关于加入域应具备的权限讨论(转)

之前有朋友在winmag的朋友问，到底将计算机加入域应该具备什么权限啊？为什么我在ou上作了委派，在computers容器上添加了完全控制的权限，但用这个帐户在将计算机加入域的时候，仍然提示我“存取被拒”？呵呵，这倒霉的事情今天终于让我遇上了！

ou管理员下午突然找到我说，“我的帐户不能添加计算机了”。怪了，之前好好的，怎么就突然不行了呢？查看computers上的权限，这个物件和子物件完全控制！（抱歉，这里使用繁体的词汇）百思不得其解，遂查资料。翻了《Best Practices for Delegating Active Directory Administration》一书，其中重点讲述了Delegating Service Management 和 Delegating Data Management ，于事无补啊（不过这本书确实不错，大家可以看看），无意中看了之前收集的一篇kb818091 http://support.microsoft.com/default.aspx?scid=kb;en-us;818091  ，打开我的思路。按照文中所述的方法炮制：

1.	Click Start, point to Programs, point to Administrative Tools, and then click Active Directory Users and Computers.
2.	In Active Directory Users and Computers, click View, and then click to select Advanced Features.
3.	Right-click Computers, and then click Properties.
4.	Click the Security tab, and then click Advanced.
5.	In the Access Control Settings for Computers dialog box, click Add, click the name of the user or group to whom you want to grant permission to remove computers from the Computers container, and then click OK.
6.	In the Permission Entry for Computers dialog box, click This object only in the Apply onto list.
7.	In the Permissions list, find the Delete Computer Objects permission, click to select the Allow check box next to this permission, and then click OK.
8.	In the Access Control Settings for Computers dialog box, click Add, click the name of the user or group to whom you want to grant permission to remove computers from the Computers container, and then click OK.
9.	Click the Properties tab, and then click computer objects in the Apply onto list.
10.	In the Permissions list, find the Write All Properties permission, click to select the Allow check box next to this permission, and then click OK three times.

果然可以了，看样子还是computers 的权限被更改了（唉，这都怪之前的懒惰，粗放式经营岀的祸）考虑到computers上赋予的ou管理员组比较多，很杂乱，随即另开一组，命名为add computers to domain，将之computers容器上按照如上方法设置权限。并告知所有ou管理员，今后需要添加计算机的人员均可自行添加在此组中。最后测试，在组中添加一个新建的domain user，在client上winkey+break ，敲入domain dns name，回车，输入此帐户和密码，回车……诶？还是提示“存取被拒”！！！！

 

还需要什么权限呢？反复读上面的kb，注意到了write all properties ！嗯，计算机在被添加到域后，其计算机帐户自动产生在computers容器下，当被退出域后，计算机帐户遗留在域中。当有计算机加入域的时候，系统将会查询当前域中是否存在以当前计算机帐户，此计算机帐户的名称，以当前计算机netbios名称附加当前域的dns 后缀，构成完成dns名称 （还记得在winkey+break添加域的那个地方，有一个默认勾选项吗？ Change primary DNS suffix when domain membership changes ）。如果域中没有存在同名的计算机帐户，那么使用上面设置的权限足够了，但如果存在呢？系统将使用您提交的帐户身份（就是您使用什么帐户将计算机加入到域），尝试修改该计算机帐户属性，并重置计算机密码，建立和dc之间的安全通道（呵呵，这里又要说道那个让人唏嘘的 关于Netlogon 5722 错误 了）并修改计算机帐户的owner。

 

注：通过“域中添加工作站”的方式创建的计算机帐户将“域管理员”看作该计算机帐户所有者，而通过计算机容器权限方式创建的计算机帐户则将创建者看作计算机帐户的所有者。如果用户既有容器的权限，又有“将工作站添加到域”的用户权利，最终的owner将基于计算机容器权限而非用户权利。

那么到底这里还需要些什么权限呢？找个已经添加到computers 容器中的计算机帐户，看看它的属性－安全－高级。权限列表如下：（这里是繁体的词汇）

清單內容   讀取全部內容  讀取權  
所有延伸的權利 －－－－
以下列接收
以下列傳送
重設密碼
變更密碼

需要注意的是，这里的权限都是针对计算机帐户的。也就是说，我们在这里就应该给add computers to domain这样加权限：

选择computers容器，安全，高级，添加，填入add computers to domain ，在apply on 的地方选择computer objects，然后再下面勾选上述的那些权限。其中“所有延伸的权利”和其下的四项关联，选择它，后面的四项自动选中。

好了，让我们再次尝试一下用新加入add computers to domain这个组的帐户，噢？还是不行？呵呵，忘记了，上面我们提到的“如果计算机帐户已经存在，那么将会用当前用户帐户尝试修改计算机帐户的权限和owner，ok，让我们在勾选“修改使用权限”“修改使用人”。再次测试，完全正常了！

最后出来的针对计算机帐户权限列表如下：

清單內容                  讀取全部內容           讀取權        所有延伸的權利           以下列接收        以下列傳送       重設密碼         變更密碼       修改使用权限     修改使用人

当然这里的权限设定，仅限于一般情况，遇到特殊环境了，比如dns发生了变化，那么就还需要更改dns的权限，大家可以自行调整了，这里也就给大家作个参考！

噢？有朋友问了，如果这个计算机帐户不在computers 容器中又怎么办？呵呵，我的ou管理员发话了 “靠！那一定在我的ou里，那是我的地盘，我说了算！”唉－－！ou是他完全控制啊！

不过这里有个情况要说明一下，当计算机被加入到域的时候，系统会首先查询ad的数据库，是否已经存在此计算机账户，如果不存在，那么将在computers容器中新建计算机账户，进行上面所述的动作；如果存在，那么将直接使用原有帳戶，並保持原有帳戶在ad層次結構中的位置，但會使用當前token中的相关信息重置原有计算机账户。此时如果当前将此计算机添加到域所使用的账户，对于原有账户在ad層次結構中的位置不具有上述基本权限，则也会提示存取被拒。这种情况常常发生在委派ou管理员添加计算机到域时，域中已经存在同名的计算机账户，但当前ou管理员账户对于此计算机账户所处的ou，恰恰没有管理权限

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/258579/viewspace-573188/，如需转载，请注明出处，否则将追究法律责任。

转载于:http://blog.itpub.net/258579/viewspace-573188/