none
普通域账户加域10次上限后如何重置? RRS feed

  • 问题

  • 我知道可以通过修改ms-DS-MachineAccountQuota的值实现用户的加域次数限制,我如果不更改默认就是10次,那么当某一个用户达到加域10次后,有没办法在不更改ms-DS-MachineAccountQuota的值又可以选择达到上限的域账户进行重置,让该用户又可以加域10次?
    2014年12月13日 12:42

答案

  • 從目前已知的信息看, ms-DS-MachineAccountQuota 是定義擁有委派權限用戶可以將計算機加入域的最大機器數量.

    而在實際操作中, 系統是通過遍歷域中計算機的 ms-DS-CreatorSID 記錄的特定 SID 一共有多少個, 來統計該 SID 所屬用戶是否已不能再將機器加入到域.

    所以之前提供的方法就是通過移除具有指定用戶 SID 計算機對象的 ms-DS-CreatorSID, 來實現重置一個用戶可以將計算機加入域的機器數量.

    因爲是測試代碼, 所以只演示了移除一個計算機對象的 ms-DS-CreatorSID, 至於實際的移除方法實現, 可以根據實際情況進行調整.


    Folding@Home

    • 已标记为答案 ZJUNSEN 2014年12月17日 0:41
    2014年12月16日 12:04

全部回复

  • 我觉得ms-DS-MachineAccountQuota这个值是全局的,不能对单个用户进行设置或者重置?
    2014年12月13日 12:43
  • 關於這個問題, 你可以參考如下文章

    Preventing Users from Adding Computers to a Domain
    http://blog.backslasher.net/preventing-users-from-adding-computers-to-a-domain.html

    要像取消特定用戶的將計算機加入域的配額限制, 你可以參考如下步驟

    0. 爲了描述方面這裏直接給出在 contoso.local 的操作步驟, 具有將計算機加入域委派權限的用戶爲 wds_helper

    1. 確認用戶 wds_helper 的 RID

    for /f "tokens=*" %n in ('dsquery user -samid wds_helper') do dsquery * %n -attr objectsid

    返回結果爲

    SID-*-1112

    將 1112 轉換爲 16 進制爲 0x458.

    2. 查詢由 wds_helper 加入域的計算機數

    dsquery * -filter "ms-DS-CreatorSID=*" -limit 0 -attr distinguishedname ms-DS-CreatorSID | find  "0x58 0x04"

    這樣找到滿足條件的計算機. 也可以直接在 filter 裏指定, 但是 dsquery 指定 SID 比較麻煩, 所以用了這個方法.

    3. 將找到的 dn, 按照如下格式編輯到一個文本文件, 來刪除 mS-DS-CreatorSID 屬性, 這裏假設爲 ldf.txt

    dn:
    changetype: modify
    replace: schemaUpgradeInProgress
    schemaUpgradeInProgress: 1
    -

    dn: CN=CLI12-34,CN=Computers,DC=contoso,DC=local
    changetype: modify
    delete: mS-DS-CreatorSID
    -

    dn:
    changetype: modify
    replace: schemaUpgradeInProgress
    schemaUpgradeInProgress: 0
    -

    此處爲 CN=CLI12-34,CN=Computers,DC=contoso,DC=local
    如果要一次刪除多個計算機對象的 mS-DS-CreatorSID, 需要重複

    dn:CN=CLI12-34,CN=Computers,DC=contoso,DC=local
    changetype: modify
    delete: mS-DS-CreatorSID
    -

    這個格式.

    確認無誤後保存.

    3. 以 Domain Admins 組身份的用戶執行

    ldifde -i -f ldf.txt

    進行刪除操作.

    4. 現在就可以重新使用 wds_helper 執行添加計算機到域的任務了.


    Folding@Home

    2014年12月14日 13:19
  • 步驟 1, 也可以用下面的方法, 我個人比較習慣用 DN

    dsquery * -filter "samaccountname=wds_helper" -attr objectsid


    Folding@Home

    2014年12月14日 13:53
  • 我是想做到重置,我觉得您的答案不是我所想要的
    2014年12月16日 2:59
  • 從目前已知的信息看, ms-DS-MachineAccountQuota 是定義擁有委派權限用戶可以將計算機加入域的最大機器數量.

    而在實際操作中, 系統是通過遍歷域中計算機的 ms-DS-CreatorSID 記錄的特定 SID 一共有多少個, 來統計該 SID 所屬用戶是否已不能再將機器加入到域.

    所以之前提供的方法就是通過移除具有指定用戶 SID 計算機對象的 ms-DS-CreatorSID, 來實現重置一個用戶可以將計算機加入域的機器數量.

    因爲是測試代碼, 所以只演示了移除一個計算機對象的 ms-DS-CreatorSID, 至於實際的移除方法實現, 可以根據實際情況進行調整.


    Folding@Home

    • 已标记为答案 ZJUNSEN 2014年12月17日 0:41
    2014年12月16日 12:04