一般而言,任何一个域帐户都有权限将计算机加入域,默认每个用户都有10次加域权限
本文分享下如何限制加域的权限。以Server2016为例
1、禁止普通用户加入域
打开服务器管理器,找到AD DS,选择域控,右击找到ADSI编辑器
或者直接运行adsiedit.msc
选择创建一个命名上下文
在弹出的窗口中,展开选项,在第一个域DN上右击,选择属性
找到ms-DS-MachineAccountQuota,将值改成0
最后应用
然后右击默认的命名上下文,选择更新架构
现在使用普通用户去加域,会提示无法加入。
2、设定指定的加域账户
创建一个用户。
打开ad域用户管理中心,右击委派
添加用户
选择常见任务--加入域
最后一直下一步即可。
在桌面加域使用刚才的账户,提示加域成功