有同事问,如何授予Domain User将PC加入AD域的权限呢?

其实这是一个委派控制,AD Delegation Control。



若要解决此问题,用户无法将计算机加入到某个域,请执行以下步骤:

1.单击开始,单击运行,键入dsa.msc,然后单击确定
 
2.在任务窗格中,展开域节点
 
3.找到并右键单击要修改的 OU,然后单击委派控制
 
4.在委派控制向导,单击下一步
 
5.单击添加以将特定的用户或特定组添加到所选用户和组列表中,然后单击下一步
 
6.在委派任务页中,单击创建自定义任务去委派,然后单击下一步
 
7.仅文件夹中的下列对象,请单击,然后从列表中,单击以选中计算机对象复选框。然后,选择下面的复选框列表,创建此文件夹中的所选的对象并删除此文件夹中的所选的对象
 
8.单击下一步
 
9.在权限列表中,单击以选中下列复选框:

◦重置密码
◦读取和写入帐户限制
◦为 DNS 主机名的已验证的写入
◦已验证到服务主体名称的写入
 
10.下一步,单击然后单击完成
 
11.关闭"活动目录用户和计算机"mmc 管理单元