本文出自 “叶俊生” 博客,请务必保留此出处http://yejunsheng.blog.51cto.com/793131/175814
账号锁定增强:lockoutstatus.exe lockoutstatus {/u:DomainName\UserName l /u:UserName@DomainName} [/?] DomainName 目标域NetBIOS 或 DNS名 UserName 目标用户名
使用LockoutStatus.exe这个工具可以查到用户被锁定的详细信息 这个工具可以到微软的网站免费下载 双击LockoutStatus.exe 在Target User Name里面输入已经被锁定的用户 因为user1这个用户已经被锁定了 所以我就在Target User Name里面输入user1 在Target Doamin Name里面输入域名(yejunsheng.com) 按ok就可以看到该用户被锁定的详细信息了 比如可以看到DC的名字 它属于的站点 用户的状态是锁定的 3次输入错误密码 最后一次输入错误密码的时间是2008-5-18 13:52:27 密码最后的设定时间是2008-5-18 0:07:21 对着它右键还可以进行解锁 重新设置密码等等
如果想在Windows Server 2003里面创建森林之间的信任 首先要把两个森林之间的域功能级别和森林功能级别都提升成Windows Server 2003 在命令提示符里面输入domain.msc按回车键来打开Active Directory 域和信任关系 对着域名(yejunsheng.com)右键--选择提升域功能级别 可以看到当前域功能级别为Windows 2000 混合模式 按三角形--选择Windows Server 2003 按提升 按确定就可以了 我现在是计算机名称叫做shanghai这台计算机提升域功能级别和林功能级别的
对着Active Directory 域和信任关系右键--选择提升林功能级别 可以看到当前林功能级别为Windows 2000 按三角形 选择Windows Server 2003 按提升 按确定就ok了
我现在来到计算机名称叫做chongqing这台计算机 在命令提示符里面输入domain.msc按回车键来打开Active Directory 域和信任关系 对着域名(swsm.cn)右键--选择提升域功能级别 可以看到当前域功能级别是Windows 2000 混合模式 按三角形 选择Windows Server 2003 按提升 按确定就可以了
对着Active Directory 域和信任关系右键--选择提升林功能级别 可以看到林名称为swsm.cn 当前林功能级别是Windows 2000 按三角形 选择Windows Server 2003 按提升 按确定就ok了
如何实现两个森林之间的双向信任呢? 在Windows Server 2003 中新建森林之间的信任可以在任何一边操作 也就是说可以在森林1的根域上操作 也可以在森林2的根域上操作 而且你在一边操作就可以完成整个森林之间信任的创建 我现在就在计算机名称叫做shanghai这台计算机操作吧 在Active Directory 域和信任关系里面对着域名(yejunsheng.com)右键--选择属性--按信任--按新建信任 接着下一步
这一步输入另一个森林的名称 因为我的另一个森林名称叫做swsm.cn 所以在名称里面输入swsm.cn 接着下一步 注意:shanghai.yejunsheng.com这台计算机的首先DNS服务器地址要指向chongqing.swsm.cn那台计算机的首先DNS服务器地址 接着下一步
这一步有二项可以选择 一项是外部信任 一项是林信任 但是外部信任是林外部的两个域之间的不可传递的信任 林信任是两个林之间的可传递信任,允许一个林中的任何域中的用户在另一个林中的任何域中得到身份验证 我选择林信任吧 接着下一步
这一步有双向 单向: 内传(E) 单向: 外传(O)提供给我们选择 这个根据你的需求 假如说你只想信任对方而不想对方信任你 选择单向: 内传(E)也就是说对方信任你 选择单向: 外传(O)也就是说你信任对方 我就创建一个双向的信任吧 接着下一步
这一步有二项 只是在这个域创建呢还是在两方都创建信任关系 我就选择这个域和指定的域吧 接着下一步
这一步要输入指定的域: swsm.cn 有管理权限的账户的用户名和密码 我在用户名里面就输入administrator(域管理员)吧 输入administrator(域管理员)的密码 接着下一步
这一步有全林性身份验证(F) 选择性身份验证(S) Windows Server 2000 活动目录域中的选择性身份验证(S)是非常差的 而Windows Server 2003 活动目录域中的选择性身份验证(S)是非常棒的 你可以实现选择性的身份验证(S) 这里我就先选择全林性身份验证(F) 接着下一步
这一步也选择全林身份验证 接着下一步
现在可以看到我创建的信任类型是林信任 是可传递的 接着下一步
现在可以看到创建信任关系成功了 接着下一步
这一步它问你是否要确认传出信任 也就是说你创建森林之间的信任成功了 确认一下这个信任是不是有效 我就选择是,确认传出信任吧 接着下一步
我传出和传入都确认一下 选择是,确认传入信任 接着下一步
大家看到了吗? 现在已经创建并确认信任关系成功了 也就是说森林之间的信任创建成功了 按完成就ok了
我现在在shanghai.yejunsheng.com这台计算机上可以看到在受此域信任的域(外向信任)域名是swsm.cn 信任类型是林 是可传递的 信任此域的域(内向信任)域名是swsm.cn 信任类型是林 是可传递的
我现在来到chongqing.swsm.cn这台计算机上 可以看到受此域信任的域(外向信任) 域名是yejunsheng.com 信任类型是林 是可传递的 在信任此域的域(内向信任)域名是yejunsheng.com 信任类型是林 是可传递的 现在可以确认这两个森林之间已经相互信任了
我在shanghai.yejunsheng.com这台计算机上通过开始--运行--输入
\\chongqing.swsm.cn
按确定 可以看到现在已经可以访问对方的资源了 具体可以访问到什么样的资源就要看权限分配了 注意:如果有森林中其他的子域 森林中其他的域的话 你会发现它们之间也是互相信任的
如果要删除掉森林之间的信任也很简单的 对着域名(yejunsheng.com)右键--选择属性--按信任--在受此域信任的域(外向信任)里面按swsm.cn--按删除 选择是,从本地域和另一个域中删除信任(Y) 输入swsm.cn 域的管理特权 按确定 这个时候它问你确实要删除swsm.cn域的传出角色吗? 你按是就可以了
在信任此域的域(内向信任)里面按swsm.cn--按删除--选择是,从本地域和另一个域中删除信任--按确定 这个时候它问你确实要删除swsm.cn 域的传入信任吗? 你按是就ok了 这样就完全删除掉森林之间的信任了
我现在来创建一个森林之间信任的选择性身份验证 前面的步骤和全林性身份验证一样 只是这一步改成选择性身份验证 接着下一步
这一步也改成选择性身份验证 接着下一步 后面的步骤跟全林身份验证的步骤一样了
通过开始--运行--输入
\\chongqing.swsm.cn
按确定 可以看到无法访问.你可能没有权限使用网络资源 虽然我创建的信任关系是双向的林之间信任 为什么还不能访问对方的资源呢? 原因就是我刚才选择了选择性身份验证
通过开始--运行--输入dsa.msc按确定来打开Active Directory 用户和计算机 按查看--选择高级功能 按Domain Controllers--对着SHANGHAI这台计算机右键--选择属性
按安全--按添加--在输入对象名称来选择(示例)(E):里面输入administrator--按位置--选择swsm.cn 按确定
这里需要输入swsm.cn 有权限的账户的名称和密码 我就在用户名里面输入administrator 在密码里面输入administrator的密码吧 按确定
按安全那一项--按Administrator (swsm\Administrator) 把允许身份验证那一项沟上 按确定
我在chongqing.swsm.cn这台计算机上 通过开始--运行--输入dsa.msc按确定 按查看--选择高级 按Domain Controllers 对着CHONGQING右键--选择属性
按安全--按添加--在输入对象名称来选择(示例)(E):里面输入administrator--按位置--选择yejunsheng.com 按确定
按安全那一项--按Administrator (YEJUNSHENG\Administrator) 把允许身份验证沟上 按确定就ok了
通过开始--运行--输入
\\chongqing.swsm.cn
按确定 看到了吗? 现在已经可以访问到计算机名称叫做chongqing.swsm.cn那台计算机的资源了 也就是说作为森林之间的信任 现在还多了一项选择性身份验证 它可以让我们非常灵活地去控制身份验证 虽然说我们创建了森林之间的信任关系 我们互相信任了 但是我还可以去控制 就是说我对于对方相应的资源访问请求 身份验证请求 我是否接受 是否对于这种请求进行验证
转载于:https://blog.51cto.com/lingfeng/837836
690
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
