要委派權限的帳號加入群組中
    2. 在 [Active Directory 使用者及電腦] 嵌入式管理單元中,按一下 [檢視] 功能表上的 [進階功能],如此當您按一下 [內容] 時,就會展開 [安全性] 索引標籤。
    3. 用滑鼠右鍵按一下 [電腦] 容器,再按一下 [內容]
    4. 在 [安全性] 索引標籤上,按一下 [進階]
    5. 在 [使用權限] 索引標籤上,新增 JoinDomain群組。
    6. 確認 [套用在] 方塊中顯示出 [這個物件及所有的子物件] 選項。
    7. 在 [使用權限] 方塊中,按一下以選取 [建立電腦物件] 和 [刪除電腦物件] ACE 旁的 [允許],然後按一下 [確定]

    這樣 joindomain 群組成員,便可以突破10次限制,只有加退網域權限

    參考資訊

    https://support.microsoft.com/zh-tw/kb/251335


    有個地方請教一下

    ===================================

    用滑鼠右鍵按一下 [電腦] 容器,再按一下 [內容]

    請問是指網域內Computer這個資料夾按右鍵選內容嗎?

    因為這個地方沒有確定的話,後面的步驟就不會是正確的

    ===================================

    P.S.我的AD Server是用 Server 2012 R2架設的

    2016年1月27日 上午 06:05
    1. 在 [Active Directory 使用者及電腦] 嵌入式管理單元中,按一下 [檢視] 功能表上的 [進階功能],如此當您按一下 [內容] 時,就會展開 [安全性] 索引標籤。
    2. 用滑鼠右鍵按一下 [電腦] 容器,再按一下 [內容]

    2016年1月28日 下午 08:00
    1. 建立一個安全性群組,ex:JoinDomain,將要委派權限的帳號加入群組中
    2. 在 [Active Directory 使用者及電腦] 嵌入式管理單元中,按一下 [檢視] 功能表上的 [進階功能],如此當您按一下 [內容] 時,就會展開 [安全性] 索引標籤。
    3. 用滑鼠右鍵按一下 [電腦] 容器,再按一下 [內容]
    4. 在 [安全性] 索引標籤上,按一下 [進階]
    5. 在 [使用權限] 索引標籤上,新增 JoinDomain群組。
    6. 確認 [套用在] 方塊中顯示出 [這個物件及所有的子物件] 選項。
    7. 在 [使用權限] 方塊中,按一下以選取 [建立電腦物件] 和 [刪除電腦物件] ACE 旁的 [允許],然後按一下 [確定]

    這樣 joindomain 群組成員,便可以突破10次限制,只有加退網域權限

    參考資訊

    https://support.microsoft.com/zh-tw/kb/251335

    感謝您的回答

    但是我進去內容的安全性後看不到[建立電腦物件] 和 [刪除電腦物件]

    請問這是在哪呀?!

    2016年1月29日 上午 06:46
  • 2016年1月30日 上午 09:35



  • 我的點出來沒有這麼少耶!!!

    因為我的是2012 所以有很多項目 但是就是沒有電腦物件這2個項目

    P.S.我沒辦法貼圖上來


    • 已編輯 KC Lin 2016年2月3日 上午 12:43
    2016年2月2日 上午 06:01
  • Hi 您好,

    請通過帳號驗證後,將圖貼上,方便版友回應問題,謝謝!


    請記得將對您有幫助的回覆"標示為解答"以幫助其他尋找解答及參與社群討論的朋友們。

    Please remember to click Mark as Answer on the post that helps you. This can be beneficial to other community members reading the thread.

    2016年3月8日 上午 10:44