博客围绕Windows系统的加域、退域展开。介绍了域控默认下普通域账号加域限制,因ms - DS - MachineAccountQuota参数初始值为10。还说明了该参数查找方法,以及如何实现只有指定人可无上限加域,通过指定OU下委派权限等步骤完成安全加域授权。
目录
2.ms-DS-MachineAccountQuota参数如何找到?
1.加域,退域简单介绍
域控默认情况下:任何普通的域账号,都可以给10台电脑加入域。(很不安全,导致任何普通域用户都能加域)
给电脑加域:原因在域控的此参数:ms-DS-MachineAccountQuota 初始值为10 意味:加域时候,任何普通的域账号都能加10台电脑进入域。如果加到第11台电脑时候,就会报错如下:
提示:你的计算无法加入域,已超出此域所允许创建的计算机帐户的最大值,请跟系统管理员联系,以便重置或者增加此限制。
加域提示如上:很多人,都是把ms-DS-MachineAccountQuota的值改为一个很大的值,其实方法是可以,但是不安全!!!
电脑退域身份验证:任何电脑退域,任何一个普通域用户都可以退域。(前提是你能进电脑的退域界面,退域只需要你具有那台电脑本地管理员权限,或者进入退域的界面使用具有管理员的账号进入,一样能退域成功。
2.ms-DS-MachineAccountQuota参数如何找到?
1.AD用户和计算机工具
2.或者是AD管理中心工具(方法跟AD用户和计算机工具类似)
3.如何做一个安全的加域权限?
需求:我想实现,只有指定的人可以加域?且加域的电脑没有上限?
加大ms-DS-MachineAccountQuota数值肯定是不行的,即使,你做了组策略:将工作站加入域的策略,限制到那些人加入域,那是没有用的,加域就是看ms-DS-MachineAccountQuota这个值。
没有办法了嘛?有的,指定的OU下,委派权限。
步骤1:重定向加域的电脑OU
新加域的电脑默认是在:Computers容器下,系统默认有的。这个OU有个缺点,就是组策略不能应用此OU,所以后面加域进来的电脑要移到自定义的OU。那么有没有方法?加域的电脑自动移入指定的OU?有的。使用此命令:
PS C:\Users\administrator.VK> redircmp OU=vk.computers,DC=vk,DC=local
重定向成功。
powershell和cmd运行都是可以的。
OU=vk.computers,DC=vk,DC=local替换成你指定的OU路径步骤2:创建一个组,加域组。
目的:谁要加域的权限账号,就加入此组即可。(省略演示)
步骤3:在自定义的OU委派步骤2创建的组具有加域功能。
即可完成对指定的组授权,后面谁需要加域,就将账号添加进此组即可。
步骤4:为了安全,ms-DS-MachineAccountQuota的值设置为0. (拒绝任何未授权的人禁止加域。当然,委派不受到ms-DS-MachineAccountQuota此参数的影响!!!
直至:完美的加域授权权限即可完成!!!!!
扫一扫
4155
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
