目录

1.加域，退域简单介绍

2.ms-DS-MachineAccountQuota参数如何找到？

3.如何做一个安全的加域权限？

域控默认情况下：任何普通的域账号，都可以给10台电脑加入域。（很不安全，导致任何普通域用户都能加域）

给电脑加域：原因在域控的此参数：ms-DS-MachineAccountQuota 初始值为10 意味：加域时候，任何普通的域账号都能加10台电脑进入域。如果加到第11台电脑时候，就会报错如下：

提示：你的计算无法加入域，已超出此域所允许创建的计算机帐户的最大值，请跟系统管理员联系，以便重置或者增加此限制。

加域提示如上：很多人，都是把ms-DS-MachineAccountQuota的值改为一个很大的值，其实方法是可以，但是不安全！！！

电脑退域身份验证：任何电脑退域，任何一个普通域用户都可以退域。（前提是你能进电脑的退域界面，退域只需要你具有那台电脑本地管理员权限，或者进入退域的界面使用具有管理员的账号进入，一样能退域成功。

1.AD用户和计算机工具

2.或者是AD管理中心工具（方法跟AD用户和计算机工具类似）

需求：我想实现，只有指定的人可以加域？且加域的电脑没有上限？

加大ms-DS-MachineAccountQuota数值肯定是不行的，即使，你做了组策略：将工作站加入域的策略，限制到那些人加入域，那是没有用的，加域就是看ms-DS-MachineAccountQuota这个值。

没有办法了嘛？有的，指定的OU下，委派权限。

步骤1：重定向加域的电脑OU

新加域的电脑默认是在：Computers容器下，系统默认有的。这个OU有个缺点,就是组策略不能应用此OU，所以后面加域进来的电脑要移到自定义的OU。那么有没有方法？加域的电脑自动移入指定的OU？有的。使用此命令：

步骤2：创建一个组，加域组。

目的：谁要加域的权限账号，就加入此组即可。（省略演示）

步骤3：在自定义的OU委派步骤2创建的组具有加域功能。

即可完成对指定的组授权，后面谁需要加域，就将账号添加进此组即可。

步骤4：为了安全，ms-DS-MachineAccountQuota的值设置为0. （拒绝任何未授权的人禁止加域。当然，委派不受到ms-DS-MachineAccountQuota此参数的影响！！！

直至：完美的加域授权权限即可完成！！！！！