windows-server-2008 – 如果计算机与ADUC中的另一个计算机对象同名,则阻止计算机加入域

前端之家收集整理的这篇文章主要介绍了windows-server-2008 – 如果计算机与ADUC中的另一个计算机对象同名,则阻止计算机加入域前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
在工作中,我们有一个运行Server 2008 R2的域控制器.我们的桌面支持组能够使用其网络凭据将计算机加入域.我们现在遇到一个问题,如果要加入的计算机的名称与域中的现有计算机相同,则现有计算机将出现“信任关系失败…”错误,并且不会进行身份验证除非有人以本地管理员身份登录,否则请更改计算机名称并将其重新加入域.

我想这样做,桌面支持只能加入具有唯一名称的计算机到域.如果域名已存在,则操作将失败.通过TechNet看起来看起来这个功能存在,但我似乎无法找到如何启用它.有任何想法吗?

听起来您的“桌面支持”组具有过多的权限,允许成员覆盖现有计算机帐户上的属性.

没有特定功能可以防止使用现有名称加入计算机.通过不委派“桌面支持”组权限来修改现有计算机对象,您可以删除组成员修改现有计算机对象的功能.

如果我是你,我会做以下事情:

>在Active Directory中创建一个OU,以便新创建的计算机帐户“登陆”(使用客户端操作系统中的默认GUI域加入功能创建时).我将这称为“新计算机”OU.
>使用redircmp实用程序将默认的“Computers”容器重定向到“New Computers”OU(Microsoft已有specific usage details)
>将“桌面支持”组权限委派给“新计算机”OU“创建计算机对象”.

“桌面支持”组的成员将能够将计算机加入域,并且新创建的计算机对象将最终位于“新计算机”OU中.假设您已删除任何较高权限组中的用户成员身份,他们将无法修改现有计算机对象,因此无法将计算机加入到具有加入计算机所使用的名称的域中域已经.

编辑:

我无法重现你所看到的行为:“……关于无法更改主域DNS名称错误”.

当您测试产品的行为时,请注意default permissions set on computer objects.用于创建计算机对象的帐户被设置为所有者,并被授予新创建的对象的权限(作为CREATOR OWNER).如果您使用相同的帐户添加“冲突”计算机,这些权限将允许您“中断”原始计算机帐户.我不知道有任何方法可以覆盖此行为.防止此行为导致问题的最佳方法是以编程方式将新创建的计算机对象上的所有者重置为“Administrators”并重新应用默认ACL(以删除引用原始CREATOR OWNER的ACE).

我使用“桌面支持”组的成员将名为“TEST-SVR01”的计算机加入了我的测试域.我这样做后,我将TEST-SVR01计算机对象的所有权重置为“管理员”并重新应用默认权限(使用“高级”安全对话框中的“默认”按钮).

我尝试使用相同的“桌面支持”成员用户将另一台名为TEST-SVR01的计算机加入域中,并在尝试期间收到错误消息“访问被拒绝”.原始TEST-SVR01仍然与域具有完整的信任关系.

没有简单的(或者,在我看来,可取的)方式使“Domain Admins”组成员无法更改现有的计算机帐户.您可能会做一些令人作呕的“拒绝”权限,但您将使产品的行为方式与其默认值非常不同.我认为您不应该使用“Domain Admins”成员帐户将计算机加入域.最小权限原则规定您应该只使用“Domain Admins”成员帐户来执行其过度权限所必需的功能,并且将计算机加入域不需要过多的权限.

猜你在找的Windows相关文章