На работе у нас есть контроллер домена под управлением Server 2008 R2. Наша группа поддержки настольных компьютеров имеет возможность присоединять компьютеры к домену, используя их сетевые учетные данные. Теперь мы сталкиваемся с проблемой, когда, если имя подключаемого компьютера совпадает с именем существующего компьютера в домене, существующий компьютер получит ошибку «Доверительные отношения не удались ...» и не будет аутентифицироваться. вообще, если кто-то не войдет в систему как локальный администратор, не изменит имя компьютера и не присоединит его к домену.
Я хочу сделать так, чтобы Desktop Support мог присоединять к домену только компьютеры с уникальными именами. Если имя уже существует в домене, операция должна завершиться ошибкой. Просматривая TechNet, похоже, что эта функция существует, но я не могу понять, как ее включить. Любые идеи?
Похоже, ваша группа «Поддержка рабочего стола» имеет чрезмерные права, которые позволяют участникам перезаписывать атрибуты в существующих учетных записях компьютеров.
Нет специальной функции для предотвращения объединения компьютеров с существующими именами. Не делегируя права группы «Поддержка рабочего стола» на изменение существующих компьютерных объектов, вы лишаете членов группы возможности изменять существующие компьютерные объекты.
На вашем месте я бы сделал следующее:
Создайте OU в своей Active Directory для вновь созданных учетных записей компьютеров, которые будут «приземляться» (при создании с помощью функции присоединения к домену GUI по умолчанию в клиентской ОС). Я назову это ОЕ «Новые компьютеры».
Перенаправьте контейнер «Компьютеры» по умолчанию в подразделение «Новые компьютеры» с помощью redircmp утилита (у Microsoft есть конкретные детали использования)
Делегируйте права группы «Поддержка настольных компьютеров» на «Создание объектов-компьютеров» подразделению «Новые компьютеры».
Члены группы «Поддержка настольных компьютеров» смогут присоединять компьютеры к домену, а вновь созданные объекты компьютеров попадут в OU «Новые компьютеры». При условии, что вы удалили членство пользователей в каких-либо группах с более высокими привилегиями, они не смогут изменять существующие объекты компьютеров и, таким образом, не смогут присоединять компьютеры к домену с именами, которые используются компьютерами, присоединенными к домен уже.
Редактировать:
Я не могу воспроизвести поведение, которое вы наблюдаете по поводу: «... ошибка невозможности изменить DNS-имя основного домена».
Имейте в виду, что разрешения по умолчанию, установленные для объектов компьютера когда вы тестируете поведение продукта. Учетная запись, которую вы используете для создания компьютерного объекта, устанавливается как владелец и получает разрешение (как CREATOR OWNER) на вновь созданный объект. Если вы используете ту же учетную запись для добавления «конфликтующего» компьютера, эти разрешения позволят вам «сломать» исходную учетную запись компьютера. Я не знаю, как изменить это поведение. Лучше всего, чтобы предотвратить возникновение проблем из-за этого поведения, было бы программно сбросить владельца вновь созданных компьютерных объектов на «Администраторы» и повторно применить ACL по умолчанию (чтобы удалить ACE, которые относятся к исходному СОЗДАТЕЛЮ-ВЛАДЕЛЬЦУ).
Я присоединил машину с именем «TEST-SVR01» к моему тестовому домену, используя члена моей группы «Поддержка настольных компьютеров». После того, как я это сделал, я сбросил право собственности на компьютерный объект TEST-SVR01 на «Администраторы» и повторно применил разрешения по умолчанию (с помощью кнопки «По умолчанию» в диалоговом окне безопасности «Дополнительно»).
Я попытался присоединить другой компьютер с именем TEST-SVR01 к домену, используя того же пользователя-члена «Desktop Support», и во время попытки получил сообщение об ошибке «Доступ запрещен». Исходный TEST-SVR01 по-прежнему имел нетронутые доверительные отношения с доменом.
Там есть нет простой (или, на мой взгляд, целесообразный) способ сделать так, чтобы члены группы «Администраторы домена» не могли изменять существующие учетные записи компьютеров. Вы, вероятно, могли бы сделать что-то отвратительное с разрешениями «Запретить», но вы собираетесь заставить продукт вести себя совсем не так, как по умолчанию. Я бы сказал, что вы не должны использовать учетные записи «администраторов домена» для присоединения компьютеров к домену. Принцип минимальных прав гласит, что вы должны использовать только учетные записи «администраторов домена» для выполнения функций, для которых необходимы их чрезмерные права, и для присоединения компьютеров к домену эти избыточные права не требуются.
Вы не создаете новую учетную запись, когда второй компьютер присоединяется к домену, он просто подключается к существующей учетной записи.
это ничем не отличается от того, если вы повторно создаете образ существующей машины и хотите снова использовать то же имя.
Причина, по которой вы получаете ошибку доверительных отношений, заключается в том, что существующие отношения были разорваны из-за создания нового с машиной, к которой вы только что присоединились.
Насколько мне известно, невозможно запретить компьютеру присоединиться к домену, если это имя уже существует.