6,849
社区成员
发帖
与我相关
我的任务
分享加入工作站到域,如果有重名计算机账号的问题
情景:
1、A、B为两台工作站,
2、将A计算机名设定为为ABC,加入域,成功
3、A关机,启动B,将B计算机名命名为ABC
4、将B加入域
5、所有加入域的动作均由domain user组用户来完成
这个情况下,我认为应该在B加入域时,输入用户\密码后会弹出“计算机帐号已经存在”的提示。
但是结果却是B正常的加入域。这个结果在客户那里以及自己的VPC上都重现
这样的结果是当B关机后,A开机无法登陆域提示“计算机帐号丢失”(可以理解)
我想知道在这种情况下如何让B加入域时有错误提示,因为在一个很大的组织中,用户可能将自己的机器加入域时选用和一台已经关机的域成员一样的名字。我想避免这样的事情。
1、A、B为两台工作站,
2、将A计算机名设定为为ABC,加入域,成功
3、A关机,启动B,将B计算机名命名为ABC
4、将B加入域
5、所有加入域的动作均由domain user组用户来完成
这个情况下,我认为应该在B加入域时,输入用户\密码后会弹出“计算机帐号已经存在”的提示。
但是结果却是B正常的加入域。这个结果在客户那里以及自己的VPC上都重现
这样的结果是当B关机后,A开机无法登陆域提示“计算机帐号丢失”(可以理解)
我想知道在这种情况下如何让B加入域时有错误提示,因为在一个很大的组织中,用户可能将自己的机器加入域时选用和一台已经关机的域成员一样的名字。我想避免这样的事情。
...全文
请发表友善的回复…
发表回复
Aceryt 2005-09-15
- 打赏
- 举报
关于这个问题我做了很多次测试,每次都提示我“计算机帐号已经存在”(我就是想模拟你说的情景)但都没做到,我不知道你是如何加入域并产生你说的结果的,可以描述一下过程和你的域环境吗。
timidlion 2005-09-15
- 打赏
- 举报
谢谢大家的帮助
yankao 2005-09-15
- 打赏
- 举报
路过学习!
谢谢!
帮顶!
谢谢!
帮顶!
scz123 2005-09-15
- 打赏
- 举报
想避免发生同样的事情,建议控制用户权限,只让特定的人进行加域管理(Account Operators组)
楼主发生的情况属于正常显现。试想这么个问题:
假设已加域的计算机a.domain.com突然系统问题不能正常开机,需要重装系统,加域的过程只能是先改计算机名为a,并加入与域相同的工作组,再进行加域。如果现在加域的时候提示“计算机帐号已经存在”,那不就意味着a.domain.com就不能用了吗?除非到AD里删掉a.domain.com
出现“计算机帐号已经存在”的情况一般是更改已加域的计算机名的时候,AD里已经存在相同的计算机,才会发生。
楼主发生的情况属于正常显现。试想这么个问题:
假设已加域的计算机a.domain.com突然系统问题不能正常开机,需要重装系统,加域的过程只能是先改计算机名为a,并加入与域相同的工作组,再进行加域。如果现在加域的时候提示“计算机帐号已经存在”,那不就意味着a.domain.com就不能用了吗?除非到AD里删掉a.domain.com
出现“计算机帐号已经存在”的情况一般是更改已加域的计算机名的时候,AD里已经存在相同的计算机,才会发生。
timidlion 2005-09-15
- 打赏
- 举报
过程就是一般的加入域的过程,在系统属性里面点change
我留意了A在加入域时在AD中生成的计算机帐号的ACE,发现创建者,也就是加入域的时候输入的用户名有额外的权限,如下:
write description
write computer name(pre-windows2000)
validated write to DNS host name
validated write to service principal name
write account restrictions
reset password
change password
所以我怀疑问题是这样的:因为前后两次加域动作使用的是同一个user,而这个user在第一次加域后就对他创建的计算机帐号有特权,所以第二次加域会覆盖原有的账号(我想这里应该是一个reset password的动作)。如果两次动作来自不同的用户,那应该提示错误。
我在VPC上作了测试,果然如此,但是剩下的问题是:为什么我的错误提示是:“拒绝访问”,而楼上的是“计算机帐号已经存在”
测试的环境为默认环境,没有修改GPO的add workstation to domain以及AD中的ms-DS-MachineAccountQuota的值
我留意了A在加入域时在AD中生成的计算机帐号的ACE,发现创建者,也就是加入域的时候输入的用户名有额外的权限,如下:
write description
write computer name(pre-windows2000)
validated write to DNS host name
validated write to service principal name
write account restrictions
reset password
change password
所以我怀疑问题是这样的:因为前后两次加域动作使用的是同一个user,而这个user在第一次加域后就对他创建的计算机帐号有特权,所以第二次加域会覆盖原有的账号(我想这里应该是一个reset password的动作)。如果两次动作来自不同的用户,那应该提示错误。
我在VPC上作了测试,果然如此,但是剩下的问题是:为什么我的错误提示是:“拒绝访问”,而楼上的是“计算机帐号已经存在”
测试的环境为默认环境,没有修改GPO的add workstation to domain以及AD中的ms-DS-MachineAccountQuota的值
