使用管理員的帳號可以將電腦加入到域,是否可以使用其他帳戶加入域?
在最早把一台機子加入到域,(不是後來的登入域),不是要通過驗證才可以加入的嗎。圖中的權限,至少是什麼權限?
方法一:
在DC上,本地策略——用戶權限分配裡面——在域內添加工作站 裡面加上一個帳號就可以了
方法二:
加入域的權限,每個普通用戶都有十次的機會. 當然,管理員沒有限制.如果你想讓非管理員有加入域的權限,可以在AD裡面設委派.
方法三:
最好是將普通用戶加域的權限限制住,只有特定的用戶有加域的權限,便於管理。既然是域就策略,在計算機配置\windows設置\安全設置\用戶權利指派\域中添加工作站中定義特定的用戶就可以了.
方法四:
任何一個普通用戶都可以把自己的計算機加入域
但是只能加入10次
默認情況下,在域控制器上經過身份驗證的用戶,有權限將計算機添加到域,最多可以使得驗證用戶在域中最多可創建 10 個計算機帳戶。
但它不是在域默認策略上修改,而是DC配置分區,需安裝支持工具用adsiedit.msc修改
下面這個地方就是修改機器帳號限額數目
這個GUI工具就在系統光盤support之下
警告:錯誤使用命令工具或ADSI EDIT編輯了活動目錄屬性數據,將導致不可彌補和不可恢復的後果!!使用請慎重!!!
-----
dsmod quota
修改目錄中一個或多個現有配額規范的屬性。
語法
dsmod quota QuotaDN ...[-qlimit Value] [-desc Description] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-c] [-q] [{-uc | -uco | -uci}]
參數
QuotaDN ...
指定要修改的一個或多個配額規范的可分辨名稱。如果省略這些值,將通過標准輸入 (stdin) 得到這些值以便支持從另一個命令以管道輸出的形式輸入到該命令。
-qlimit Value
指定配額對象分配到的安全主體在目錄分區中所擁有的對象數量。若要指定無限制的配額,請使用值 -1。
-desc Description
指定要修改的配額規范的描述。
{-s Server | -d Domain}
連接到指定遠程服務器或域。默認情況下,計算機與登錄域中的域控制器相連接。
-u UserName
指定用戶用以登錄遠程服務器的用戶名。默認情況下,-u 使用用戶登錄時的用戶名。您可以使用下列任何一種格式指定用戶名:
• 用戶名(例如 Linda)
• 域\用戶名(例如 widgets\Linda)
• 用戶主體名稱 (UPN)(例如 [email protected])
-p {Password | *}
指定使用密碼或 * 登錄到遠程服務器。如果鍵入 *,系統將提示輸入密碼。
-c
指定持續操作模式。當指定多個目標對象時,系統報告錯誤,但繼續處理參數表中的下一個對象。如果未使用 -c,則發生第一個錯誤時該命令退出。
-q
取消到標准輸出的所有輸出(安靜模式)。
{-uc | -uco | -uci}
指定以 Unicode 格式輸出或輸入數據。下表列出並描述了每一種格式。
值 描述
-uc
為從管道 (|) 輸入或輸出到管道 (|) 指定 Unicode 格式。
-uco
指定以 Unicode 格式輸出到管道 (|) 或文件。
-uci
指定以 Unicode 格式從管道 (|) 或文件輸入。
/?
在命令提示符下顯示幫助。
備注
• Dsmod quota 只支持常用對象類屬性的子集。
• 如果您提供的值包含空格,請用引號將文本引起來(例如 "CN=DC2,OU=DomainControllers,DC=Microsoft,DC=Com")。
• 如果要提供多個值給一個選項,請使用空格分隔這些值(例如可分辨名稱列表)。
• 當兩個林通過林信任聯接起來時,Dsmod 不支持將其中一個林中的安全主體添加到位於另一個域中的組中。可以使用“Active Directory 用戶和計算機”管理單元跨林信任關系添加安全主體。
示例
若要將名為 DN1 的配額的配額限制值更改為 100,請鍵入:
dsmod quota DN1 -qlimit 100
----------
更多命令幫助,請參閱HELP。另,DSADD、DSQUERY等其他DS命令工具也可以建立、查詢或刪除配額的。
REF: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/zh-chs/library/ServerHelp/714070bb-22a5-420b-ac0f-2f7c558f82fa.mspx
附加:
http://support.microsoft.com/kb/251335/zh-tw