Проблема которая обсуждается в данной статье я думаю будет касаться в основном крыпные компании с колличеством сотрудников ИТ отдела от 2 и более. Суть описываемой проблемы заключается в том что пользователи домена состоящие в ИТ отделе, но не являющиеся администраторами домена сталкиваются с проблемой когда контроллер домена отказывает в подключении новых компьютеров к домену ссылаясь на достижение максимального числа учетных записей.

         Усугубляет ситуацию тот факт, что проблема возникает ни сразу после развертывания домена, а лишь после нормального подключения 10 компьютеров. Именно таким числом по-умолчанию ограниченно колличество компьютеров разрешенных для добавления в домен ЛЮБОМУ прошедшему проверку пользователю. К слову сказать в предприятии из 180 компьютеров и штате ИТ отдела в 4 человека данная проблема возникла уже на этапе развертывания домена. Однако в большинстве случаев первоначальное развертывание осуществляется от имени одного пользователя входящего в группу администраторов домена.

          Как же быть в том случае когда настройкой компьютеров и вводом в эксплуатацию занимается сотрудник далёкий от администрирования домена не только по своим знаниям, но и правам и должностным обязанностям. Вот здесь и начнём описывать решение проблемы. 

          В локальной политике безопасности контроллера домена по-умолчанию в ветке Параметры безопасности - Локальные политики - Назначение прав пользователей задача Добавление рабочих станций к домену по-умолчанию разрешена группе Опреаторы подключения компьютеров. Соответственно либо ваши пользователи должны быть добавлены в эту группу, либо группе ваших пользователей должна быть разрешена эта задача.

          Далее необходимо перейти в знакомую всем оснастку Active Directory - пользователи и компьютеры в меню Вид выбрать Дополнительные функции и выбрать Свойства контейнера Computers (не знаю по какой причине но у меня так же имеется контейнер Workstations и изначально я менял его свойства, что не дало результата пока не изменил свойства контейнера Computers - не перепутайте как я). В свойствах вы увидите что пользователям Прошедшим проверку разрешено лишь Чтение контейнера, вы можете разрешить им Запись и Удаление, но это не мой путь (я считаю что эти операции стоит доверять не меньше чем сотруднику ИТ отдела и то не каждому если честно) я рекомендую добавить сюда группу пользователей которым вы делегируеие данные полномочия и уже им открывать хоть Полный доступ (что собственно я и сделал).

          В конце данной стать и привожу ссылку на материалы которые помогли мне в данном вопросе. В статье из базы знаний Майкрософта решений предложенно сразу 3. Первое не подошло мне тем, что каждый раз необходимо вмешательство Администратора домена для добавления и удаления компьютеров. Третье не понадобилось хотя его и полезно выполнить в целях ограничения колличества комптьютеров разрешенных для добавления всем кому ни попадая, а вот вторым решение я собственно воспользовался и привожу его здесь.

                                                                                                       Алексей Колегов

          Статья подготовлена по материалам:

http://www.imho.ws/showthread.php?t=89884

http://support.microsoft.com/kb/251335