關于加入域的計算機名稱修改

    最近在做加入域的用戶端更名，由于計算機數量衆多且較分散，通過IPSec連結的網絡并不穩定，改名退域然後加域，太過繁瑣耗時。

    對于加入域的計算機，預設情況下，隻有計算機域管理者級别的使用者才能更改，普通使用者無法更改名稱；這種現象很明顯是權限導緻。當然，普通使用者肯定不能加入域管理者組，一般情況下，普通使用者都已經配置設定有用戶端計算機的管理者權限。

    在計算機加入域的同時，會預設在AD的 Computers目錄下自動生成計算機賬戶。預設情況下，域computers目錄的權限為：經過認證的賬戶讀取權限，域管理者組 讀取、寫入、建立子對象。計算機名稱是計算機賬戶的一個屬性。由此可知，由于普通使用者沒有計算機賬戶屬性值的寫入權限，而導緻用戶端無法改名。

    在用戶端部分，計算機的名稱資訊存放用戶端作業系統的系統資料庫的Local Machine分區中。對于系統資料庫的結構分區中，普通使用者隻能讀取Local Machine分區修改Local Users分區。是以在用戶端計算機的名稱修改過程中，需要使用者有用戶端計算機的管理者權限。

    解決方法：1.確定使用者具有用戶端管理者權限。2.将AD使用者或使用者組添加對 Computers目錄的寫入權限，（并應用到此OU和所有子對象）。

本文轉自秘飛虎51CTO部落格，原文連結：http://blog.51cto.com/mifeihu/1692573 ，如需轉載請自行聯系原作者