无法将Ubuntu/Linux作为域用户加入到。与Windows客户端一起工作
我正试图将Ubuntu/Linux计算机作为一个普通的用户帐户加入Active Directory域,该用户帐户是而不是域管理员组的成员。
我可以很好地加入Windows电脑。您不必是管理员,但有一个配额的计算机,您可以加入,而不是一个管理员。
但是,当我试图将Ubuntu计算机带入域中时,它会失败,下面的错误消息将导致它失败。我希望能在这方面提供任何帮助。
daniel@linux01:~$ sudo realm join -v -U 'daniel@AD.example.com' AD.example.com
[sudo] password for daniel:
* Resolving: _ldap._tcp.ad.example.com
* Performing LDAP DSE lookup on: 10.0.0.10
* Successfully discovered: ad.example.com
Password for daniel@AD.example.com:
* Unconditionally checking packages
* Resolving required packages
* LANG=C /usr/sbin/adcli join --verbose --domain ad.example.com --domain-realm AD.example.com --domain-controller 10.0.0.10 --login-type user --login-user daniel@AD.example.com --stdin-password
* Using domain name: ad.example.com
* Calculated computer account name from fqdn: LINUX01
* Using domain realm: ad.example.com
* Sending NetLogon ping to domain controller: 10.0.0.10
* Received NetLogon info from: dc1.ad.example.com
* Wrote out krb5.conf snippet to /var/cache/realmd/adcli-krb5-iIuXdP/krb5.d/adcli-krb5-conf-eeT5bO
* Authenticated as user: daniel@AD.example.com
* Looked up short domain name: AD
* Looked up domain SID: S-1-5-21-13313029-848207003-2406435418
* Using fully qualified name: linux01.ad.example.com
* Using domain name: ad.example.com
* Using computer account name: LINUX01
* Using domain realm: ad.example.com
* Calculated computer account name from fqdn: LINUX01
* Generated 120 character computer password
* Using keytab: FILE:/etc/krb5.keytab
* Computer account for LINUX01$ does not exist
* Found well known computer container at: CN=Computers,DC=ad,DC=example,DC=com
* Calculated computer account: CN=LINUX01,CN=Computers,DC=ad,DC=example,DC=com
* Encryption type [3] not permitted.
* Encryption type [1] not permitted.
! Insufficient permissions to modify computer account: CN=LINUX01,CN=Computers,DC=ad,DC=example,DC=com: 000020E7: AtrErr: DSID-03153402, #1:
0: 000020E7: DSID-03153402, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4
adcli: joining domain ad.example.com failed: Insufficient permissions to modify computer account: CN=LINUX01,CN=Computers,DC=ad,DC=example,DC=com: 000020E7: AtrErr: DSID-03153402, #1:
0: 000020E7: DSID-03153402, problem 1005 (CONSTRAINT_ATT_TYPE), data 0, Att 90008 (userAccountControl):len 4
! Insufficient permissions to join the domain
realm: Couldn't join realm: Insufficient permissions to join the domain回答 2
Server Fault用户
发布于 2020-03-12 17:47:00
您没有提供任何容器名称(错误消息中的CN ),因此Linux01机器被插入到默认的"Computers“CN中。我的猜测是,您的用户帐户没有足够的权限来更改此CN,或者更可能的是,它甚至不存在于您的AD中,因此您必须提供完整的CN路径。
在Windows中,当向AD添加计算机时,GUI允许您导航域树并选择适当的容器(叶)。您可能应该在realm.conf文件中添加一个条目,或者将OU信息直接添加到命令行。
/etc/realmd.conf缺省值:
[domain.example.com]
computer-ou = OU=Linux Computers,DC=AD,DC=example,DC=com
# computer-ou = OU=Linux Computers,在命令行上:
realm join --user=daniel@AD.example.com AD.example.com --computer-ou='Linux ComputersDC=AD,DC=example,DC=com'首先使用ldapsearch查找OU/CN:
ldapsearch -LLL -H ldap://AD.example.com -b adc,dc=example,dc=com -D 'AD\daniel' -W '(name=web_servers)' dnServer Fault用户
发布于 2020-09-09 02:46:50
我也遇到了同样的问题,事实证明,与Windows系统相比,加入Linux系统需要更多的权限,但我不知道为什么会这样。
我按照以下指南向域联接帐户添加了其他权限:https://www.computertechblog.com/active-directory-permissions-required-to-join-linux-and-windows-computers-to-a-domain/
From上面的链接:
将系统连接到AD (Linux和Windows)所需的
标准权限
- 重置密码
- 读写帐户限制
- 验证了对DNS主机名的写入
- 验证了对服务主体名称的写入
- 读写DNS主机名属性
机器加入AD ( Linux )
所需的附加权限
- 读取dNSHostName
- 写dNSHostName
- 阅读msDS-AddtionalSamAccountName
- 编写msDS-AddtionalSamAccountName
- 阅读msDS-支持
- 编写msDS-支持
- 读操作系统
- 写操作系统
- 读取操作系统版本
- 编写操作系统版本
- 读取OperatingSystemServicePack
- 写OperatingSystemServicePack
- 读取servicePrincipalName
- 写servicePrincipalName
- 读取userAccountControl
- 写userAccountControl
- 读取userPrincipal名称
- 写userPrincipal名称
注意:您必须显示“特定于属性”的权限才能看到这些额外的权限。
相关:
https://serverfault.com/questions/1006265
复制相似问题
腾讯云开发者
