1. 打开Active Directory用户和计算机管理。

2. 展开OU，在需要委派的OU上，点击右键，选择委派控制。 3. 根据向导，选择委派权限的组，单击下一步。 4. 选择创建自定义任务去委派，单击下一步。 5. 单击只是文件夹中的下列对象，从列表框中选择下列选项： 计算机对象 在此文件夹中创建选定对象 删除此文件夹中选定对象 6. 单击下一步，在权限列表框，选择以下选项： 读取 写入 重置密码 验证写入DNS 主机名 Read 和 Write 帐户限制 验证写入到服务主体名称 7. 单击下一步，单击完成。

 

 

 

 

域和退域权限|AD活动目录委派

加域和退域权限|AD活动目录委派。如何只给某个用户加域退域的权限而不给予AD管理员的权限。请问在委派中赋予什么权限即可满足此需求

回答：在委派权限的向导中，可以选择委派加入域权限。委派的步骤如下：

1. 打开Active Directory用户和计算机管理。 2. 右键点击域名，选择委派控制。 3. 根据向导，选择委派权限的帐号，单击下一步。 4. 选择委派以下常见任务，选择“将计算机加入域”，单击下一步。 5. 点击完成即可。 退出域无法在AD中控制，只要用户有本地帐号权限即可退出域。  

 

 

阻止使用普通Domain Users组帐号将计算机加入到域中

其实也很简单，操作如下：

1.在开始运行里面输入adsiedit.msc后回车。（如果提示找不到这个命令是因为你没有安装Support Tools，在2003系统安装光盘上可以找到） 2.打开后依次展开图中所标记的红圈。右键选择cn=users的属性。再次找到ms-DC-MachineAccountQuota。将其默认的10改为0即可。