活動目錄域加入域權限委派

　　加入域的時候打算用委派的方式， 可是沒有 找到 "將計算機加入域"這個任務，只有其他的比如添加用戶，查看信息這些，常見任務里面沒有。系統是win2003企業版sp1,用委派了權限的帳號和一般的users組的帳號加入域的時候提示拒絕訪問，不知道什么原因。

　　回答：根據您的描述，我對這個問題的理解是：在域中委派控制權限時，未看到"將計算機加入域"權限。如果我的理解有誤，請告訴我。

　　這可能是您在OU上委派控制，只有在域層級上委派控制，才能看到"將計算機加入域"權限，因為加入域是針對一個域的，并非針對某個OU,所以只 有在域層級上才能看到這個選項。建議您再做一次權限委派，添加"將計算機加入域"權限，使用委派的帳號加入域，看是否還有問題。

　　這個帳號對這個域內所有的ou都有權限加入域了，能不能只限制讓他在某個ou有權限加入域啊？

　　---simple

　　要對特定的OU委派加入域的權限，必須自定義委派任務。步驟如下：

　　1. 打開Active Directory用戶和計算機管理。

　　2. 展開OU,在需要委派的OU上，點擊右鍵，選擇委派控制。

　　3. 根據向導，選擇委派權限的組，單擊下一步。

　　4. 選擇創建自定義任務去委派，單擊下一步。

　　5. 單擊只是文件夾中的下列對象，從列表框中選擇下列選項：

　　計算機對象

　　在此文件夾中創建選定對象

　　刪除此文件夾中選定對象

　　6. 單擊下一步，在權限列表框，選擇以下選項：

　　讀取

　　寫入

　　重置密碼

　　驗證寫入DNS 主機名

　　Read 和 Write 帳戶限制

　　驗證寫入到服務主體名稱

　　7. 單擊下一步，單擊完成。

　　計算機在加入域時，計算機帳戶默認是存放到Computers容器，因此，在加入域時，必須先在該OU創建計算機對象，然后再加入域，否則無法加入域。或者使用Netdom 指定加入域時創建計算機對象的OU.

　　之所以出現拒絕訪問的問題，是由于普通的域用戶無法寫入computers 容器或者無法寫入相應的OU,對它們賦予相應的域賬戶以寫入權限即可。