Windows Server活动目录项目式项目10 管理将计算机加入域的权限.ppt

项目10 管理将计算机加入域的权限 网络工程系 黄君羡 默认情况下谁具备让客户机加入到域的权限 域普通账户的客户机授权需要限制吗？ 如何授权普通用户账户给计算机加入域的权限 域客户机和域服务器的计算机间信任关系如何维系？ 域计算机账户也有密码吗？ 课程的内容 项目背景 1、网络部发现有一些员工使用了个人电脑，并通过自己的域账号授权将个人电脑加入到公司域。在公司使用未经管理部验证的计算机会给公司网络带来安全隐患，公司要求禁止普通域账号授权计算机加入到域，域的加入由域管理员授权加入。 2、分公司或办事处有一台计算机需要加入到域，但是分公司或办事处没有域管理员时该怎么办？ 3、公司有一台客户机半年前因故障送修，取回后开机，域员工始终无法登录到域（客户机与域控制器通信正常）。 相关知识 域普通账户具有将客户机加入到域的权限 有次数限制吗？ 域管理员可以委托用户审批特定计算机加入到域吗？ 域计算机账户和域控制器间的信任关系维系 项目分析 对于问题1，公司可以限制普通用户账号将计算机加入到域的权限。 项目分析 对于问题2，网络管理员可以预先获得这台要加入到域的计算机名和使用该计算机的域用户账号，然后在域控制器上创建计算机账号，并授权该用户账号将该计算机加入到域，最后分公司或办事处的使用该域用户将该计算机加入到域即可。 项目分析 对于问题3，如果一台域客户机因故有相当长一段时间未登陆过域，那么这台域客户机对应的计算机账号就会过期，在域环境中，类似与DHCP服务器与客户机，域控制器和域客户机会定期更新契约，并基于该契约建立安全通道，如果契约过期并完全失效，那么就会导致域控制器和域客户机的信任关系破坏。如果要修复它们的信任关系，可以先在活动目录中删除该计算机账号，然后用该计算机的管理员账号退出域再重新加入到域。 问题？ 1、ADSI编辑器有什么作用？ 2、会做客户机加入到域的委派吗？ 3、没有域管理员的办事处如何让计算机加入到域？ 项目实训题 项目要求： 指定jack用户具备将客户机加入域的权限，尝试使用其他用户加域时会出现什么问题，并截取实验结果。 * *