九乡新闻网郑州了物业协会:限制计算机加入域
来源:百度文库 编辑:九乡新闻网 时间:2024/04/28 07:55:26
1、正常情况,如果要将计算机加入域,就要有域用户做为验证!DOMAIN USERS组里的用户,默认有将10台计算机加入域的权限!也就是说,只要是域用户,默认它就有让PC加入域的权限!所以我们需要用ADSIEDIT.MSC工具,将10改为0,这样DOMAIN USERS组里的普通用户就没有加入域的权限了!' H6 y! i/ W# x% m, ?
2、但是这样所有域用户都没有权限加入域了,也不好,不够灵活,所以可以授权并指定特定的域账号有加入域的权限!就是指定某一域用户,例如USER-join,有创建计算机对象的权限,之前是禁止所有域用户创建计算机对象的权限,这里将USER-join排除!加入域后的计算机账户,默认都会出现在Computers这个文件夹容器里,只要我们给USER-join用户,对Computers容器有创建计算机对象的权限!也可以通过委派来指定某一用户有加入域的权限,不要让其它人知道域管理账户的密码,那样很不安全。不知道楼主是否能明白我的意思!
2、但是这样所有域用户都没有权限加入域了,也不好,不够灵活,所以可以授权并指定特定的域账号有加入域的权限!就是指定某一域用户,例如USER-join,有创建计算机对象的权限,之前是禁止所有域用户创建计算机对象的权限,这里将USER-join排除!加入域后的计算机账户,默认都会出现在Computers这个文件夹容器里,只要我们给USER-join用户,对Computers容器有创建计算机对象的权限!也可以通过委派来指定某一用户有加入域的权限,不要让其它人知道域管理账户的密码,那样很不安全。不知道楼主是否能明白我的意思!