我们知道windows2003活动目录域默认系统只允许域管理员,对一台机器可以进行加入和退出域的操作。我如何能创建一个非管理员的域用户,让他有权限对下面客户机进行加入域和退出域的操作。
默认时,普通用户也可以加入域,不过这有次数限制,不能超过10次。此外,我们还可以通过委派权限的方式赋予普通用户加入域的权限。通过委派方式获得的权限,没有次数限制。
委派AD管理权限的步骤如下:
1. 打开Active Directory用户和计算机管理。
2. 在需要委派的域或者OU上,点击右键,选择委派控制。
3. 根据向导,选择委派权限的帐号,单击下一步。
4. 选择委派以下常见任务,选择“将计算机加入域”,单击下一步。
5. 点击完成即可。
这个策略只要在DC上应用即可,因为在域中添加工作站,实际是在域中创建计算机帐户,所以只要在DC上应用该策略即可。这个策略,在Windows Server 2003的域中,默认就已经启用。
如果需要自定义委派任务。请参考下面的步骤:
1. 打开Active Directory用户和计算机管理。
2. 展开OU,在需要委派的OU上,点击右键,选择委派控制。
3. 根据向导,选择委派权限的组,单击下一步。
4. 选择创建自定义任务去委派,单击下一步。
5. 单击只是文件夹中的下列对象,从列表框中选择下列选项:
计算机对象
在此文件夹中创建选定对象
删除此文件夹中选定对象
6. 单击下一步,在权限列表框,选择以下选项:
读取
写入
重置密码
验证写入DNS 主机名
Read 和 Write 帐户限制
验证写入到服务主体名称
7. 单击下一步,单击完成。
