刚使用Active Directory的常见问题(2)

最新推荐文章于 2017-12-28 23:17:00 发布
最新推荐文章于 2017-12-28 23:17:00 发布
阅读量1.1k 收藏
点赞数
分类专栏: Active Directory 文章标签: domain user 活动 dataset 脚本 file

刚使用Active Directory的常见问题(二)。我们使用windows 2003 AD。如何检查我的网络内部的客户端电脑:
1、已经加入域
2、并且用户也使用域账户登陆了机器。

回答:1、如何检查客户端电脑已经加入网域。
在服务器端检查:您可以在DC上的管理员工具中运行Active Directory Users and Computers,展开域节点,展开Computers,初始所有的加入域的计算机都会列在这个节点下。在客户端检查: 打开我的电脑的属性值,切换到“Computer Name”,您会看到当前计算机属于域或工作组。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

2、并且用户也使用域账户登陆了机器。
回答:您可以通过auditing policy来监控当前域用户登录的相关信息。具体信息请参考以下文档:

Audit logon events
http://technet2.microsoft.com/windowsserver/en/library/6847e72b-9c47-42ab-b3e3-691addac9f331033.mspx?mfr=true

Chapter 3: Audit Policy
http://www.microsoft.com/technet/security/guidance/serversecurity/tcg/tcgch03n.mspx

1、 用户加入域的机器名会保存在 computers OU中,但是当用户退出网域,此OU并不更新,仍然会保留该电脑名。(所以,我们判断此OU中的成员是加入过网域的机器,但是当前是否仍在域中,如何判断呢?)您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
答:如果该计算机被正常退出domain加入workgroup中的话,它会显示为disable(标有红X)的状态。同时,您也可以使用dsquery命令找出当前domain中有多少台机器几周内没有登录域
dsquery computer -inactive <NumWeeks>
该命令会找出当前domain中至少NumWeeks个礼拜没有登录过域的机器。

2、我想了解谁登入了网域,需要查log,这各方法不是很方便。我们人员很多,查起来会比较繁琐。而且log日至需要每一条都进入才能看到内容,并不能提炼成一个登入网域的人员列表。
答:同样您可以通过dsquery检查当前domain中至少NumWeeks个礼拜没有登录过域的用户
dsquery user -inactive <NumWeeks>

3、我们有办法可以强制要求用户加入网域或登入玉帐号吗?
答:如果用户知道该计算机本地管理员帐号的密码,那么您的要求恐怕无法达到。

4、以及,我可以提炼出加入网域的电脑名称,登入网域的帐户名称,的列表进行公告与报告用途吗?(图和提炼名单列表?
答:没有直接的方法满足您的需求,您需要写script,同时您可以参考Wen共享脚本。您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

Vicky Hu 胡晓洁 微软全球技术支持中心

你好,希望下面的方法对你有用。
1、活动目录的dsquery命令似乎可以满足你的需要,但是好像是要在纯2003的域功能级别,本想给你个工具,太大新闻组发不了;
2、给你个脚本,可以导出最近30天没有登录的用户到Excel文件,时间你可自己定义,见附件;
3、如果用户没有本地计算机用户帐号的密码,那他就不能登录到本地了,通过脚本更改用户的本地帐号密码;
4、第2点应该已经可以满足你的需求;

---不包含此行---
' Assign Variables

Dim DomainString, fso, DomianObj, UserDel, C, Code
Dim ChkLast, UserObj, Flag, s

' Create Object for File System Access您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/

set fso = CreateObject ("Scripting.FileSystemObject")

' Set Domain Name
DomainString = "overmcse.com" 'Modify this line or this script wont work

' Open ADSI and connect to Domain user data

Set DomainObj = GetObject("WinNT://" & DomainString)
DomainObj.Filter = Array("user")

' Insure that file does not already exist

IF fso.FileExists ("C:/temp/USER.TSV") THEN
     set USERDel = fso.GetFile ("C:/TEMP/USER.TSV")
     USERDel.Delete
End IF

' Create File in temp directory

set C = fso.CreateTextFile ("C:/TEMP/USER.TSV", True)

on error resume next

' Add collumn headings to new file

C.WriteLine "Name" & vbTab & "Description" & vbTab & "FullName" & _
     vbTab & "LastLogin" & vbTab & "PasswordExpirationDate" & _
     vbTab & "IsAccountLocked" & vbTab & "Class" & vbTab & "UserFlags"

' List all users

For Each UserObj In DomainObj
     ChkLast = UserObj.LastLogin ' ChkLast is used to determine the last logon time.
     IF (ChkLast < (Date - 30) OR ChkLast = NULL ) AND UserObj.UserFlags <> 661103 AND UserObj.UserFlags <> 515 THEN
          s = CHR(34) & UserObj.Name & CHR (34)
          s = s & vbTab
          s = s & CHR (34) & UserObj.Description & CHR (34)
          s = s & vbTab
          s = s & UserObj.FullName
          s = s & vbTab
          s = s & UserObj.LastLogin
          s = s & vbTab
          s = s & CHR (34) & UserObj.PasswordExpirationDate & CHR (34)
          s = s & vbTab
          s = s & CHR (34) & UserObj.IsAccountLocked & CHR (34)
          s = s & vbTab
          s = s & CHR (34) &UserObj.Class & CHR (34)
          s = s & vbTab

' Convert Flags to more undersandable terms.

               Flag = UserObj.UserFlags
               IF Flag = 66113 THEN
                    Code = "Password never expires and user cannot change password"
               ELSEIF Flag = 66115 THEN
                    Code = "Account is Disabled"
               ELSEIF     Flag = 577 THEN
                    Code = "Account is not setup right, login not possible"
               ELSEIF Flag = 515 THEN
                    Code = "Account is disabled and user must change password at next logon"
               ELSEIF Flag = 513 THEN
                    Code = "Account has no flags set. User is active"
               ELSEIF Flag = 66049 THEN
                    Code = "Password Does Not expire"
               ELSE
                    Code = "Unknown Code"
               END IF

          s = s & CHR (34) & Code & CHR (34)
          C.WriteLine s ' Write new line to file.
     End IF
Next ' Repeat for all users

Wscript.Quit

---不包含此行---

lzlutao
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Active Directory Explorer
04-11
Active Directory Explorer是一款专业的Active Directory(AD)的查看器和编辑器。它可以方便的帮助用户进行浏览AD数据库、自定义快速入口、查看对象属性、编辑权限、进行精确搜寻等操作,还可以保存AD数据库的快照并支持其离线浏览和比较。 AD Explorer还包括AD数据库的快照保存为离线观看和比较。当你加载一个保存的快照,您可以浏览实时数据库,如果你有两个快照的AD数据库,您还可以使用AD Explorer的比较功能,以查出对象,属性和安全许可之间的差异,操作简单、使用方便
详解Windows Server 2008 Active Directory轻型目录服务
02-18
详解Windows Server 2008 Active Directory轻型目录服务。Windows server 2008活动目录详解
警告 初始化默认驱动器时出错“找不到运行 Active Directory Web 服务的默认服务器。”...
weixin_33923762的博客
03-17 2670
在导入AD模块时报错如下”警告 初始化默认驱动器时出错“找不到运行 Active Directory Web 服务的默认服务器。”报错的是web服务器,第一时间想到的是不是某些服务挂掉了打开服务管理器后发现Active Directory Web Services 服务没有运行开启Active Directory Web Services服务好啦可以正常导入AD模块了 ...
Active Directory Users and Computers 安装与使用(win7&win10)
weixin_30821731的博客
12-28 5947
一. ADUC安装 根据自己电脑所使用的Windows操作系统,找到对应的ADUC管理工具补丁包点击下载后安装。 Windows7补丁下载链接:https://www.microsoft.com/zh-cn/download/details.aspx?id=7887 Windows10补丁下载链接:https://www.microsoft.com/zh-...
验证用户是否在于Active Directory域服务器中
oozz__
04-14 1343
需求:搭建AD域服务器在windows server 2008系统中,win10客户端加入域后验证用户是否存在于AD域? 编写PS脚本如下: $username=$args[0] $password=$args[1] Function Test-ADAuthentication{     param($username, $password)     (new-object
通过C#访问Active Directory对象(Visual Studio)
04-05
在IT领域,尤其是在Windows服务器环境下的开发工作中,访问和管理Active Directory对象是一项常见的任务。本文将深入探讨如何使用C#编程语言,结合Visual Studio来实现这一功能。Active Directory是Microsoft ...
DeathStar:使用Empire(https://github.comBC-SECURITYEmpire)RESTful API在Active Directory环境中使用一些最常见的攻击性TTP自动获取域和/或企业管理员权限
02-06
死亡之星 DeathStar是一个Python脚本,它使用RESTful API在Active Directory环境中使用一些最常见的攻击性TTP自动获得域和/或企业管理员权限。赞助商目录动机创建此行为的主要动机是演示如何将许多常用的Active ...
备忘单,其中包含Windows Active Directory的常见枚举和攻击方法。-Python开发
05-25
备忘单,其中包含Windows ...Active Directory开发备忘单摘要工具使用PowerView进行域枚举使用AD模块使用BloodHound有用的枚举工具本地特权升级横向移动Powershell远程处理具有PS凭证的远程代码执行导入powershell模块a
python-adldap:使用 Active Directory 对象进行更多 Pythonic 操作的 Python 模块
07-12
该模块旨在使用现有的 python-ldap 模块绑定到 AD 并创建可用于操作 Active Directory 对象的对象。 新类为常见操作提供实用方法,例如启用或禁用帐户,或编辑组成员资格。 这是来自 Google Code 上的 py-ad-ldap ...
Azure_Active_Directory_Scripts
04-05
2. **自动化任务**:使用PowerShell脚本可以自动化常见的Azure AD管理任务,比如批量创建用户、更新用户属性、设置密码策略或同步本地AD到Azure AD。 3. **连接到Azure AD**:在运行任何Azure AD PowerShell cmdlet...
活动目录题目及答案
03-10
这是微软认证系列之一的活动目录的题目和答案.真不真实一看就知道.觉得好的加我……
关于“无法完成该动作 到Microsoft Exchange的连接不可用”的解决办法
weixin_33889665的博客
12-09 1919
服务器是Exchange 2013,前提,能PING通Exchange服务器,并且DNS都配置正确(mx记录、A记录、autodiscover记录、SPF记录),通过OWA、POP3、IMAP等方式访问也没有问题此错误一般出现在外网或内网未加域用户,通过Outlook自动发现Exchange服务器或手动配置Exchange服务器时,截图如下:原因分析:服务器无证书或客户端不信...
windows server 2019 active directory配置指南 pdf
最新发布
05-15
Windows Server 2019 Active Directory配置指南PDF提供了如何成功配置和部署Active Directory的详细指导。首先,该指南会介绍何为Active Directory,以及其在企业网络中的重要性。接着指南会介绍如何在服务器上安装Active Directory,包括如何配置Windows Server 2019,以确保计算机符合安装要求。随后,该指南介绍如何设置Active Directory架构,包括域、活动目录林、组织单位等,并涵盖了如何创建安全策略、检查和修复架构中存在的问题等内容。此外,该指南还会介绍如何创建用户和组、配置组策略、集成DNS和DHCP等高级设置,以及如何备份和恢复Active Directory架构设置的方法。 最后,该指南还提供了常见问题的解决方案,以及对基于云的Active Directory解决方案的讨论。总之,Windows Server 2019 Active Directory配置指南PDF提供了一个全面的安装、部署和管理Active Directory的资源,是任何想要成功运行Windows Server网络上的管理员或IT专业人员的必备指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值