取消普通域用戶將計算機加入域的權限.

 

一般域內建立的用戶默認都是Domain Users組裏的。發現該組的用戶居然可以有加入一臺計算機到域內的權限？   那下面的情況如何解決： 一個用戶用家裏的筆記本接入單位網絡，用別人的賬戶加入到域中，拷貝走域內的一些資料。  
有沒有什麼方法讓所有用戶賬戶不具備讓計算機加入域的權限（前提是該賬戶登錄後不影響其本身正常工作，必要的基本的權限還必須具有）。
總結一下：只希望我指定的某幾個帳號有加入計算機的權限（比如管理員），其他全部拒絕。

在DC上面安裝Support Tools工具，開始--運行，輸入“adsiedit.msc”，在彈出窗口中展開“Domain [xxxxxx]”，定位到“DC= xxxxx”，右鍵選擇“屬性”，在彈出的屬性窗口中找到“ms-DS-MachineAccountQuota”，雙擊編輯將默認值“10”更改爲“0”（默認情況所有用戶都可以將10臺計算機加入域），更改之後默認用戶就沒有權限進行將計算機加入域的操作，不影響域管理員將計算機加入域的操作。