Windows server 域控
文章平均质量分 53
昭哥-HYZ
多年IT运维工作经验,擅长领域:VMware、Cloudstack、华为数通、Windows Server等,目前持有VMware VCP 认证,华为的HCIP数通认证,在这里我也是一个菜鸟,希望在这里和大家分享经验技术,共同成长。
展开
-
域策略(7)——禁用本地administrator登录计算机
通常公司域环境中,普通域用户没有管理员权限,不可以随意设置系统和私自安装软件,但是对于有些自己装机经验的人员来说,会通过PE等工具来解锁和重置administrator本地账户,从而用本地账户进入系统,进行配置、安装软件等违规行为。因此可以通过策略禁用本地administrator,从而提高安全性,便于公司运维管理。6. 行政部OU下的所有计算机,均无法通过administrator登录计算机,登录时提示”你的账户已被停用。即使通过PE等工具重置本地administrator密码也无济于事。原创 2022-09-25 17:02:36 · 6499 阅读 · 1 评论 -
域策略(6)——统一映射共享文件夹
大部分企业都是通过网络共享文件夹进行内部文件交流互传,对于IT人员来说,不可能挨个员工帮忙进行链接,所以可以通过域策略统一推送映射共享文件夹。按顺序找到:用户配置——首选项——Windows设置——驱动器映射;在域策略服务器上,通过命令gpmc.msc打开组策略;如下图,填写共享文件夹网络位置,为其选择一个驱动盘符;当域用户登录计算机后,发现已经成功显示共享文件夹;打开共享文件夹,也能看到里面的子文件夹和文件;在右侧区域右键——新建——映射驱动器;原创 2022-09-24 15:36:52 · 3355 阅读 · 4 评论 -
域策略(5)——添加可信任站点
可以通过其他策略设置为这些区域中的每个区域设置安全设置,这些区域的默认设置如下: 受信任的站点区域(低模板)、Intranet 区域(中低模板)、Internet 区域(中模板)和受限制的站点区域(高模板)。(本地计算机区域及其锁定的同等区域具有特殊安全设置,可以保护本地计算机。企业中,因为工作内容不同,岗位职责不同,各部门访问的网站不同,以及一些网站的特殊性,需要将地址添加信任才可正常访问,但是又不可将权限下放到用户计算机或账户上,所以需要管理员在域策略上统一添加信任。(4) 受限制的站点区域。原创 2022-09-18 18:33:52 · 3733 阅读 · 2 评论 -
域策略(4)——设置统一锁屏壁纸(此策略仅适用于企业版、教育版和 Server SKU版)
这个策略其实很简单,网上能搜到的教程基本上都大同小异,但是有些人是不是发现在自己环境下没有生效,因为这个策略是有系统版本限制的:只有企业版、教育版和 服务器SKU版能够生效锁屏策略。找到计算机配置——策略——管理模板——控制面板——个性化——强制显示特定的默认锁屏界面图像和登录图像;启用“强制显示特定的默认锁屏界面图像和登录图像”,并填写网络共享的壁纸路径,并应用-确定;启用“阻止更改锁屏图像和登录图像”选项,并应用-确定;在域控服务器上通过命令gpmc.msc打开组策略;原创 2022-09-18 17:06:32 · 6326 阅读 · 2 评论 -
通过csvde命令导出指定OU下的域用户,附带用户属性
需求通常由于工作原因,需要导出指定OU下的域用户,并且附带用户的属性值,方便对人员进行查阅、整理。步骤需求:导出域控中“天津公司”OU下的所有用户信息;使用如下命令导出,并保存为 321.csv :csvde -d "ou=天津公司,DC=tianjin,DC=com" -r "(&(objectcategory=person)(objectClass=user))" -l "name,sAMAccountName,description,title,department,telep原创 2022-03-14 22:10:19 · 3713 阅读 · 0 评论 -
通过excel文件批量导入AD域用户
通过excel文件制作csv文件,然后通过命令for /f "tokens=1-18 delims=," %a in (C:\user.csv) do dsadd user "cn=%a,ou=%b,ou=%c,ou=%d,dc=%e,dc=%f" -upn %g -samid %h -ln %i -fn %j -display %k -pwd %l -desc %m -email %n -mustchpwd %o -canchpwd %p -disabled %q -memberof 批量添加域用户。原创 2022-03-13 13:19:36 · 4314 阅读 · 4 评论 -
通过excel文件批量导入OU
通过excel文件,利用for /f "skip=1 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%a,DC=tianjin,DC=com"将组织单位OU批量添加到域控服务器。原创 2022-03-13 11:58:36 · 851 阅读 · 1 评论 -
域策略(3)——限制用户使用USB移动存储设备
情况说明为了防止用户私自将USB移动存储设备插入计算机造成病毒感染,数据泄露,需要使用域策略限制用户插入USB存储设备。域策略设置步骤在域控服务器上运行gpmc.msc打开域策略;在OU上创建GPO;用户配置 > 策略 > 管理模板 > 系统 > 可移动存储访问,将“所有可移动存储类:拒绝所有权”配置为“已启用”。重启计算机后,再插入USB U盘,发现系统已经无法读取U盘,说明禁用成功。end...原创 2022-01-29 10:00:56 · 5104 阅读 · 1 评论 -
windows server 2016搭建域控
准备工作Windows server 2016 系统一台;Windows 10 专业版系统一台;开始搭建添加角色和功能直接下一步基于角色的安装,并下一步;如图,下一步选择域服务,在弹出的向导中,点击“添加功能” ,并继续下一步;默认状态,继续下一步;勾选“自动重启服务器”,并点击“安装” ;等待功能安装完毕;开始配置域控将此服务器升级为域控制器;因为是创建的新域,所以选择“添加新林”,输入自己想创建的域名;勾原创 2021-12-21 21:41:36 · 10521 阅读 · 4 评论 -
修改AD域名
变更情况有时候我们会遇到域控搭建完毕之后,发现域名写错了,或者因为公司的某些要求,需要修改公司域名,下面介绍下如何在现有基础上修改域名。下面介绍如何将tianjin.com更改为beijing.com.补充修改时一定用 domain\administrator账户修改,否则中途会因权限不足失败。变更步骤在AD域服务器上以管理员身份运行CMD,使用如下命令:netdom query fsmo创建新的DNS区域;选择“主要区域”,然后下一步;因为修改的是一级域,所有选择第一项;输入想原创 2021-12-23 20:28:21 · 10024 阅读 · 14 评论 -
域策略(1)——限制域用户允许登录的设备和时间
情况说明在企业中域用户可以登录任意一台域计算机其实是很危险的事情,从安全角度应该对每个用户进行登录限制,限制只能登录自己的计算机。具体实现步骤(一)限制用户允许登录的设备未做限制前,“马云”用户可以登录任意主机;管理员登录域控服务器,找到用户所在OU,右键用户——属性;切换“账户”标签页面,选择“登录到”输入限制用户允许登录的计算机名——确定——应用——确定;当用户在尝试登录计算机名非PC-TAOBAO时,系统已经限制其登录;在计算机名为PC-TAOBAO原创 2021-12-24 11:31:03 · 6597 阅读 · 0 评论 -
域策略(2)——设置统一桌面背景
情况说明一般企业内部为了彰显企业文化,或者是公司电脑保持统一、美观,通常会设置统一的桌面背景,下面介绍下,通过域策略统一修改桌面背景。具体实现步骤准备工作,将需要做为壁纸的图片共享出来,everyone可读取,保证域中的计算机能够访问共享图片;登录域控服务器,运行中输入gpmc,msc 打开域策略编辑器;找到需要设置策略的OU,然后在其右键,选择“在这个域中创建GPO并在此处链接”新建GPO,策略名称尽量体现作用;依次:用户配置—策略—管理模板—桌面—桌面,右侧找到原创 2021-12-25 21:49:27 · 12341 阅读 · 3 评论