Windows 2003安全性指南之强化域控制器一

核心提示： 向域中添加工作站表4.3: 设置“向域中添加工作站”权限允许用户向指定的域中添加一台计算机，如果希望该权限生效，Windows 2003安全性指南之强化域控制器一(3)，它必须作为域的缺省域控制器策略的一部分分配给用户，被授予了该权限的用户可以向域中添加10个工作站

向域中添加工作站

表4.3: 设置

“向域中添加工作站”权限允许用户向指定的域中添加一台计算机。如果希望该权限生效，它必须作为域的缺省域控制器策略的一部分分配给用户。被授予了该权限的用户可以向域中添加10个工作站。被授予了为OU或 Active Directory 的计算机容器“创建计算机对象”权限的用户，也可以向域中加入计算机。被授予了该权限的用户可以无限制地向域中添加计算机，无论他们是否被分配了“向域中添加工作站”用户权限。

缺省情况下，“Authenticated Users”（经过身份验证的用户）用户组具有向 Active Directory 域中添加10个计算机账户的能力。这些新计算机账户在计算机容器中创建。

在一个 Active Directory 域中，每个计算机账户都是一个完整的安全性主体，拥有认证和访问域资源的能力。有些组织希望限制一个 Active Directory 环境中的计算机数量，以便可以持续地跟踪、构建和管理它们。

允许用户向域中添加工作站则会妨碍这项工作。而且，这样做还会为用户执行更加难以跟踪的行为提供了方便，因为他们可能创建了其他未经授权的域计算机。

因此，在本指南定义的三种环境下，“向域中添加工作站”用户权限仅仅授予Administrators 组。

允许从本地登录

表4.4: 设置