-
活动目录是什么 置顶
什么是活动目录概述-是什么|叫什么|什么意思?很多朋友在刚接触活动目录的时候,都会问一个问题:活动目录是做什么的?这就好比计算机等级考试或者是国家相关的计算机信息化认证,总是喜欢问的一个问题:什么是Internet 看起来越是简单的问题,就越是难以回答。
我们先看看微软的解释:
windows活动目录概述:
-
组策略卸载Office
如何让域用户一登录就运行脚本去卸载已安装的OFFICE 2003软件???我想用组策略推送OFFICE2007但推了进去OUTLOOK不能用了,我已知道是OUTLOOK 2003和2007不能共存才导致的,所以现在想先登录就用脚本去卸在原来的OFFICE2003 之后在推送OFFICE 2007。请问这脚本如何编写?
回答:根据您的描述,我理解为您想知道如何编写域用户一登陆就卸载Office 2003的脚本。一台机器上是仅允许一个Outlook版本运行。如果您是想在原来Office 2003的机器上使用Office 2007, 您有没有试过使用直接升级到Office 2007呢?
下面相关的文章供您参考:
Use Group Policy Software Installation to deploy the 2007 Office system
-
win7组策略脚本无法执行
我添加两个脚本,一个启动脚本,一个关机脚本! 检查发现是客户端没权限执行此命令。所有客户端是windows 7,其他的没有问题!这个脚本文件直接执行也是有问题必须要右键使用管理员执行才可以成功,直接运行是无法成功的!我应该如何让域中所有用户 可以执行此命令,请指教。脚本如下:
@echo off
netsh winhttp set proxy ip:port
echo on
回答:就您这种情况,我怀疑可能是由于Windows 7的UAC引起的。在UAC中有一种模式叫管理员批准模式(AAM), 使用这种配置为管理员创建拆分用户存取令牌。当管理员登录到基于 Windows Server 2008 的计算机时,将为管理员分配两个单独的存取令牌。在没有 AAM 的情况下,一个管理员帐户仅接收一个存取令牌,授予该管理员访问所有 Windows 资源的权限。
-
如何查看域用户权限
如何查看用户权限|whoami。如何查看某一特定用户的权限?
回答:根据您的描述,我对这个问题的理解是:您想查询用户权限。
用户权限通常是通过将用户加入特定用户组获得的,所以在AD用户和计算机内查看用户属于哪些组可以了解用户在域内有哪些权限。如果您需要了解用户在客户端本地拥有哪些权限,您可以在客户端用户权限下运行命令:whoami /all。内置的命令whoami会给出用户在计算机上的所有权限,由于域内的权限会延伸到客户端上,所以您可以比较完整的掌握用户具体拥有哪些权限了。
-
域用户权限|查看日志
域用户权限|查看日志。如果委派特定用户查看DC的系统日志?
回答:根据您的描述,我对这个问题的理解是:您想指定特定的用户允许查看DC上的事件日志。
根据我的研究,要允许特定用户访问域控制器上的事件日志,请使用以下步骤:
1. 以管理员身份登陆到域控制器。
2. 打开文件%windir%\inf\Sceregvl.inf,加入以下内容到[Strings]之上:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
-
域用户权限|共享文件夹
设置普通用户也有共享权限|runas提升普通用户权限。上网的机器,把用户限制在了users组里。但是很多时候又要开放共享文件夹,而users组用户不具备这个权限。注销当前用户再用管理用户登录去设置是可行,但是毕竟太麻烦了。所以想请问,有没有办法令普通用户也有共享权限?
回答:根据我的研究,Users 组是最安全的组,它是无法设置文件的共享权限的,这是由于系统设计所限制的,我们无法通过设置进行更改。除非您将Users组的用户加入到更高权限的组中,分配给Users 组的默认权限就是不允许成员修改操作系统的设置或其他用户的数据。
组的默认安全设置
-
域用户权限|连接DC终端服务
让普通用户有权限连接到域控制器终端服务器|RemoteDesktopUsers。如何设置用户权限,使之具有从客户端通过远程桌面连接到域控制器.例如:用户 A 隶属于 domain user 组,如何设置权限,使之具有从客户端(XP)通过”远程桌面”连接到域控制器.
回答:根据您的描述,我对这个问题的理解是:您的用户登陆终端服务器有困难。DC是不允许普通用户登陆的,默认除了administrators组成员,其他用户都是无法登陆到DC上的。
您可以通过以下步骤允许远程桌面用户登陆:
1.在AD用户和计算机中,打开Domain Controllers OU属性里的组策略
2.增加一条新策略,点击编辑
3.在组策略编辑器中,定位到
-
域用户权限|运行软件
为了更好的对客户端权限进行管理和控制,我们只赋予终端用户Domain User组的权限。但有些需要Local Administrator权限的软件就无法安装和运行。我目前能想到的办法是:
1、所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
2、通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
3、通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了。对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。但以上操作过程相当烦琐,请教各位专家,是否有更好的办法来解决Domain Users组用户使用软件的问题? 非常感谢!
-
域用户权限|安装软件
如何让普通的域用户有安装软件的权限?现在给客户部署了活动目录,客户要求 普通的域用户也可以自己安装软件。不知道如何设置,希望大家帮帮忙!我告诉客户的做法如下:不知道可行性如何?
1、在域中新建一个域账户比如setup设置密码永不过期用户不能更改密码,添加到域管理员组中。
2、修改域组策略计算机配置-windows设置---安全设置---本地策略---用户权限分配-找到 拒绝本地登陆 这个策略:启用这个策略 将新建的用户如setup添加到里面。
3、域用户要安装软件的时候:右键点击需要安装的软件选择:ruan as (即 运行方式)
选择 下列用户:输入 新建的用户名密码 (如 域名\setup)安装即可。
-
域用户权限|安装声卡驱动
如何让活动目录域用户有权限安装声卡驱动|提升提高域用户权限。不知道能否通过组策略来给域下的用户安装驱动的权限.我知道在本地上如何修改.我想知道如何通过域服务器来做这个呢?
域中的大多数用户都属于所使用计算机的本地power users组, 但是为了让这个组的成员能够添加和删除驱动,就在组策略中的用户权限指派中添加了domain users,而应用到客户端的效果确实连本地管理员也无法安装驱动了。所以就在域策略中取消了这项,在组策略控制台中确实也看到该项的设置是未配置。但是,后来在使用过程中发现,一些客户端仍然应用了原来的设置,在客户端和服务器上使用gpupdate /forcce命令也仍然不起作用。
回答:根据我的研究,既然您可以通过本地策略来赋予用户安装驱动的权限,您也可以通过域中的组策略来实现您的要求,方法是一样的。您需要设置组策略中的计算机配置-windows 设置-安全设置-本地策略-用户权利指派-装载或卸载设备驱动驱动。
-
域用户权限|添加本地打印机
加入域的计算机无法添加本地打印机,在添加打印机向导中,“连接此计算机的本地打印机”选项为灰色不可选,如何解决?
回答:根据您的描述,我了解到加入域到计算机无法添加本地打印机。
根据我的经验,造成该问题的原因可能是您的权限或者打印服务没有开启。
因此建议您如下操作。
1. 使用本地管理员操作,是否会出现相同问题。
2. 查找以下服务已正常启用。
a) REMOTE PROCEDURE CALL
b) PRINT SPOOLER
c) REMOTE PROCEDURE LACATOR
-
加入域 指定的域不存在或无法联系
现在客户端无法加入域.而且AD用户和计算机无法打开. 错误信息如下:找不到命名信息,因为:指定的域不存在,或无法联系。请与系统管理员联系,以确认您的域是否配置正确而且处于联机状态。
回答:根据您的描述,我对您提出的问题的理解是:您不能访问AD用户和计算机,并且客户端无法加入域。基于您的状况,我建议您尝试下面步骤:
1. Click Start, point to Programs, point to Administrative Tools, and then click Services.
2. Click Services MMC.
3. Start the Windows Time service.
4. Under Startup Type, click Automatic. Restart the service.
5.Check Netlogon service Startup value to see if it has been set to Automatic. Restart Netlogon service.
-
加入域 找不到网络路径
电脑计算机加入域时提示找不到网络路径|活动目录缺少dns记录。最近总是能看到朋友们在问,客户端加入域时报错: 加入域时出现了以下错误,系统提示找不到网络路径。为什么呢?
常见的原因有这么几种:
1、客户端首要dns,也就是 primary dns没有填写,没有指向DC域控制器的DNS。
2、DC域控制器上没有安装DNS服务。
3、DNS服务器上没有DC域控制器的SRV记录,或者是错误的。
那么如何解决加入域时找不到网络路径的问题呢?
1、修改TCP/IP的设置,将首要primary dns修改为DC的IP。
2、在DC域控制器上安装DNS服务,无论是在执行dcpromo提升域控制器之前或者之后,都可以。
-
AD OU管理|委派密码重置权限
委派了OU重置密码权限后,OU中部分用户权限未继承。环境:Windows 2008 R2 SP1 DC,我委派对domain.com 下企业组织机构,授予密码管理员重置及修改密码,但是发现密码管理员对于其中部分人员无法重置密码。
仔细对比可以修改及不能修改的,发现不能修改的都是权限未继承下去的,也就是未在安全中看到密码管理员组的权限;而可以重置的都是权限已经继承下去的。
并且我注意到,无法在OU那一级设置替代子OU权限这种类似于目录权限重新继承的做法。怎么会出现这种情况?有没有更好的方法强制OU及子OU及其对象重新继承父级权限设置?
补充说明下,我委派是指定的新建的密码管理员组,然后把密码管理员加入了组中。
1、都是用户。OU的属性也有区别,例如上级OU完全控制,未继承的OU,只有特殊权限。而未继承权限的OU中的用户则完全没有看到父级密码管理员组的授权。
-
AD OU管理
我的域里面有5个ou,有五个管理员怎样设置使得每一个管理员只能管理自己的ou???是否能只看到自己的ou????
回答:根据您的描述,您想让各个管理员管理自己的OU。的确,就像前面两位说的那样,我们可以用delegation的wizard来实现这个目的。
同时,您提到不让管理员看到其他OU。从默认设置上来说,是不能这么做的。不过,您可以尝试使用adsiedit.msc来对某个OU的具体权限做设置,对某个管理员设置all deny
Note:这里所谓的管理员,其实是普通用户,建议您不要把domain admin组的成员来赋予delegation的权限,因为他们已默认有所有权限了。
-
打开AD管理工具连接到指定DC
如何指定打开AD管理工具时连接到某台DC?现在因为管理员众多,专门搭建了一台服务器,用于管理员连接并使用管理工具对AD进行管理。但是希望对其操作进行记录,所以开了审核日志。现在希望在这台服务器上打开AD管理工具时指定一台DC,是否可以做到。
回答:根据您的描述,我了解到在专门搭建了一台服务器,用于管理员连接并使用管理工具对AD进行管理,您希望在这台服务器上打开AD管理工具时指定一台DC。与您的沟通中,我了解到:
1.安装的管理工具是微软的Windows Server MMC管理工具包;
2.指定DC时,管理员所作的操作在审核日志中不是会显示在哪台DC上进行的么,这样我们集中查询这台DC的日志,从而监控管理员的行为。
-
Windows 2008RODC密码复制策略
Windows Server 2008 RODC密码复制策略-强制预设密码。一台2008 DC和2008 RODC,在RODC 上添加Branch Office 组、Domain Computers允许密码复制,U1 已经属于Branch Office 组,在强制预设密码时报错“U1 必须先将该帐户添加到此只读域控制器的已允许列表中”,Domain Computer已经成功加入了。
已经确认该用户对应的组已经添加到允许复制列表,手动复制也完成,相互访问共享也没有问题。请问如何排错?
回答:根据您的描述,我对这个问题的理解是:在一个部署了RODC的环境中,用户U1在强制预设密码时出现”必须先将该帐户添加到此只读域控制器的已允许列表中”的报错信息。该用户加入了Branch Office组,且该组和Domain Computers组已配置为允许密码复制。您所描述的步骤应该是正确的。如果要预缓存密码,在安装好RODC以后只需要以下设置:
1. 在RODC上打开ADUC并连接到HUB DC。
2. 建立一个安全组,然后将其加入到“RODC计算机帐号属性/密码复制策略/”下的访问控制列表
-
升级到只读域控制器RODC
如果我们想把win2008的额外域控升级到win08rodc,但是请问如果我没个点只有一台dc请问我如何升级比较好。
回答:您想把一些站点的Win2K8域控变为RODC。
首先,我们不能直接把一个现有的Win2K8域控变为RODC, 必须先把该域控降级为域成员,然后重新运行dcpromo 来提升它为RODC。另外,在提升第一台RODC之前,还需要在一台现有的域控上运行adprep /rodcprep
我建议您参考下面的TechNet 文档关于如何在多站点的环境规划和部署RODC:
Read-only Domain Controllers Step-by-Step Guide
http://technet.microsoft.com/en-us/library/cc772234(WS.10).aspx
Read-Only Domain Controller Planning and Deployment Guide
http://technet.microsoft.com/en-us/library/cc771744(WS.10).aspx
-
只读域控不支持客户端加入域
windows 2008域功能级别。添加了一台只读域控在某分支机构,分支机构客户端加入域时,输入域名,弹出了身份验证对话框,点击确定后提示“找不到网络路径”。将只读域控降级,提升为可读写域控后,没有此故障。求解?
回答:根据您的描述,我对这个问题的理解是:您添加了一台只读域控在某分支机构,分支机构客户端加入域时,输入域名,弹出了身份验证对话框,点击确定后提示“找不到网络路径”,而将只读域控降级,提升为可读写域控后,没有此故障。
首先我想了解一下您在部署只读域控时,是否设置将用户身份验证请求转发到运行 Windows Server 2008 的可写域控制器?
据我所知,部署 RODC 的先决条件如下所示:
-
查询AD域长时间没有登录的帐号
因为以前许多原因,建立了一些帐号. 现在想清理一下,想将长时间没有用的帐号删除掉.请问可以用什么工具或者方法, 查到AD里面长时间没有登录的帐号呢?谢谢!
回答:根据我的经验,您可以在DC上安装AcctInfo.dll工具来查看用户最近的登录时间,具体的操作方法如下:
1、下载Account Lockout and Management Tools,下载的链接如下:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en
2、将该工具解压到一个临时文件夹,然后将该文件夹中的AcctInfo.dll文件拷贝到DC上的%systemroot%\system32文件夹中;
3、然后在DC的命令行中运行下面的命令:regsvr32 acctinfo.dll
gnaw0725
分享到朋友圈
- 关注技术:安全 ITIL 虚拟化
- 入住博客:2007-04-28 13.1年
七日热门
最近来访
