我正在尝试将 Linux 服务器加入 Active Directory。我想在加入域时使用以下命令设置 OS 名称和 OS 版本属性:
/usr/bin/net ads 加入-k -S adserver.example.local osName=CentOS osVer=6.5
我已将权限委托给绑定帐户,以便它可以读取/写入计算机对象的操作系统名称和操作系统版本属性。当我尝试加入域时,出现此错误:
无法加入域:无法设置机器操作系统属性:访问权限不足
不使用 osName 和 osVer 时,我加入域没有任何问题。为了验证此帐户是否具有正确的权限,我使用 ADSI 在计算机对象上手动设置了这两个属性。
答案1
通常,预先设置计算机帐户并为将要加入域的帐户分配权限/所有者会更容易。
答案2
通过数据包分析,我们了解到用于加入域的帐户缺少对操作系统 Service Pack 的读写权限。该属性被自动设置为已安装的 Samba 版本。
答案3
我遇到了完全相同的问题,事实证明,将 Linux 系统加入域所需的权限比将 Windows 系统加入域所需的权限更多。
我按照本指南为我的域加入帐户添加了其他权限:https://www.computertechblog.com/active-directory-permissions-required-to-join-linux-and-windows-computers-to-a-domain/
来自上述链接:
将系统加入 AD 所需的标准权限(Linux 和 Windows)
- 重设密码
- 读写帐户限制
- 已验证写入 DNS 主机名
- 已验证写入服务主体名称
- 读取和写入 DNS 主机名属性
Linux 计算机加入 AD 所需的附加权限 (Linux)
- 读取 dNSHostName
- 写入 dNSHostName
- 读取 msDS-AddtionalSamAccountName
- 写入 msDS-AddtionalSamAccountName
- 读取 msDS-SupportedEncryptionTypes
- 写入 msDS-SupportedEncryptionTypes
- 读取操作系统
- 写入操作系统
- 读取操作系统版本
- 写入操作系统版本
- 读取操作系统ServicePack
- 写入OperationSystemServicePack
- 读取 servicePrincipalName
- 写入 servicePrincipalNameWrite servicePrincipalName
- 读取 userAccountControl
- 写入 userAccountControl
- 读取用户主体名称
- 写入 userPrincipal 名称
笔记:您必须显示“特定于属性”的权限才能看到这些额外的权限。