“域用户”可以将计算机加入域吗？

对于我来说，这听起来似乎不太可能，但可以肯定的是：“域用户”的成员可以将计算机加入域中（允许他具有本地管理员帐户）吗？

老师说了，听起来很不对劲。我对其进行了测试，并在尝试提供常规用户凭据时收到“访问被拒绝”的信息。我在这里想念什么吗？

更新： 如果您已经在AD中有一台具有该名称的计算机，则您将获得“拒绝访问” 。如果删除该帐户，则具有本地管理员帐户的任何用户都可以加入计算机，并在AD中自动创建一个帐户。难以置信的。

是的，默认情况下，他们最多可以加入10台计算机。

您可以使用组策略撤销此权限，也可以更改允许的最大连接数。

如果您对此感到担心，则很有可能会更改创建新计算机对象的默认位置。将该位置上的GPO设置为非常严格的限制，例如禁用本地Administrator帐户，这样，用户最终获得的锁定工作站数要比开始时多得多。非常不利。

Microsoft的观点是，用户可以通过将计算机加入域来选择您的安全和域策略。

您还可以监视谁向您的域中添加了计算机，然后在操作不当后打破指关节。

取决于您的内部政策-我们的商店很小，但是开发人员被禁止（按上帝的话，不是GPO的话）将计算机添加到域中。