- 1Hadoop伪分布式部署过程_hadoop伪分布从机集群id与主机集群id要一致吗
- 2spark2.2以后版本任务调度将增加黑名单机制
- 3大数据案例--网站流量项目(中)_大数据项目开发案例
- 4怎么利用互联网平台赚钱,利用网络挣钱的路子_互联网挣钱项目平台
- 5财务有必要学python吗-会计要学python
- 6AIGC技术揭秘:探索火热背后的原因与案例_aigc相关案例分析
- 7Linux学习五(进程)
- 8分享一个可以提高微信公众号文章阅读率的小工具!公众号运营者必备哦!_微信文章阅读量增加器
- 9防止Win10安全中心(Microsoft Defender)总是删除或隔离文件_win10系统怎么阻断隔离的文件
- 10MySQL面经整理_myaql面经
1.12-你的计算无法加入域,已超出此域所允许创建的计算机帐户的最大值,请跟系统管理员联系,以便重置或者增加此限制,如何解决?_计算机无法加入域,已超出此域所允许创建的
赞
踩
目录
2.ms-DS-MachineAccountQuota参数如何找到?
1.加域,退域简单介绍
域控默认情况下:任何普通的域账号,都可以给10台电脑加入域。(很不安全,导致任何普通域用户都能加域)
给电脑加域:原因在域控的此参数:ms-DS-MachineAccountQuota 初始值为10 意味:加域时候,任何普通的域账号都能加10台电脑进入域。如果加到第11台电脑时候,就会报错如下:
提示:你的计算无法加入域,已超出此域所允许创建的计算机帐户的最大值,请跟系统管理员联系,以便重置或者增加此限制。
加域提示如上:很多人,都是把ms-DS-MachineAccountQuota的值改为一个很大的值,其实方法是可以,但是不安全!!!
电脑退域身份验证:任何电脑退域,任何一个普通域用户都可以退域。(前提是你能进电脑的退域界面,退域只需要你具有那台电脑本地管理员权限,或者进入退域的界面使用具有管理员的账号进入,一样能退域成功。
2.ms-DS-MachineAccountQuota参数如何找到?
1.AD用户和计算机工具
2.或者是AD管理中心工具(方法跟AD用户和计算机工具类似)
3.如何做一个安全的加域权限?
需求:我想实现,只有指定的人可以加域?且加域的电脑没有上限?
加大ms-DS-MachineAccountQuota数值肯定是不行的,即使,你做了组策略:将工作站加入域的策略,限制到那些人加入域,那是没有用的,加域就是看ms-DS-MachineAccountQuota这个值。
没有办法了嘛?有的,指定的OU下,委派权限。
步骤1:重定向加域的电脑OU
新加域的电脑默认是在:Computers容器下,系统默认有的。这个OU有个缺点,就是组策略不能应用此OU,所以后面加域进来的电脑要移到自定义的OU。那么有没有方法?加域的电脑自动移入指定的OU?有的。使用此命令:
- PS C:\Users\administrator.VK> redircmp OU=vk.computers,DC=vk,DC=local
- 重定向成功。
- powershell和cmd运行都是可以的。
- OU=vk.computers,DC=vk,DC=local替换成你指定的OU路径
步骤2:创建一个组,加域组。
目的:谁要加域的权限账号,就加入此组即可。(省略演示)
步骤3:在自定义的OU委派步骤2创建的组具有加域功能。
即可完成对指定的组授权,后面谁需要加域,就将账号添加进此组即可。
步骤4:为了安全,ms-DS-MachineAccountQuota的值设置为0. (拒绝任何未授权的人禁止加域。当然,委派不受到ms-DS-MachineAccountQuota此参数的影响!!!
直至:完美的加域授权权限即可完成!!!!!
