活动目录域加入域权限委派问题解答

一、在域层级进行委派控制

如果在委派控制时未看到“将计算机加入域”这个任务，可能是在OU（组织单位）上进行的委派控制。因为加入域是针对一个域的操作，而非针对某个OU，所以只有在域层级上委派控制，才能看到该选项。 建议重新做一次权限委派，添加“将计算机加入域”权限，然后使用委派的帐号加入域。具体步骤如下： 1. 打开Active Directory用户和计算机管理：这是进行操作的入口。 2. 在需要委派的域上点击右键，选择委派控制：开始进行委派控制的设置流程。 3. 根据向导，选择委派权限的帐号，单击下一步：明确哪些帐号被授予权限。 4. 选择委派以下常见任务，选择“将计算机加入域”，单击下一步：指定要委派的具体任务。 5. 点击完成即可：完成委派控制的设置。

二、对特定OU委派加入域的权限

如果想要对特定的OU委派加入域的权限，必须自定义委派任务，步骤如下： 1. 打开ActiveDirectory用户和计算机管理。 2. 展开OU，在需要委派的OU上，点击右键，选择委派控制。 3. 根据向导，选择委派权限的组，单击下一步。 4. 选择创建自定义任务去委派，单击下一步。 5. 单击只是文件夹中的下列对象，从列表框中选择下列选项：计算机对象。 6. 单击下一步，在权限列表框，选择相应选项。 7. 单击下一步，单击完成。 需要注意的是，计算机在加入域时，计算机帐户默认是存放到Computers容器，，在加入域时，必须先在该OU创建计算机对象，然后再加入域，否则无法加入域；或者使用Netdom指定加入域时创建计算机对象的OU。

三、解决拒绝访问问题

在使用委派了权限的帐号和一般的users组的帐号加入域时提示拒绝访问，可能是由于普通的域用户无法写入computers容器或者无法写入相应的OU。对它们赋予相应的域账户以写入权限即可解决该问题。

四、通过组策略委派权限

1. 打开【域默认组策略】，选择【计算机配置】-【策略】-【Windows设置】-【安全设置】-【本地策略】-【用户权限分配】，在右侧策略列表中选择【将工作站添加到域】，双击打开。
2. 将需要授权的用户添加到策略中来，点确定即可完成。