2010-12-24 01:25:10 Kenny

domain user 權限即可將電腦加入網域,有10次的配額

這個我準備考MCSE2003時….教材沒有提到耶…..
考試時..也沒考到呀!!!!

以我在公司的管理角色立場,,,,,,這是乃犯我大忌 (怒怒怒怒怒怒怒怒怒怒怒怒怒怒)~~~~
因為大夥想一想…… User1在公司的電腦被我管的死死的….
MSN — X
即時通 — X
WebMila — X
光碟機,USB — X 
上網也管,桌面也管……有的沒的通通都管… User1ㄧ定很度爛我,ㄧ有機會ㄧ定會搞我

User1有幾個 “解決方案” 來搞我
1.自己帶光碟機來裝,然後重灌WinXP,取得了LocalAdmin的權限,也用domain user 權限加入網域
   (User1:爽呀!!!!)

2.User1帶自己的NoteBook來公司,用自己的domain user 權限加入網域…..(User1:爽呀!!!!)

3.User1搞你的AD…加入網域後再退出…改電腦名稱……加入網域後再退出…改電腦名稱…….
  直到10次的配額用完,然後去找她叫要好的同事…重複上面的步驟 ^^…..(User1:爽呀!!!!)

 

對付這種User的方式:
http://social.technet.microsoft.com/forums/zh-TW/winserverzhcht/thread/b640edb8-7e65-4f61-9892-4b5875d193c9/

微軟討論區很慢..SO..我整裡出來

方式一:
開始->程式集->網域控制站安全性原則->安全性原則->本機原則->使用者權力指派->將工作站加入電腦->將 Authenticated User 改成 Domain Admin。

方式二: 可以使用委派來管理
加入網域ADUC—>View —> Advanced feature
按右鍵檢查 computer 的 properties
Security tab—> Advanced
Permission tab —> authenticated users—> Edit
將下列兩個打勾
Create Computer object
Delete Computer object ACEs

方式三:更改加入網域 10 次限制
ADSI edit—> 選取 domain (dc=contoso,dc=com)
(這個工具要從安裝光碟的Support目錄自己安裝)

找出 ms-DS-MachineAccountQuota 的 attribute. 預設是 10,
可以透過這裡修改加入網域的次數

 

 

http://www.sphone.org/blog/?p=71

日本藤素 2020-02-22 21:15:21

很讚的分享~~