重現: 設定好AD之後,在同一域中的另一台電腦使用使用者A登入之後, 再在同一台電腦上使用B登入, 即會出現彈出對話方塊:****域拒絕**訪問.但用A登入正常
分析: 一台電腦使用使用者A登入網域之後,伺服器AD下的Computer組中會自動建立登入電腦的名字, 而登入此電腦是與第一次登入的使用者ID綁定, 即與A綁定. 使用B登入的時候由於此電腦名稱已經添加到AD中, 而使用者B(這裡是一般使用者)不具備覆蓋已有登入電腦的許可權而導致.
解決: 以下轉載 http://tech.techweb.com.cn/redirect.php?fid=38&tid=418696&goto=nextnewset
一、許可權問題。 要想把一台電腦加入到域,必須得以這台電腦上的本地管理員(預設為administrator)身份登入,保證對這台電腦有管理控制許可權。普通使用者登入進來,更改按鈕為灰色不可用。並按照提示輸入一個域使用者帳號或網域系統管理員帳號,保證能在域內為這台電腦建立一個電腦帳號。
二、不是說“在2000/03域中,預設一個普通的域使用者(Authenticated Users)即可加10台電腦到域。”嗎。這時如何在這台電腦上登入到域呀。 顯然這位網管誤解了這名話的意思,此時電腦尚未加入到域,當然無法登入到域。也有人有辦法,在本地上建了一個與域使用者同名同口令的使用者,結果可想而知。這句話的意思是普通的域使用者就有能力在域中建立10個新的電腦帳號,但你想把一台電腦加入到域,首先你得對這台電腦的系統管理權限才行。再有就是當你加第11台新電腦帳號時,會有出錯提示,此時可在組策略中,將帳號複位,或乾脆刪了再建立一個域使用者帳號,如joindomain。注意:網域系統管理員不受10台的限制。
三、用同一個普通域帳戶加電腦到域,有時沒問題,有時卻出現“拒絕訪問”提示。 這個問題的產生是由於AD已有同名電腦帳戶,這通常是由於非正常脫離域,電腦帳戶沒有被自動禁用或手動刪除,而普通域帳戶無權覆蓋而產生的。解決辦法:1、手動在AD中刪除該電腦帳戶;2、改用系統管理員帳戶將電腦加入到域;3、在最初預建帳戶時就指明可加入域的使用者。 解決:Windows Server 2003 域中設定user使用者後,該使用者登入後無法使用伺服器的共用資料夾: 由於在2003中的Domain Users中設定的user,且該user使用者電腦中的許可權也是user,則它在伺服器中登陸後的許可權也相當於本地普通使用者(Local User),所以無法使用域中的共用資料夾(此共用資料夾的許可權設定中若使用Everyone許可權則是在工作群組中的共用,和域概念不同,且不符合架構域的需求). 解決方案是在使用者電腦上,使用administrator賬戶將登入的使用者權限提升到Power Users或Administrators,即訪問域中的共用資料夾