使用组策略配置域中计算机注册表安全

  使用组策略配置注册表安全 开启远程桌面后,HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\fDenyTSConnections值修改为0,允许远程链接。禁用远程桌面后该值修改为1,禁止远程链接。 因此,通过该注册表安全,可以控制哪些用户能够启用远程桌面或禁用远程桌面。 你打算只允许域管理员

原创 点赞0 阅读1869 收藏0 评论0 2013-02-15

使用组策略集中配置域中计算机特定文件夹安全

使用组策略配置文件夹安全 如果域中的某个部门计算机有相同的文件夹目录,且安全性要求一致时,可以使用组策略统一设置NTFS权限。如果某个计算机的本地管理员修改了该文件夹的NTFS权限,则组策略一刷新,其NTFS权限又回到组策略的设置。 以下示例演示使用组策略控制市场部门计算机”c:\销售资料”文件的权限。 3.12.1示例:使用组策略设置文件夹安全 在市场部的计算机c盘根目录下都有一个“销售

原创 点赞0 阅读4252 收藏0 评论0 2013-02-15

使用组策略禁用或启用域中计算机运行的服务

使用组策略管理系统服务 使用组策略可以集中管理域中计算机的服务的启动模式和管理服务的权限。 系统服务设置安全性,执行系统服务方面的安全措施时,您可以控制谁能够在工作站、成员服务器或域控制器上管理服务。目前,更改系统服务的唯一方法是通过使用”组策略”计算机设置。 如果将”组策略”作为”默认域策略”实施,该策略就会应用到域内的所有计算机。如果将”组策略”作为”默认域控制器策略”实施,该策略将只应

原创 点赞0 阅读10000+ 收藏0 评论0 2013-02-15

使用组策略向域中计算机的组添加或删除成员

配置受限制的组 使用组策略中“受限制的组”可以控制组的成员或组所属的组。这样可以集中控制域中计算机或服务器的特定组的成员和特定组的所属的组。以下示例将会说明受限组的作用。 示例:配置受限制的组 李文斌域用户需要使用远程桌面管理公司服务器,为了能够将授权该用户能够管理服务器,你需要将该用户添加到服务器的本地组“Remote Desktop Users”。 在“服务器组”组织单元,使用组策略将

原创 点赞0 阅读2178 收藏0 评论0 2013-02-15

组策略设置服务器俺去----设置登录提示

设置登录提示 设置登录提示,可以在用户登录时为提示用户一些信息,比如告诉参见培训的学员培训资料所在的位置,或者提示用户今天必须为操作系统安装某个系统补丁,或告诉用户登录后查看公司邮箱。 以下示例将会为培训部计算机设置登录提示。 1. 如图3-196所示,在DCServer上,打开组策略管理工具。右击培训部组织单元链接的组策略“eduGPO”,点击“编辑”。 2. 如图3-197所示,在出现

原创 点赞0 阅读1610 收藏0 评论0 2013-02-15

组策略设置服务器安-----禁用来宾用户

禁用来宾用户 guest是来宾帐号,别人要访问你的电脑,必须要有你的电脑的帐号和密码,如果对方不知道你的账号和密码,仍然可以通过来宾帐号guest来访问,这就为病毒传播创造了条件,对于我们普通用户来说,如果不进行局域网相互访问,最好将guest帐号禁用。 从安全考虑,禁用市场部计算机上的guest帐户。以下步骤将会使用组策略将市场部的计算机上的Guest帐户禁用。 1. 在DCServer上

原创 点赞0 阅读4902 收藏0 评论0 2013-02-15

组策略设置服务器安全-----不显示最后的用户名

不显示最后的用户名 按下Ctrl+Alt+Del后,出现的登录对话框,默认上一次登录的用户名,这样不安全。下面就使用组策略配置“服务器组”组织单元中的服务器,在登录时不显示上一次登录名。 任务: u 查看默认显示最后的用户名 u 配置组策略不显示最后的用户名 u 验证不显示最后的用户名设置 步骤: 1. 如图3-181所示,在FileServer上,按下Ctrl+Alt+Del登录,

原创 点赞0 阅读1973 收藏0 评论0 2013-02-15

通过组策略设置---允许普通用户能够关闭服务器

允许普通用户能够关闭服务器 Windows Server 2003 和Windows Server 2008 的默认安全策略不允许普通用户关闭或重启服务器。如果有这方面需要,则可以通过组策略设置服务器安全策略。 1. 如图3-173所示,以普通域用户刘国瑞登录域控制器,点击“开始”à“关机”。 2. 如图3-173所示,在出现的关闭Windows对话框,在希望计算机做什么下,点击下拉菜单,可

原创 点赞0 阅读2320 收藏0 评论0 2013-02-15

使用组策略控制本地登录和访问网络资源

示例:控制本地登录和访问网络资源 公司服务器FileServer是ess.com域的成员,为这些服务器单独创建了组织单元“服务器组”。从安全考虑不允许普通域用户登录到这些服务器,即不允许交互式登录。 服务器组的共享资源不允许“G_水环所学员”从网络访问共享资源。允许“G_卫生监督局学员”从网络访问共享文件夹。 任务: u 修改链接在“服务器组”组织单元上的组策略 u 验证不允许登录 u

原创 点赞0 阅读1789 收藏0 评论0 2013-02-15

允许普通域用户登录域控制器

允许普通域用户登录域控制器 域控制器默认不允许普通域用户登录,如果你想修改此默认设置,需要编辑链接在“Domain Controllers”组织单元上的“Default Domain Controllers Policy”。 1. 如图3-163所示,在DCServer上,切换用户,点击“其他用户”。 2. 如图3-164所示,输入刘国瑞域用户和密码,点击“”登录。 图 3-163 切

原创 点赞0 阅读5956 收藏0 评论0 2013-02-15

为域用户设置多元密码策略

针对Domain Admins创建帐户策略 多元密码策略部署要求有以下几点: u 所有域控制器都必须是Windows Server 2008 u 域功能级别为2008 Domain Functional Mode u 客户端无需任何变更; u 如果一个用户和组有多个密码设置对象(PSO,可以把PSO理解为和组策略对象GPO类似,通俗的理解为就是一条条的密码策略),那么优先级最小的PSO将

原创 点赞0 阅读1662 收藏0 评论0 2013-02-15

删除密码设置对象(PSO)

删除密码设置对象(PSO) 下面将会介绍查看用户或组应用的密码设置对象(PSO),以及如何删除密码设置对象。 u 查看用户或全局安全组的结果 PSO u 使用dsget查看用户结果PSO PSO链接到用户或安全组上后,密码策略是立即生效的。如何来检验呢?使用如下命令可以看到用户目前生效的密码策略 域管理员Administrator默认在活动目录中users文件夹下,users不是组织单元

原创 点赞0 阅读559 收藏0 评论0 2013-02-15

设置域用户帐户密码策略

设置域用户帐户策略 从安全和易用考虑,普通域用户的帐户策略必须满足一下要求: u 密码长度至少3位 u 最长使用期限60天 u 密码必须符合复杂性要求 u 密码最短使用0天 u 帐户锁定阀值7次 u 帐户锁定时间30分钟 u 复位帐户锁定计数器30分钟 任务: u 使用默认域策略设置域用户帐户策略 u 验证帐户锁定策略 u 验证密码策略 步骤: 1. 如图3-22所示,

原创 点赞0 阅读10000+ 收藏0 评论0 2013-02-15

使用CSVDE批量创建和修改域用户

使用CSVDE批量创建和修改域用户 如果需要创建大量的域用户帐户,使用CSVDE批量导入是不错的选择,由于用户信息文件中不能包括用户的密码,而域的安全策略要求用户密码必须满足长度要求和复杂性要求,因此导入的用户必须是禁用状态,然后通过批处理重设用户密码,再启用用户。 域用户帐户的属性中有主目录属性,设置主目录的目的是为了让用户登录后,打开“我的电脑”,会看到主目录映射的网络驱动器,使用户很容易

原创 点赞1 阅读2258 收藏0 评论1 2013-02-15

创建域用户主名后缀和用户

创建用户主名后缀和用户 使用用户登录主名,你可以给为所有的用户提供一个用户主名后缀,从而简化管理和用户登录过程。当你创建用户时,你可以为用户选择一个UPN后缀。如果后缀不存在,你可以使用“Active Directory域和信任关系”工具添加。你必须时Enterprise Admins组的成员。 任务: u 添加用户登录主名后缀 u 为两个参加培训的单位创建组织单元 u 为外聘老师王景正

原创 点赞0 阅读765 收藏0 评论0 2013-02-15

CSVDE批量导入域用户

CSVDE批量导入用户 你可以使用Csvde格式的文件在活动目录中创建用户帐号和其他类型的帐号。但你不能使用Csvde删除活动目录中的对象。 使用Csvde命令行工具创建用户帐号,采用下列步骤: 1. 创建Csvde输入文件。文件应包含下列信息。 · 属性行:这是文本文件的第一行。中间不能有换行符号。其中的标点符号必须是英文的。他指明了你想创建的用户的属性名称。你可以将这些属性以任何顺序摆

原创 点赞0 阅读1034 收藏0 评论0 2013-02-15

授权特定普通域用户将计算机加入域

授权特定普通域用户将计算机加入域 在企业内网,如果你取消了普通用户将计算机加入到域的权限。如果有计算机需要加入到域,必须使用域管理员帐户和密码将计算机加入到域。域管理员的工作量会增加。您在域中授权一个普通域用户将计算机加入到域,将该帐号的密码告诉部门级的员工,专门用来将计算机加入域。 授权用户将计算机加入到域只能在域级别,不能在组织单元级别。 任务: u 授权普通域用户“杜立静”帐户将计算

原创 点赞0 阅读1424 收藏2 评论0 2013-02-15

取消普通域用户将计算机加入域的权限

取消普通域用户将计算机加入域的权限 普通域用户默认能够将10台计算机加入到域。如果考虑安全因素,您可能需要更改默认设置。 一般域内建立的用户默认都是Domain Users组里的。您会发现发现该组的用户居然可以有加入一台计算机到域内的权限。 那下面的情况如何解决: 一个用户用家里的笔记本接入单位网络,用别人的账户加入到域中,拷贝走域内的一些资料 。 有没有什么方法让所有用户账户不具备让计

原创 点赞0 阅读904 收藏0 评论0 2013-02-15

删除组织单元

删除组织单元 删除组织单元将会删除其中的所有对象。必须取消组织单元的“防止容器被意外删除”选项,才能删除。 步骤: 1. 如图1-126所示,在DCServer上,在打开Active Directory用户和计算机,点击“查看”à“高级功能”。 2. 如图1-127所示,右击“服务器组”组织单元,点击“属性”。 图 1-126 启用高级功能 图 1-127 打开组织单元属性 3.

原创 点赞0 阅读473 收藏0 评论0 2013-02-15

Windows Server 2008 将计算机加入到指定组织单元

将计算机加入到指定组织单元 将计算机加入到域,会自动的在computers目录中创建计算机帐号,如果想计算机计算机加入域时自动的出现在某个组织单元,您可以先在组织单元中创建计算机帐号,在将计算机加入域。这样加入域的计算机和创建的计算机帐号自动对应。在创建计算机帐号时,还可以指定指定哪些用户能够将该计算机加入到域。 任务: u 为培训部创建组织单元 u 在培训部组织单元中创建域用户 u 在

原创 点赞0 阅读990 收藏0 评论0 2013-02-15

Windows Server 2008 流媒体服务器--创建广播站点

创建广播站点 如果您希望创造与观看电视节目类似的体验,则最适于从广播发布点传输内容 -- 内容是在源或服务器上控制和传输的。这种类型的发布点最常用于从编码器、远程服务器或其他广播发布点传递实况流。当客户端连接到广播发布点时,客户端就加入了已在传递的广播中。例如,如果公司范围内的会议在上午 10:00 进行广播,在上午 10:18 连接的客户端将错过会议的前 18 分钟。客户端可以启动和停止流,但

原创 点赞0 阅读1229 收藏0 评论0 2013-02-15

Windows Server 2008 搭建流媒体服务器

实战:搭建Windows Media Services 通过前文的叙述,想必读者对于Windows媒体服务以及全新的Windows Media Services 2008有了一个大概了解。下面我们将进入实战,在Windows Server 2008中安装WMS 2008,构建一台流媒体服务器。构建过程可以分为两个阶段:准备阶段以及架设阶段。准备阶段进行的是WMS 2008插件的安装、准备流媒体文

原创 点赞2 阅读10000+ 收藏0 评论1 2013-02-15

域环境中计算机名称解析

域环境中计算机名称解析 在企业内网,用户习惯使用计算机名访问网络资源,而不习惯使用域名或IP地址访问。访问同一个网段的计算机,计算机名称解析使用广播,跨网段实现计算机名称解析,可以使用WINS服务器来实现。在域环境中,计算机可以使用DNS实现计算机名解析,而不用配置WINS服务器。 域中的计算机全称由计算机名加上域名构成。将DNS的服务器的区域设置成允许安全更新,域中的计算机会向DNS注册自己

原创 点赞0 阅读3203 收藏0 评论0 2013-02-15

Windows Server 2008搭建域环境---安装活动目录

搭建域环境 首先搭建一个单域环境,掌握活动目录的功能,后面的章节将会讲授活动目录树活动目录林,以及林之间的信任。在现阶段只介绍单域单域控制器环境中如何使用活动目录集中管理和统一身份验证。 目标 u 学会安装活动目录 u 检查DNS中注册的SRV记录 u 能够解决SRV注册失败问题 u 学会将XP和Windows 7计算机加入域 u 能够使用命令将计算机加入域退出域 u 明白域中计算

原创 点赞0 阅读2381 收藏2 评论0 2013-02-15

设计和规活动目录划组织单元结构

设计和规划组织单元结构 域是活动目录逻辑结构的核心,可以在活动目录中根据管理的方便根据公司或企业的组织结构创建组织单位。 比如您管理的公司位于有北京和石家庄两个城市,您的公司有两个部门研发部和销售部,这两个部门分布于在两个城市,您考虑IT部门的管理方便,您可以优先以地理位置创建组织单位。再在石家庄和北京两个组织单位内按部门创建子组织单位,如图1-79所示。 图1-79 以地理位置创建组织

原创 点赞0 阅读835 收藏0 评论0 2013-02-15

将计算机退出域 脚本

将计算机退出域 计算机要么是工作组中的计算机,要么是域中的计算机,不可能同时属于域和工作组,如果将计算机加入到工作组,您可以更改计算机属性,输入域帐号密码,会把该计算机帐号从活动目录中删除,如图1-69所示,。 图 1-69 将计算机退出域 您也可以使用脚本将Windows Server Core计算机退出域: @echo off netdom remove %computernam

原创 点赞0 阅读1009 收藏0 评论0 2013-02-15

让域控制器向DNS服务器注册SRV记录

让域控制器向DNS服务器注册SRV记录 由于某种原因,装完活动目录后发现DNS上的正向区域和SRV记录没有或不全,您需要采取以下措施,强制让域控制器向DNS注册SRV记录。 下面先删除DNS服务器上的正向区域,同时也就删除了该区域下的所有记录。然后,将会让域控制器向DNS服务器注册其SRV记录。 步骤: 1. 打开服务管理器。 2. 如图1-22所示,右击 “_msdcs.ess.com

原创 点赞0 阅读2889 收藏0 评论0 2013-02-15

将计算机加入到域的方法--脚本和更改系统属性

将计算机加入到域 默认将普通域用户能够向域中添加10个计算机,域管理员没有这个限制。也可以更改组策略允许普通用户将计算机加入到域且没有数量限制。 将计算机加入到域其实就是和域控制器建立信任的过程,计算机通过和域控制器共享了一个信任密钥建立信任,信任丢失,需要将计算机退出域,再次加入域,重新建立信任。 将计算机加入域时会自动在活动目录中创建计算机帐号,每台加入域并运行 Windows NT、W

原创 点赞0 阅读2424 收藏0 评论1 2013-02-15

Windows Server 2008流媒体服务器---创建播放列表

创建播放列表 播放列表文件用于按指定顺序播放一系列内容。要将项目添加到播放列表,请单击“添加媒体”或“添加广告”,然后使用相关联的对话框选择要添加的内容。 在播放列表中有了项目之后,可以选择项目,然后单击“上移”或“下移”来更改播放顺序。如果已在播放列表中添加了不需要的文件,请单击此文件,然后单击“删除”,将其从播放列表中删除。 任务: u 编辑播放列表 步骤: 1. 如图13-118

原创 点赞0 阅读632 收藏0 评论0 2013-02-15

活动目录向DNS注册SRV记录不成功的原因

SRV记录注册不成功的可能的原因 默认情况,安装完活动目录就会DNS中的SRV记录就注册成功了,如果您在域控制器上重启Netlogon服务,有可能还是不能注册SRV记录到DNS服务器上,以下是总结的需要检查的几点。 1. DNS区域名字是否正确,是否允许安全更新 创建的正向查找的区域的名字必须是活动目录的名字,还必须创建一个_msdcs.活动目录名字 区域。 双击创建的区域,如图1-32所

原创 点赞0 阅读962 收藏0 评论0 2013-02-15
写文章