windows-server-2008 – 如果计算机与ADUC中的另一个计算机对象

没有特定功能可以防止使用现有名称加入计算机.通过不委派“桌面支持”组权限来修改现有计算机对象,您可以删除组成员修改现有计算机对象的功能.

如果我是你,我会做以下事情：

>在Active Directory中创建一个OU,以便新创建的计算机帐户“登陆”(使用客户端操作系统中的默认GUI域加入功能创建时).我将这称为“新计算机”OU.
>使用redircmp实用程序将默认的“Computers”容器重定向到“New Computers”OU(Microsoft已有specific usage details)
>将“桌面支持”组权限委派给“新计算机”OU“创建计算机对象”.

“桌面支持”组的成员将能够将计算机加入域,并且新创建的计算机对象将最终位于“新计算机”OU中.假设您已删除任何较高权限组中的用户成员身份,他们将无法修改现有计算机对象,因此无法将计算机加入到具有加入计算机所使用的名称的域中域已经.

编辑：

我无法重现你所看到的行为：“……关于无法更改主域DNS名称的错误”.

当您测试产品的行为时,请注意default permissions set on computer objects.用于创建计算机对象的帐户被设置为所有者,并被授予新创建的对象的权限(作为CREATOR OWNER).如果您使用相同的帐户添加“冲突”计算机,这些权限将允许您“中断”原始计算机帐户.我不知道有任何方法可以覆盖此行为.防止此行为导致问题的最佳方法是以编程方式将新创建的计算机对象上的所有者重置为“Administrators”并重新应用默认ACL(以删除引用原始CREATOR OWNER的ACE).

我使用“桌面支持”组的成员将名为“TEST-SVR01”的计算机加入了我的测试域.我这样做后,我将TEST-SVR01计算机对象的所有权重置为“管理员”并重新应用默认权限(使用“高级”安全对话框中的“默认”按钮).

我尝试使用相同的“桌面支持”成员用户将另一台名为TEST-SVR01的计算机加入域中,并在尝试期间收到错误消息“访问被拒绝”.原始TEST-SVR01仍然与域具有完整的信任关系.

没有简单的(或者,在我看来,可取的)方式使“Domain Admins”组成员无法更改现有的计算机帐户.您可能会做一些令人作呕的“拒绝”权限,但您将使产品的行为方式与其默认值非常不同.我认为您不应该使用“Domain Admins”成员帐户将计算机加入域.最小权限原则规定您应该只使用“Domain Admins”成员帐户来执行其过度权限所必需的功能,并且将计算机加入域不需要过多的权限.