如果计算机与 ADUC 中的另一台计算机对象同名,则阻止计算机加入域

Jus*_*tin 5 windows-server-2008 active-directory

在工作中,我们有一个运行 Server 2008 R2 的域控制器。我们的桌面支持小组能够使用计算机的网络凭据将计算机加入域。我们现在遇到一个问题,如果要加入的计算机的名称与域中现有计算机的名称相同,则现有计算机将收到“信任关系失败...”错误并且不会进行身份验证除非有人以本地管理员身份登录,更改计算机名称并将其重新加入域。

我想让桌面支持只能将具有唯一名称的计算机加入域。如果该名称已存在于域中,则操作应该会失败。通过 TechNet 看起来这个功能存在,但我似乎无法找到如何启用它。有任何想法吗?

Eva*_*son 11

听起来您的“桌面支持”组拥有过多权限,允许成员覆盖现有计算机帐户上的属性。

没有特定功能可以阻止使用现有名称加入计算机。通过不委派“桌面支持”组修改现有计算机对象的权限,您将删除组成员修改现有计算机对象的能力。

如果我是你,我会做以下事情:

  • 在您的 Active Directory 中为新创建的计算机帐户创建一个 OU,以便“登陆”(使用客户端操作系统中的默认 GUI 域加入功能创建时)。我将称之为“新计算机”OU。

  • 使用redircmp实用程序将默认的“计算机”容器重定向到“新计算机”OU (Microsoft 有特定的使用细节

  • 将“创建计算机对象”的“桌面支持”组权限委派给“新计算机”OU。

“桌面支持”组的成员将能够将计算机加入域,并且新创建的计算机对象将最终位于“新计算机”OU 中。假设您已删除用户在任何更高特权组中的成员资格,他们将无法修改现有计算机对象,因此,将无法将计算机加入域,其名称是加入的计算机所使用的名称。域已经。

编辑:

我无法重现您看到的行为:“...无法更改主域 DNS 名称的错误”。

请注意,当您测试产品的行为时,在计算机对象上设置默认权限。您用于创建计算机对象的帐户被设置为所有者并被授予对新创建对象的权限(作为 CREATOR OWNER)。如果您使用同一个帐户添加“冲突”计算机,这些权限将允许您“破坏”原始计算机帐户。我不知道有什么方法可以覆盖这种行为。防止此行为导致问题的最佳选择是以编程方式将新创建的计算机对象上的所有者重置为“管理员”并重新应用默认 ACL(以删除引用原始 CREATOR OWNER 的 ACE)。

我使用“桌面支持”组的成员将名为“TEST-SVR01”的计算机加入了我的测试域。完成后,我将 TEST-SVR01 计算机对象的所有权重置为“管理员”并重新应用默认权限(使用“高级”安全对话框上的“默认”按钮)。

我尝试使用相同的“桌面支持”成员用户将另一台名为 TEST-SVR01 的计算机加入域,并在尝试期间收到错误消息“访问被拒绝”。原始的 TEST-SVR01 仍然与域保持完整的信任关系。

没有简单(或者,在我看来,最好)的方式,使“域管理员”组成员无法改变现有的计算机帐户。您可能会使用“拒绝”权限做一些令人作呕的事情,但是您将使产品的行为方式与其默认设置大不相同。我认为您不应该使用“域管理员”成员帐户将计算机加入域。最小权限原则规定您应该只使用“域管理员”-成员帐户来执行需要其过多权限的功能,而将计算机加入域不需要这些过多的权限。