域是活动目录的一种实现形式,也是活动目录最核心的管理单位和复制单位!域由域控制器和成员计算机组成! 域既是Windows网络系统的逻辑组织单元,也是Internet的逻辑组织单元,在Windows 系统中,域是安全边界。域管理员只能管理域的内部,除非其他的域显式地赋予他管理权限,他才能够访问或者管理其他的域。每个域都有自己的安全策略,以及它与其他域的安全信任关系。 域是Windows Server网络系统的安全性边界。一个计算机网最基本的单元就是“域”,这一点不是win所独有的,但活动目录可以贯穿一个或多个域。在独立的计算机上,域即指计算机本身,一个域可以分布在多个物理位置上,同时一个物理位置又可以划分不同网段为不同的域,每个域都有自己的安全策略以及它与其他域的信任关系。当多个域通过信任关系连接起来之后,活动目录可以被多个信任域共享。 一台Windows计算机,它要么隶属于工作组,要么隶属于域。所以说到域,我们就不得不提一下工作组,工作组是MS的概念,一般的普遍称谓是对等网。工作组通常是一个由不多于10台计算机组成的逻辑集合
一、在域中新建计算机帐户
在NT4域时,加入到域需要有管理特权才行。所以微软有这样一个推荐原则:如果是小型网络,可以由管理员负责将所有计算机加入到域;如果是大型网络,管理员忙不过来,可以先在域控制器上预建计算机帐户,用户用相应的计算机名加入域即可。这样可以避免由于管理口令的外泄而带来的威胁。
从Windows 2000开始,微软作了改进:在Windows 2000/03域中,默认Authenticated Users可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。注意:同一台机器,多次退出再加入域,并不累计计数;并且还可以在组策略中将累计数复位。
既然在2000/03域中普通域用户就可以把10台计算机加入到域,那么在AD中手动预建计算机帐户还有什么意义呢?
让我们先来看一下为什么普通域用户能这样,在管理工具/域控制器安全策略/本地策略/安全设置/用户权利分配下:“域中添加工作站”的默认值为:Authenticated Users。
但假设管理员不想让普通域用户有能力将计算机加入到域,就可将这条策略的值更改为Administrators或Domain Admins,然后通过开始/运行:刷新计算机策略命令或重启DC使其生效。说明:在2000域下这个命令是secedit /refreshpolicy machine_policy /enforce;在03域下用gpupdate /target:computer,不加参数,直接运行gpupdate也可,只不过把用户策略也刷新了。
我们再进一步假设,管理员想实现张三(域用户名:z3),只能把张三自己所用的计算机(计算机名为cz3)加入域。那么管理员就可以通过预建计算机帐户,并且把“下列用户或组可以将此计算机加入到域”的默认值,由Domain Admins,改为z3。
预建计算机帐户还有一个目的就是通过计算机网卡的全程唯一标识符GUID实现RIS(远程安装服务)安装的预分级,这里就不详细讨论了。
加入域时常见的问题:用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
另外,对于在活动目录AD的computers容器或其它OU上有“创建计算机对象”权限的用户,也可以在该域中创建计算机帐户,且不受10个的限制。操作:AD用户计算机/相应容器或OU/属性/安全/高级/添加:“用户”——“创建计算机对象”权限。如果找不到“安全”标签,选中查看菜单下的高级功能。另外在操作上利用“委派控制”向导也可以。还有一点区别在于,由此创建的计算机帐户,创建者即为该计算机帐户的所有者。而前面提到的那种用户具有在“域中添加工作站”权利而创建的计算机帐户的所有者为:Domain Admins。
如果用户既有在“域中添加工作站”的用户权利,又有在容器/OU上的“创建计算机对象”权限,则所有者的结果将基于计算机容器/OU上的权限,即创建者即为所有者。但注意不要拿管理员帐户做这个实验,因为管理组成员创建的资源,所有者总是Administrators/Domain Admins这个组,而不是具体的哪个管理员用户帐户。
二、禁用/启用计算机帐户
如果计算机帐户被禁用,会使使用那台计算机的用户由于“找不到计算机帐户”而无法登录到域,出错提示为:无法与域连接……,域控制器不可用……,找不到计算机帐户……。
在域中需要有计算机帐户是我们最前面提到的用户登录到域的两个必备条件之一。解决办法很简单,由管理员启用该计算机帐户即可。可以用管理工具“AD用户和计算机”,也可以使用03的Dsmod computer命令,该命令格式如下:
dsmod computer “cn=computername,cn=computers,dc=ms,dc=com” -disabled no
引号内为标识名DN,若DN中不含空格,也可以不用引号。使用Dsmod user也可以禁用/启用用户帐户,命令格式与此相同。
说明:手动禁用后,客户机需要重启才不可登录;启用后,马上即可登录。
管理员禁用计算机帐户,主要是基于安全考虑,如公司财务主管出差,为了避免其它人使用该计算机登录到财务的域,可将其计算机帐户暂时禁用。再者就是域成员计算机正常脱离域,其计算机帐户不会被马上删除,而是被禁用了。这个功能在2000上,大多数时候不好使;而在XP/03上,只要你在脱离域时,输入正确的用户名和密码,帐户是会被自动禁用的。再次加入时,会被自动启用。
三、重设计算机帐户
作为域成员的每一个Windows 2000/XP/03工作站或服务器都与域控制器有一个离散的通讯通道,也叫安全通道。安全通道的密码与计算机帐户一道,储存在所有的域控制器中。
对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:计算机帐户丢失……。
解决办法:这时就需要重设计算机帐户,该计算机需要重新加入域。简单地说就是重设的计算机帐户相当于一个新的预建的计算机帐户。
以上讨论了NT/2000/03域中的计算机帐号,及常见与计算机帐户相关故障的原因和解决办法。不尽之处,请批评指正。
新增:加10台计算机到域的设置是可以更改的。
1、运行03安装光盘Support\Tools下的suptools.msi来安装Windows支持工具
2、以域管理员身份登录,开始/运行: adsiedit.msc
3、在域上/右键/属性
4、找到ms-DS-MachineAccountQuota,默认等于10
5、根据需要进行修改,此设置项的数值决定了域验证帐户有权限加入计算机的数目。
一、在域中新建计算机帐户
在NT4域时,加入到域需要有管理特权才行。所以微软有这样一个推荐原则:如果是小型网络,可以由管理员负责将所有计算机加入到域;如果是大型网络,管理员忙不过来,可以先在域控制器上预建计算机帐户,用户用相应的计算机名加入域即可。这样可以避免由于管理口令的外泄而带来的威胁。
从Windows 2000开始,微软作了改进:在Windows 2000/03域中,默认Authenticated Users可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组,也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。注意:同一台机器,多次退出再加入域,并不累计计数;并且还可以在组策略中将累计数复位。
既然在2000/03域中普通域用户就可以把10台计算机加入到域,那么在AD中手动预建计算机帐户还有什么意义呢?
让我们先来看一下为什么普通域用户能这样,在管理工具/域控制器安全策略/本地策略/安全设置/用户权利分配下:“域中添加工作站”的默认值为:Authenticated Users。
但假设管理员不想让普通域用户有能力将计算机加入到域,就可将这条策略的值更改为Administrators或Domain Admins,然后通过开始/运行:刷新计算机策略命令或重启DC使其生效。说明:在2000域下这个命令是secedit /refreshpolicy machine_policy /enforce;在03域下用gpupdate /target:computer,不加参数,直接运行gpupdate也可,只不过把用户策略也刷新了。
我们再进一步假设,管理员想实现张三(域用户名:z3),只能把张三自己所用的计算机(计算机名为cz3)加入域。那么管理员就可以通过预建计算机帐户,并且把“下列用户或组可以将此计算机加入到域”的默认值,由Domain Admins,改为z3。
预建计算机帐户还有一个目的就是通过计算机网卡的全程唯一标识符GUID实现RIS(远程安装服务)安装的预分级,这里就不详细讨论了。
加入域时常见的问题:用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。
这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。
另外,对于在活动目录AD的computers容器或其它OU上有“创建计算机对象”权限的用户,也可以在该域中创建计算机帐户,且不受10个的限制。操作:AD用户计算机/相应容器或OU/属性/安全/高级/添加:“用户”——“创建计算机对象”权限。如果找不到“安全”标签,选中查看菜单下的高级功能。另外在操作上利用“委派控制”向导也可以。还有一点区别在于,由此创建的计算机帐户,创建者即为该计算机帐户的所有者。而前面提到的那种用户具有在“域中添加工作站”权利而创建的计算机帐户的所有者为:Domain Admins。
如果用户既有在“域中添加工作站”的用户权利,又有在容器/OU上的“创建计算机对象”权限,则所有者的结果将基于计算机容器/OU上的权限,即创建者即为所有者。但注意不要拿管理员帐户做这个实验,因为管理组成员创建的资源,所有者总是Administrators/Domain Admins这个组,而不是具体的哪个管理员用户帐户。
二、禁用/启用计算机帐户
如果计算机帐户被禁用,会使使用那台计算机的用户由于“找不到计算机帐户”而无法登录到域,出错提示为:无法与域连接……,域控制器不可用……,找不到计算机帐户……。
在域中需要有计算机帐户是我们最前面提到的用户登录到域的两个必备条件之一。解决办法很简单,由管理员启用该计算机帐户即可。可以用管理工具“AD用户和计算机”,也可以使用03的Dsmod computer命令,该命令格式如下:
dsmod computer “cn=computername,cn=computers,dc=ms,dc=com” -disabled no
引号内为标识名DN,若DN中不含空格,也可以不用引号。使用Dsmod user也可以禁用/启用用户帐户,命令格式与此相同。
说明:手动禁用后,客户机需要重启才不可登录;启用后,马上即可登录。
管理员禁用计算机帐户,主要是基于安全考虑,如公司财务主管出差,为了避免其它人使用该计算机登录到财务的域,可将其计算机帐户暂时禁用。再者就是域成员计算机正常脱离域,其计算机帐户不会被马上删除,而是被禁用了。这个功能在2000上,大多数时候不好使;而在XP/03上,只要你在脱离域时,输入正确的用户名和密码,帐户是会被自动禁用的。再次加入时,会被自动启用。
三、重设计算机帐户
作为域成员的每一个Windows 2000/XP/03工作站或服务器都与域控制器有一个离散的通讯通道,也叫安全通道。安全通道的密码与计算机帐户一道,储存在所有的域控制器中。
对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:计算机帐户丢失……。
解决办法:这时就需要重设计算机帐户,该计算机需要重新加入域。简单地说就是重设的计算机帐户相当于一个新的预建的计算机帐户。
以上讨论了NT/2000/03域中的计算机帐号,及常见与计算机帐户相关故障的原因和解决办法。不尽之处,请批评指正。
新增:加10台计算机到域的设置是可以更改的。
1、运行03安装光盘Support\Tools下的suptools.msi来安装Windows支持工具
2、以域管理员身份登录,开始/运行: adsiedit.msc
3、在域上/右键/属性
4、找到ms-DS-MachineAccountQuota,默认等于10
5、根据需要进行修改,此设置项的数值决定了域验证帐户有权限加入计算机的数目。
4802
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
