在工作中,我们有一个运行 Server 2008 R2 的域控制器。我们的桌面支持小组能够使用计算机的网络凭据将其加入域。我们现在遇到一个问题,如果要加入的计算机的名称与域中现有的计算机相同,则现有计算机将收到“信任关系失败...”错误,并且根本不会进行身份验证,除非有人以本地管理员身份登录,更改计算机名称并将其重新加入域。
我想让桌面支持只能将具有唯一名称的计算机加入域。如果名称在域中已经存在,则操作将失败。通过 TechNet 查看,似乎存在此功能,但我似乎找不到如何启用它。有什么想法吗?
答案1
听起来您的“桌面支持”组拥有过多的权限,允许成员覆盖现有计算机帐户的属性。
没有特定功能可以防止加入具有现有名称的计算机。通过不委派“桌面支持”组修改现有计算机对象的权限,您将剥夺组成员修改现有计算机对象的能力。
如果我是你,我会执行以下操作:
在 Active Directory 中创建一个 OU,以便新创建的计算机帐户“登录”其中(使用客户端操作系统中的默认 GUI 域加入功能创建)。我将其称为“新计算机”OU。
使用实用程序将默认的“计算机”容器重定向到“新计算机”OU
redircmp(Microsoft 已具体使用细节)将“桌面支持”组的“创建计算机对象”权限委托给“新计算机”OU。
“桌面支持”组的成员将能够将计算机加入域,并且新创建的计算机对象将最终位于“新计算机”OU 中。假设您已删除用户在任何更高权限组中的成员身份,他们将无法修改现有的计算机对象,因此无法将已加入域的计算机使用的名称加入域。
编辑:
我无法重现您所看到的行为:“...关于无法更改主域 DNS 名称的错误”。
请注意计算机对象上设置的默认权限当您测试产品的行为时。您用于创建计算机对象的帐户被设置为所有者,并被授予对新创建对象的权限(作为创建者所有者)。如果您使用同一个帐户添加“冲突”计算机,这些权限将允许您“破坏”原始计算机帐户。我不知道有什么方法可以覆盖此行为。防止此行为导致问题的最佳方法是通过编程将新创建的计算机对象的所有者重置为“管理员”,然后重新应用默认 ACL(以删除引用原始创建者所有者的 ACE)。
我使用“桌面支持”组的成员将一台名为“TEST-SVR01”的计算机加入到我的测试域。完成此操作后,我将 TEST-SVR01 计算机对象的所有权重置为“管理员”,并重新应用默认权限(使用“高级”安全对话框中的“默认”按钮)。
我尝试使用相同的“桌面支持”成员用户将另一台名为 TEST-SVR01 的计算机加入域,并在尝试过程中收到错误消息“访问被拒绝”。原始 TEST-SVR01 与域仍然具有完整的信任关系。
有不使“域管理员”组成员无法更改现有计算机帐户的简单(或者,在我看来,是可取的)方法。您可能使用“拒绝”权限做一些令人作呕的事情,但您将使产品的行为方式与其默认方式截然不同。我认为您不应该使用“域管理员”成员帐户将计算机加入域。最小特权原则规定,您只应使用“域管理员”成员帐户来执行需要其过度权限的功能,而将计算机加入域不需要这些过度权限。
答案2
当第二台计算机加入域时,您并没有创建新帐户,而只是连接到现有帐户。
这与您重新映像现有机器并想再次使用相同的名称没有什么不同。
您收到信任关系错误的原因是,由于您刚加入的机器建立了新的关系,现有的关系已经被破坏。
据我所知,如果名称已经存在,则没有办法阻止计算机加入域。