(活动目录,域)
在winos社区里面遇到的最经典的一次讨论,通过讨论自己学到了不少东西
一个菜鸟的几个经典问题
问:环境:03域控,2组OU,一组普通用户,一组经理;
第一个问题:怎样设置才能让域管理员登陆任何域电脑都享本地管理员的权限
第二个问题:怎样设置任何域用户登录域后,用IE时不能下载(在域控设置组策略方法)
第三个问题:离线登陆域,但域控当机时,域用户依然能登录域。
第四个问题:WSUS更新,如何在域控设置,域用户能升级,而不是非要有管理员权限才能更NEW
以上几个问题都是在域控设置组策略的方式实现。
谢谢!
第一个问题:怎样设置才能让域管理员登陆任何域电脑都享本地管理员的权限
第二个问题:怎样设置任何域用户登录域后,用IE时不能下载(在域控设置组策略方法)
第三个问题:离线登陆域,但域控当机时,域用户依然能登录域。
第四个问题:WSUS更新,如何在域控设置,域用户能升级,而不是非要有管理员权限才能更NEW
以上几个问题都是在域控设置组策略的方式实现。
谢谢!
amlihui1983答:很遗憾的告诉你,你的问题大部分都不能通过组策略实现
1加域后域管理员就存在于本地管理员组里面了
2我还没有想到。不过到是可以通过策略设置ie安全级别,ie安全级别高的时候就不能下载了。
3不可能,域控当机了,还能登,那是登哪儿去了。不过当机的话有缓存,可以登录大概十次。有充分的时间赶紧还原
4这个是在更新策略以及wsus分发策略里面设置
1加域后域管理员就存在于本地管理员组里面了
2我还没有想到。不过到是可以通过策略设置ie安全级别,ie安全级别高的时候就不能下载了。
3不可能,域控当机了,还能登,那是登哪儿去了。不过当机的话有缓存,可以登录大概十次。有充分的时间赶紧还原
4这个是在更新策略以及wsus分发策略里面设置
yansy答:1、默认就是这样
2、没法设置
3、就是这样设计的,DC在线后会自动同步
4、本来就可以这样设置的,具体的可以查看本站WSUS版的帖子。
2、没法设置
3、就是这样设计的,DC在线后会自动同步
4、本来就可以这样设置的,具体的可以查看本站WSUS版的帖子。
yansy答:
引用:
原帖由 amlihui1983 于 2008-1-30 16:11 发表
很遗憾的告诉你,你的问题大部分都不能通过组策略实现
1加域后域管理员就存在于本地管理员组里面了
2我还没有想到。不过到是可以通过策略设置ie安全级别,ie安全级别高的时候就不能下载了。
3不可能,域控当机了, ...
不是登录10次
是缓存了最后登录的10个帐号。
是缓存了最后登录的10个帐号。
尘封的心:哈哈,有意思,菜鸟问题却牵扯出不同的答案。
首先,我驳李晖版主的话,“你的问题大部分都不能通过组策略实现”,我觉得大部分都能通过组策略实现,理由为楼主提了4个问题,而后3个问题都能在组策略中实现。
再次,我驳yansy老大的话,在组策略中,是可以控制是否允许IE下载的(我的理解为,楼主希望禁止通过IE下载,而不是使用迅雷什么的)
按照图中操作,可以对指定区域禁止文件下载,如果有需要,可以对其他区域也进行类似设置。
首先,我驳李晖版主的话,“你的问题大部分都不能通过组策略实现”,我觉得大部分都能通过组策略实现,理由为楼主提了4个问题,而后3个问题都能在组策略中实现。
再次,我驳yansy老大的话,在组策略中,是可以控制是否允许IE下载的(我的理解为,楼主希望禁止通过IE下载,而不是使用迅雷什么的)
按照图中操作,可以对指定区域禁止文件下载,如果有需要,可以对其他区域也进行类似设置。
问:楼上,我的意思就是不能通过IE下载,但是迅雷之类的可以。当用户使用IE下载提示无权限下载。
有的时候客户机网络断了,我也希望客户机能登录域,如何设置你说说的缓存登录10次。
有的时候客户机网络断了,我也希望客户机能登录域,如何设置你说说的缓存登录10次。
yansy答:引用:
原帖由 zengy 于 2008-1-30 17:20 发表
楼上,我的意思就是不能通过IE下载,但是迅雷之类的可以。当用户使用IE下载提示无权限下载。
有的时候客户机网络断了,我也希望客户机能登录域,如何设置你说说的缓存登录10次。
试试6楼的做法
缓存登录默认就是这样的,不是登录10次,是在这台机器上登录过的最后10个域帐号会缓存起来,以后和DC联系不上的时候也可以用这10个域帐号登录。
缓存登录默认就是这样的,不是登录10次,是在这台机器上登录过的最后10个域帐号会缓存起来,以后和DC联系不上的时候也可以用这10个域帐号登录。
尘封的心:
1.回复12楼的帖子。AD环境的组策略本来就不需要到客户端一个一个进行设置,直接在活动目录上创建一个GPO,将其链接到你的目标OU上即可。
2.回复14楼的帖子。如果你是针对OU里的用户做的“用户配置”,那么默认情况下,该目标OU下所有的用户都受这个限制,也就是都不同通过IE来下载文件。但是,如果你想排除OU下某些用户还是可以的。方法是通过安全筛选来实现。如果你安装了GPMC组策略管理控制台,那么就可以按照图1所示,将authenticated users组删除,将你需要应用的用户添加进去就可以了。如果你没有安装GPMC,那么就可以按照图2中所示,仍将authenticated users组删除,将你需要应用的用户添加进去就可以了。或者将你不想应用的用户添加进去,赋予拒绝权限即可。
3.回复15楼的帖子。默认如此,但是可以通过组策略修改这个值。当然,不修改也完全满足你的需求,除非你有很多公用计算机,上面登录的账号不止10个,这个时候,如果你还想公用计算机在暂时无法联系域控制器的时候仍能用域帐号登录的话,那么就要酌情修改这个值了。
另外,你说的“不知道策略是对计算机或是用户”是什么意思?做策略设置的时候,是针对计算机还是用户应该很明确啊。如果你想对用户和计算机都生效的话,可以在域级别做策略,也可以对OU链接策略,只不过该OU下应该既有计算机又有用户。当然前提是你做的策略设置中既有计算机设置又有用户设置。
2.回复14楼的帖子。如果你是针对OU里的用户做的“用户配置”,那么默认情况下,该目标OU下所有的用户都受这个限制,也就是都不同通过IE来下载文件。但是,如果你想排除OU下某些用户还是可以的。方法是通过安全筛选来实现。如果你安装了GPMC组策略管理控制台,那么就可以按照图1所示,将authenticated users组删除,将你需要应用的用户添加进去就可以了。如果你没有安装GPMC,那么就可以按照图2中所示,仍将authenticated users组删除,将你需要应用的用户添加进去就可以了。或者将你不想应用的用户添加进去,赋予拒绝权限即可。
3.回复15楼的帖子。默认如此,但是可以通过组策略修改这个值。当然,不修改也完全满足你的需求,除非你有很多公用计算机,上面登录的账号不止10个,这个时候,如果你还想公用计算机在暂时无法联系域控制器的时候仍能用域帐号登录的话,那么就要酌情修改这个值了。
另外,你说的“不知道策略是对计算机或是用户”是什么意思?做策略设置的时候,是针对计算机还是用户应该很明确啊。如果你想对用户和计算机都生效的话,可以在域级别做策略,也可以对OU链接策略,只不过该OU下应该既有计算机又有用户。当然前提是你做的策略设置中既有计算机设置又有用户设置。
