Active Directory
lzlutao
这个作者很懒,什么都没留下…
展开
-
创建windows域---深入理解域概念(转自:http://angerfire.blog.51cto.com/)
在说域这个概念之前,我们先来回忆一下工作组. 首先,工作组中,每一台计算机都独立维护自己的资源,不能集中管理所有网络资源. 其次,每一台计算机都在本地存储用户的帐户 第三,一个账户只能登陆到一台计算机 第四,工作组中计算机都是平等的,对于其他计算机来说即是服务器,也是客户机. 第五,工作组的网络规模一般少于10台计算机. 记得以前有个小弟弟(某企业网络管理员),刚开始全单位8台计算机,他用的是工作转载 2008-10-23 16:12:00 · 531 阅读 · 0 评论 -
如何在2003域中禁止登录到本机
新建域后,winxp pro客户端登录时可选登陆到域还是登陆到本地计算机,如何设置可以禁止登录到本地计算机? 强迫用户只能以特定身份登录域谢谢!答:通常有四个办法来解决或者说变通的解决这个问题。1、用策略禁止本地登陆。可以建立一个ou,然后将需要控制的计算机账户放置其中,然后在此ou上设置策略,在计算机安全策略中直接指定 禁止本地登陆 。但是这么做有个问题,我们设想一个场景:如果客户端转载 2008-10-23 16:31:00 · 1077 阅读 · 0 评论 -
域帐户管理实战中的四个建议
域帐户管理实战中的四个建议第一:若没有邮箱服务器,则按人事部门的员工编号进行编码bbs.51cto.com4HoID;o ] 对于域帐户管理中,很关键的一个步骤在于对域帐户如何进行命名,或者说,对于域帐户如何进行编码。qc KVlg 对于域帐户的编码来说,一般需要满足三个原则。aL!AUY(B4Bj$z51CTO技术论坛 一是易于输入的原则。因为企业每次登录转载 2008-10-23 16:34:00 · 915 阅读 · 0 评论 -
活动目录验证过程原理
活动目录验证过程原理。我想了解AD内,一台电脑向DC提交验证的具体过程。从client pc启动到发现DC,然后向DC提交验证数据,最后完成验证。期间使用那些端口,那些协议,怎样的验证过程?麻烦提供一个详细点的文章,谢谢! 回答:根据您的描述,我对这个问题的理解是:您想了解一台电脑向DC提交验证的具体过程。如果您所用的客户操作系统不是Windows 3.1, Windows 95, Windo转载 2008-10-23 16:39:00 · 721 阅读 · 0 评论 -
刚使用Active Directory的常见问题(2)
刚使用Active Directory的常见问题(二)。我们使用windows 2003 AD。如何检查我的网络内部的客户端电脑:1、已经加入域。2、并且用户也使用域账户登陆了机器。回答:1、如何检查客户端电脑已经加入网域。在服务器端检查:您可以在DC上的管理员工具中运行Active Directory Users and Computers,展开域节点,展开Computers,初始所有的加入转载 2008-10-23 16:43:00 · 1163 阅读 · 0 评论 -
如何限制用户只能登陆域|活动目录域策略拒绝本地登陆/登录
如何限制用户只能登陆域|活动目录域策略拒绝本地登陆/登录。如何能够限制用户只能登陆到域,而不登陆到本机? 回答:根据您的描述,我对这个问题的理解是:您希望禁止本地帐号登录。如果我的理解有误,请告诉我。您可以通过计算机本地安全策略做到这点,具体步骤如下:1,运行gpedit.msc命令2,定位到:计算机配置->Windows 设置->本地策略->用户权利指派3,编辑“在本地登陆”和“拒绝本地登陆”转载 2008-10-23 16:48:00 · 2778 阅读 · 0 评论 -
如何查看用户权限|whoami
如何查看用户权限|whoami。如何查看某一特定用户的权限? 回答:根据您的描述,我对这个问题的理解是:您想查询用户权限。如果我的理解有误,请告诉我。用户权限通常是通过将用户加入特定用户组获得的,所以在AD用户和计算机内查看用户属于哪些组可以了解用户在域内有哪些权限。如果您需要了解用户在客户端本地拥有哪些权限,您可以在客户端用户权限下运行命令:whoami /all。内置的命令whoam转载 2008-10-23 16:49:00 · 3201 阅读 · 0 评论 -
如何列出 Active Directory 中的所有站点及这些站点内的所有服务器?
问:您好,脚本专家!如何列出 Active Directory 中的所有站点及这些站点内的所有服务器?-- DW答:您好,DW。您知道,您这是在考验我们。如果咨询有关用户和组的问题,我们会处理得很好;我们至少在一定程度上了解用户和组所涉及的内容。如果咨询有关计算机帐户或 OU 的问题;也不要紧。不过,如果问题是站点、站点链接及类似方面的问题,则我们就开始担心了;毕转载 2008-10-24 09:38:00 · 801 阅读 · 0 评论 -
关于Windows的域和活动目录(以实践心得来讲解)
本文缩略词语MS:Microsoft 微软公司95:Windows 9598:Windows 98XP:Windows XPNT:Windows NT Server2000:Windows 2000 Server03: Windows 2003 ServerS:ServerAS:Advanced Server AD:Active Directory 即活动目录DC:Domain Controlle转载 2008-10-23 16:18:00 · 2287 阅读 · 0 评论 -
活动目录的物理结构&逻辑结构
物理结构:Object (ADO) OU Domain Tree Forest逻辑结构:DC Site 活动目录分区 目录分区:存储DC所在域的所有对象副本,只在同一域的DC之间复制 配置分区:包含目录林拓扑,拓扑是目录林中所有DC和它们之间的连接 架构分区:存储整个林的架构,一个目录林只有一个架构,在目录林中所有DC之间复制 应转载 2008-10-23 16:20:00 · 2864 阅读 · 1 评论 -
活动目录术语表
A--------------------------------------------------------------------------------访问控制(access control)--登录计算机或网络权限的管理。 ACE--参见"访问控制条目"。 访问控制条目(access control entry,简称ACE) --每一个ACE包括一个安全标识符(SID),这个标识符转载 2008-10-23 16:20:00 · 634 阅读 · 0 评论 -
什么是gpo,gpt,gpc(活动目录组策略)
关键词:活动目录组策略什么是gpo,gpt,gpc?gpo组策略对象,gpc组策略容器,gpt组策略模板gpc是一个活动目录容器,他包含gpo的属性,本身的配置信息,版本等。gpc包含的容量不大,但非常基本,通过gpc可以访问gpo的另一部分信息gpt数据存储位置和版本。gpt是一个具有层次结构的共享目录,gpt存放于域控中,包含所有的组策略信息。包括管理模板,安全,脚本,软件安装等。gp转载 2008-10-23 16:24:00 · 2991 阅读 · 0 评论 -
标示符&相对标示符
活动目录计算机使用LDAP(轻量目录访问协议)来搜索与更改活动目录中的数据 LDAP是X.500的简化协议,X.500是定义如何组织目录的行业标准 LDAP使用与目录结构有关的信息查找独立对象,每个对象有唯一的名称标示符:LDAP使用一系列与逻辑结构有关的对象名称,这种标识,即对象标识名.用来定位对象完全路径,标识名在目录林中唯一例:CN=Test,OU=test,DC转载 2008-10-23 16:26:00 · 609 阅读 · 0 评论 -
让2000/2003/XP实现自动登陆(加入域/未加入域)
不管计算机是否已加域,都可以通过更改注册表的方法来实现。 在注册表HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon下创建几个键值。修改一个双字节(REG_DWORD)值项AutoAdminLogon。值为1表示启用自动登录功能,值为0或值项不存在表示不使用自动登录功能。修改字符串值项Defau转载 2008-10-23 16:33:00 · 999 阅读 · 0 评论 -
方便用户共享资源,在域内通过脚本给域内计算机映射网络驱动器(打印机)
还是转载gnaw0725的文章,偶然看到的感觉很有用为管理员应该主动的部署服务,将可用资源送至客户端而不要让用户自己去找,因为这样做,一需要对用户进行额外的培训,二用户需要更多的权限,三可能导致安全性的问题。在ad中发布共享资源,只是将已经存在的共享资源发布到ad中,便于用户搜索,这是一个逻辑的再组织,这个动作并不会对物理资源造成影响。所以一般对于ad中的共享文件夹的部署,可以使用用户登陆脚本转载 2008-10-23 16:58:00 · 2035 阅读 · 0 评论 -
如何使普通用户授权加入域的权限个数多于十个
在实际应用中,我们会遇到这种情况,我们让客户机加入域的授权帐户会是一个专用的帐户,此帐户一般不受任何权限,因为如果用脚本加入域的话此帐户的信息会写在加入域的脚本中。但是当使用AD用户尝试加入域的工作站的数量超过 10 时,会出现如下提示:提示已超 出此域允许的计算机用户的最大值,请联系统管理员。怎样解决这个问题?运行services.msc,打开授权日志服务然后在管理工具,授权,添加授转载 2008-10-24 09:11:00 · 2655 阅读 · 0 评论 -
如何限制域用户看到域中其他的用户及计算机信息。是否设置只让用户在只能看到一个OU中的用户
转贴自gnaw0725管理日志以设置ou的安全属性,仅允许某个账户或某个群组有读权限可以通过在Active Directory用户和计算机中针对OU设置权限的方法,禁止某个域用户查看该OU的信息。具体的操作步骤如下:1. 使用域管理员帐号登录到域控制器上。2. 点击“开始”——“运行”,输入“das.msc”,打开Active Directory用户和计算机。3. 点击“查看”——选转载 2008-10-24 09:12:00 · 3818 阅读 · 0 评论 -
如何计算用户登录到计算机的次数?
问:您好,脚本专家!如何计算用户登录到计算机的次数?-- DE答:您好,DE。您是如何计算用户登录到计算机的次数?问得好,但最终的回答可能是:没办法计算。不过,我们至少可以对一些可能的解决方法进行研究,看其中的某些方法是否有助于解决问题。首先,我们要弄清楚登录到计算机和登录到域之间的区别。如果运行了 Active Directory,就可以确定用户登录到域的次转载 2008-10-24 09:35:00 · 1911 阅读 · 0 评论 -
一种简单的修改所有域内本地管理员密码,及加某个帐号至本地管理员组的方法
在一个实施项目的过程中,客户提出两个要求:1.自动修改所有的本地管理员密码2.将某个域用户自动的加入到本地的管理员组中 这两个要求实现起来不难,我用了一个最简单的方法,创建一个bat文件,然后将其放置在组策略的计算机启动策略上,即可完成但是要注意的是,我是在域级别上设置组策略的,所以,如果不加处理,则域管理员的密码也会发生更改,所以,在组策略上的安全上要设置过滤掉域控制器。转载 2008-10-23 16:31:00 · 3480 阅读 · 0 评论 -
域环境下客户机本机管理员密码修改实践
加入到域环境下的客户机,虽有域帐户及密码可统一管理,但是客户机登陆本机的管理员密码似乎是无法控制,有的用户自行设定,随意登录到本机,导致有些域管理策略实施无效,有的用户干脆就没设,这给木马病毒的感染大开方便之门,于是我利用脚本技术加上域组策略控制用户端本机密码。1、用记事本写如下脚本 存为pssword.vbs:strComputer = "."Set objUser = GetObjec转载 2008-10-23 16:30:00 · 2849 阅读 · 0 评论 -
AD五种操作主机的作用
Active Directory 定义了五种操作主机角色(又称FSMO): 1.架构主机 schema master2..域命名主机 domain naming master3.相对标识号 (RID) 主机 RID master4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master而每种操作主机角色负担不同的工作,具有不同的功能:1.架构主机具有架构主机角转载 2008-10-23 16:17:00 · 997 阅读 · 0 评论 -
理解域
1.什么是域控制器. 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上转载 2008-10-23 16:23:00 · 696 阅读 · 0 评论 -
域控制器中组的种类和含义
从组的使用范围来分,可以分为三种:全局组 本地域组 通用组 1.全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组,可以访问任何一个域内的资源。 2.本地域组具有所属域的访问权限,以便访问本域的资源。本地域组的成员可以是同一个域的本地域组,也可以是任何域内的账户、全局组和通用组,他们能访问的资源只是该本地域组所在域的资源。 3.通用转载 2008-10-23 16:24:00 · 2880 阅读 · 0 评论 -
域客户端的计算机更名
功能说明:通过脚本实现域客户端的计算机名更名操作 Netdom renamecomputer 命令格式:Netdom renamecomputer 现有计算机名 /newname:新计算机名 /userD:域管理员帐号 /passwordD:域管理员密码 /userO:本机管理员帐号 /passowrdO:本机管理员密码 操作实例:netdom rename转载 2008-10-23 16:28:00 · 1327 阅读 · 0 评论 -
活动目录域控制器端口
活动目录 域控制器端口。域成员与域控之间通讯需要开放什么端口,除了LDAP389、139、445、DNS21,还有其他吗?回答:根据您的描述,我对这个问题的理解是:DC和域成员之间通信所需要打开的端口。以下是需要打开的端口的列表,客户端指的是域成员.客户端端口 服务器端口 服务1024-65535/TCP 135/TCP RPC *1024-65535/TCP/UDP 389/TCP/UDP转载 2008-10-23 16:36:00 · 1274 阅读 · 0 评论 -
Windows Vista登录域
使用windows vista business 系统登陆域时,我们需要经常切换 域帐户与本地帐户。所以希望:方案1、是否可以让账户变成图标,用户logon时可以点选,不用每次键入domain name/用户名方案2、是否可以让系统每次登入界面,默认在本机状态,因为本机电脑名比较长,键入时繁琐。而需要登入网域时,我们再自行键入。回答:根据您的描述,我对这个问题的理解是:您需要经常在域帐户与本地转载 2008-10-23 16:41:00 · 702 阅读 · 0 评论 -
刚使用Active Directory的常见问题
刚使用Active Directory的三点问题。刚接触刚在企业内部开始推广Active Directory 活动目录的管理员朋友们,都会遇到这样的尴尬:用户是否使用活动目录,活动目录管理员无法控制,活动目录变成了一个可有可无的东西。为什么这么说呢?请看如下三点Active Directory活动目录的常见问题: 1不登录到域的用户不允许接入接入公司网络(身份验证),比如,一台机器不加入AD转载 2008-10-23 16:42:00 · 1036 阅读 · 0 评论 -
批量修改域用户登录脚本
批量修改域用户 登录脚本。我想批量修改域用户的配置文件路径、登录脚本、以及连接路径,因为我有好多域用户啊回答:我使用如下的脚本进行操作对应用户的文件夹dsquery user OU=dict,DC=dicterminal,DC=com,DC=cn -limit 0 | dsget user -samid > samid.txtfor /f "tokens=1,2" %a in (samid3.转载 2008-10-23 16:45:00 · 5521 阅读 · 0 评论 -
域中打印机共享添加
域中打印机共享打印机添加打印机。在域环境中,普通用户是没有权限添加打印机的。这有个客户在本地管理员或者域管理员登陆的情况下可以使用打印机,并进行相关设置。但是用普通域用户登陆后,开始菜单 打印机 选项就不可用了。客户希望普通的域用户也能够自己从开始菜单添加打印机,这个不知道如何设置?希望大家帮忙看看!谢谢! 回答:根据您的描述,我对您提出的问题的理解是:您想知道如何让域普通用户能够添加打印机。转载 2008-10-23 16:45:00 · 6600 阅读 · 1 评论 -
禁止本地用户登陆
禁止用户本地登录。在域环境下如何禁止客户机进行本地用户登陆,当禁用本地用户登陆后,如果客户机出现断网或者不能登陆域控制器的情况应该怎样解决。如果想让个别的人可以在本地登陆又该怎样做。 回答:根据您的描述,我对您提出的问题的理解是:您想知道如何禁止本地用户登录,但允许个别用户可以登录本机。我们能在域控制器上针对用户部署组策略,我们可以把允许登录本地和不允许登录本地用户分别加入到不同的OU,转载 2008-10-23 16:46:00 · 3971 阅读 · 2 评论 -
电脑主机命名规则|活动目录计算机命名规则
电脑主机命名规则|活动目录计算机命名规则。大家好,我们公司大概有2000个客户端。AD环境。现在关于主机命名规则分成了2种意见:一种主张采用资产编号作为主机名。一种主张结合用户账号作为主机名(地点-用户账号-序列号)。现在2种方式各有优缺点,但是不好决定用什么方式。所以想请教一下各位的经验,大家在各个公司AD环境下,通常采用什么命名规则来命名主机。同时,你认为采用这种命名规则有什么好处呢?算转载 2008-10-23 16:46:00 · 4143 阅读 · 0 评论 -
AD如何委派权限可以让域用户有加入域的权限|突破10次限制
AD如何委派权限可以让域用户有加入域的权限|突破10次限制。我们知道windows2003活动目录域AD默认系统只允许域管理员,对一台机器可以进行加入和退出域的操作。我如何能创建一个非管理员的域用户,让他有权限对下面客户机进行加入域和退出域的操作。 回答:默认时,普通用户也可以加入域,不过这有次数限制,不能超过10次。此外,我们还可以通过委派权限的方式赋予普通用户加入域的权限。通过委派方式获得转载 2008-10-23 16:49:00 · 2407 阅读 · 0 评论 -
禁止未加入域电脑访问域资源|活动目录域外的用户不能访问域内怎么设置
禁止未加入域电脑访问域资源|活动目录域外的用户不能访问域内怎么设置?windows2003域环境下,如何设置让未加入域的电脑不能访问域内资源(该用户拥有域成员权限)???具体的情况是这样的,公司局域网内最近新增了无线,单独一个网段,用来外单位人员上外网及公司内部开会时使用.无线连接未设置密码(也不方便设置密码,外来上员上网不方便),但发现部分员工用自己的笔记本连接无线,由于都有域成员的帐号,转载 2008-10-23 16:50:00 · 7401 阅读 · 0 评论 -
活动目录域中针对长期出差人员笔记本计算机的管理
活动目录域中针对长期出差人员笔记本计算机的管理。您好,是这样客户的员工使用笔记本出差,时间一般是两到三个月,会不会由于计算机的密码的自动更改导致计算机不能登陆域。域控制器本身定期维护计算机的密码,如果出差60天到90天计算机是否需要重新加入域。针对这种类型的计算机应该怎么管理? 回答:您可以考虑建立一个计算机的ou,然后将需要出差的计算机账户放入到这个ou中,对此ou实施策略,修改计算机转载 2008-10-23 16:51:00 · 2447 阅读 · 0 评论 -
添加网络打印机的方法及脚本
添加网络打印机的方法及脚本:您好,请问能否用组策略添加打印机,以免手工去添加。或者有类似的方法也可,谢谢! 回答:默认状况下,打印机只要已经发布在域中,那么域用户都可以连接该网络打印机,关于打印机发布请参考http://support.microsoft.com/default.aspx?scid=kb;zh-cn;234619 如果您需要以登录脚本的方式,将发布的网络打印机自动添加到客转载 2008-10-23 16:51:00 · 3853 阅读 · 0 评论 -
由工作组向域转型应该注意的-----转自gnaw0725博客
首先让我们来了解一下工作组,工作组模式是基于广播来通讯的,工作组中的每台计算机互为服务器,互为客户端。为了保持每台计算机都能够获得工作组中的资源共享列表,每当一台计算机启动或者连入网络或者产生新的共享资源,它都会向当前工作组中所有的计算机发送广播,宣告自己的身份、位置及共享资源等,这个宣告将遵循一定的规则进行选举,以最终确定主浏览服务器,获得该身份的计算机负责维护工作组中的浏览列表,并定期向其他转载 2008-10-23 16:59:00 · 815 阅读 · 0 评论 -
如何计算某个域中的计算机数?
问:您好,脚本专家!如何计算某个域中的计算机数?-- TN答:您好,TN。为您讲一个真实的故事。大约 5 年前,有一个脚本专家刚来 Microsoft 时,他所在的小组(可能不是公司内技术最精湛的小组)需要计算公司内所有计算机的数目。他们是如何完成上述任务的呢?嗯,与您设想的完全一致:他们将软盘分发给每个人。在这张软盘上有一个批处理文件,该文件可获取计算机名称并将转载 2008-10-24 09:36:00 · 1045 阅读 · 0 评论 -
如何从本地管理员组中删除管理员和域管理组之外的一切成员?
问:您好,脚本专家!如何从本地管理员组中删除管理员和域管理组之外的一切成员?-- JS答:您好,JS。我们知道,成为医生时都得宣读希波克拉底誓言,该誓言开头著名的一名话是,“首先,不要造成伤害。”成为脚本专家时就得宣读脚本克拉底誓言,该誓言就不那么著名了,开头一名话是,“首先,对他们进行警告。此后如果发生什么不好的事,那就不是自己的错了。”因此,JS,要知道我们已转载 2008-10-24 09:37:00 · 3997 阅读 · 0 评论 -
关于本地缓存登陆 和 域用户将计算机加入域的问题及登录过程- -
这是我看过最清楚的文章,登陆过程写得非常详细.用处:公司的笔记本加入域后,外出怎么样办,用缓存登陆呀.有人发现公司的电脑,在DC坏掉后,还可以登陆,非常奇怪,那就是缓存登陆的原因,你可以在域控制器里设置是否允许缓存登陆及缓存的个数(只用登陆过才能缓存哟)默认是关闭的您可以在“域安全策略”-〉“安全设置”-〉“本地策略”-〉“安全选项”-〉在右边找到“交互式登录:可被缓存的前转载 2008-10-30 13:13:00 · 3080 阅读 · 0 评论