通过委派任务来实现,具体如下:
1. 在域控上打开Active Directory 用户和计算机,右击域名(注意“将计算机加入域”只能在域上委派,不能在OU上),选择【委派控制】;
2. 下一步,点击添加,选择被授权的用户或组,下一步;
3. 选择委派的任务,在这里你可以使用常见的委派任务,也可以自定义任务;而我们选择【将计算机加入域】,下一步,确定整个信息后点完成。这样就完成了委派的任务。此时你委派的用户就有将计算机加域的权限了。
以上两种方法是微软推荐的,可以在网上找到更加详细的教程。
但是本文的目的不仅仅是与大家分享如何授权加域,我要分析的是一个特殊场景:
正常来讲,Helpdesk人员经常会帮客户的计算机重装系统,而重装系统后需要将计算机名改为原来的计算机名再将其加入域中,这样不会在系统更改不必要的信息,方便计算机管理。因为我们之前已经对helpdesk人员进行加域的授权操作,按理说他们应该是可以对计算机进行加域操作。
但事与愿违,Helpdesk人员反映他们用自己的管理帐户加域时,出现错误,提示如下:
用其他有加域权限的helpdesk账号也尝试加域,依然出错。但如果用域管理员的账号则没有问题。
这个时候helpdesk人员向我们抱怨授权不成功。 我们也很郁闷,因为我们是按照微软的说明来操作的。
于是,通过测试问题的原因已经找到:
默认委派加域权限给某个用户,此用户则拥有创建计算机对象的权限。而对已经存在的计算机对象它并没有读取与写入的权限,所以当我们尝试用这个用户将某个DC中已经存在的计算机对象的名称去加域时,会报错:access is denied。而默认当时将这个计算机对象初次加域的用户对这个计算机对象是有读取等权限的。因此,如果我们用当时将这台计算机加入域的用户再进行加域操作时,则不会报错。
最后,解决的办法:将计算机对象删除,再让helpdesk去加域。
