-
什么是活动目录概述-是什么|叫什么|什么意思?很多朋友在刚接触活动目录的时候,都会问一个问题:活动目录是做什么的?这就好比计算机等级考试或者是国家相关的计算机信息化认证,总是喜欢问的一个问题:什么是Internet 看起来越是简单的问题,就越是难以回答。
我们先看看微软的解释:
windows活动目录概述:
-
如何让域用户一登录就运行脚本去卸载已安装的OFFICE 2003软件???我想用组策略推送OFFICE2007但推了进去OUTLOOK不能用了,我已知道是OUTLOOK 2003和2007不能共存才导致的,所以现在想先登录就用脚本去卸在原来的OFFICE2003 之后在推送OFFICE 2007。请问这脚本如何编写?
回答:根据您的描述,我理解为您想知道如何编写域用户一登陆就卸载Office 2003的脚本。一台机器上是仅允许一个Outlook版本运行。如果您是想在原来Office 2003的机器上使用Office 2007, 您有没有试过使用直接升级到Office 2007呢?
下面相关的文章供您参考:
Use Group Policy Software Installation to deploy the 2007 Office system
-
我添加两个脚本,一个启动脚本,一个关机脚本! 检查发现是客户端没权限执行此命令。所有客户端是windows 7,其他的没有问题!这个脚本文件直接执行也是有问题必须要右键使用管理员执行才可以成功,直接运行是无法成功的!我应该如何让域中所有用户 可以执行此命令,请指教。脚本如下:
@echo off
netsh winhttp set proxy ip:port
echo on
回答:就您这种情况,我怀疑可能是由于Windows 7的UAC引起的。在UAC中有一种模式叫管理员批准模式(AAM), 使用这种配置为管理员创建拆分用户存取令牌。当管理员登录到基于 Windows Server 2008 的计算机时,将为管理员分配两个单独的存取令牌。在没有 AAM 的情况下,一个管理员帐户仅接收一个存取令牌,授予该管理员访问所有 Windows 资源的权限。
-
如何查看用户权限|whoami。如何查看某一特定用户的权限?
回答:根据您的描述,我对这个问题的理解是:您想查询用户权限。
用户权限通常是通过将用户加入特定用户组获得的,所以在AD用户和计算机内查看用户属于哪些组可以了解用户在域内有哪些权限。如果您需要了解用户在客户端本地拥有哪些权限,您可以在客户端用户权限下运行命令:whoami /all。内置的命令whoami会给出用户在计算机上的所有权限,由于域内的权限会延伸到客户端上,所以您可以比较完整的掌握用户具体拥有哪些权限了。
-
域用户权限|查看日志。如果委派特定用户查看DC的系统日志?
回答:根据您的描述,我对这个问题的理解是:您想指定特定的用户允许查看DC上的事件日志。
根据我的研究,要允许特定用户访问域控制器上的事件日志,请使用以下步骤:
1. 以管理员身份登陆到域控制器。
2. 打开文件%windir%\inf\Sceregvl.inf,加入以下内容到[Strings]之上:
MACHINE\System\CurrentControlSet\Services\Eventlog\Application\CustomSD,1,%AppCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\Security\CustomSD,1,%SecCustomSD%,2
MACHINE\System\CurrentControlSet\Services\Eventlog\System\CustomSD,1,%SysCustomSD%,2
-
设置普通用户也有共享权限|runas提升普通用户权限。上网的机器,把用户限制在了users组里。但是很多时候又要开放共享文件夹,而users组用户不具备这个权限。注销当前用户再用管理用户登录去设置是可行,但是毕竟太麻烦了。所以想请问,有没有办法令普通用户也有共享权限?
回答:根据我的研究,Users 组是最安全的组,它是无法设置文件的共享权限的,这是由于系统设计所限制的,我们无法通过设置进行更改。除非您将Users组的用户加入到更高权限的组中,分配给Users 组的默认权限就是不允许成员修改操作系统的设置或其他用户的数据。
组的默认安全设置
-
让普通用户有权限连接到域控制器终端服务器|RemoteDesktopUsers。如何设置用户权限,使之具有从客户端通过远程桌面连接到域控制器.例如:用户 A 隶属于 domain user 组,如何设置权限,使之具有从客户端(XP)通过”远程桌面”连接到域控制器.
回答:根据您的描述,我对这个问题的理解是:您的用户登陆终端服务器有困难。DC是不允许普通用户登陆的,默认除了administrators组成员,其他用户都是无法登陆到DC上的。
您可以通过以下步骤允许远程桌面用户登陆:
1.在AD用户和计算机中,打开Domain Controllers OU属性里的组策略
2.增加一条新策略,点击编辑
3.在组策略编辑器中,定位到
-
为了更好的对客户端权限进行管理和控制,我们只赋予终端用户Domain User组的权限。但有些需要Local Administrator权限的软件就无法安装和运行。我目前能想到的办法是:
1、所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
2、通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
3、通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了。对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。但以上操作过程相当烦琐,请教各位专家,是否有更好的办法来解决Domain Users组用户使用软件的问题? 非常感谢!
-
如何让普通的域用户有安装软件的权限?现在给客户部署了活动目录,客户要求 普通的域用户也可以自己安装软件。不知道如何设置,希望大家帮帮忙!我告诉客户的做法如下:不知道可行性如何?
1、在域中新建一个域账户比如setup设置密码永不过期用户不能更改密码,添加到域管理员组中。
2、修改域组策略计算机配置-windows设置---安全设置---本地策略---用户权限分配-找到 拒绝本地登陆 这个策略:启用这个策略 将新建的用户如setup添加到里面。
3、域用户要安装软件的时候:右键点击需要安装的软件选择:ruan as (即 运行方式)
选择 下列用户:输入 新建的用户名密码 (如 域名\setup)安装即可。
-
如何让活动目录域用户有权限安装声卡驱动|提升提高域用户权限。不知道能否通过组策略来给域下的用户安装驱动的权限.我知道在本地上如何修改.我想知道如何通过域服务器来做这个呢?
域中的大多数用户都属于所使用计算机的本地power users组, 但是为了让这个组的成员能够添加和删除驱动,就在组策略中的用户权限指派中添加了domain users,而应用到客户端的效果确实连本地管理员也无法安装驱动了。所以就在域策略中取消了这项,在组策略控制台中确实也看到该项的设置是未配置。但是,后来在使用过程中发现,一些客户端仍然应用了原来的设置,在客户端和服务器上使用gpupdate /forcce命令也仍然不起作用。
回答:根据我的研究,既然您可以通过本地策略来赋予用户安装驱动的权限,您也可以通过域中的组策略来实现您的要求,方法是一样的。您需要设置组策略中的计算机配置-windows 设置-安全设置-本地策略-用户权利指派-装载或卸载设备驱动驱动。
-
加入域的计算机无法添加本地打印机,在添加打印机向导中,“连接此计算机的本地打印机”选项为灰色不可选,如何解决?
回答:根据您的描述,我了解到加入域到计算机无法添加本地打印机。
根据我的经验,造成该问题的原因可能是您的权限或者打印服务没有开启。
因此建议您如下操作。
1. 使用本地管理员操作,是否会出现相同问题。
2. 查找以下服务已正常启用。
a) REMOTE PROCEDURE CALL
b) PRINT SPOOLER
c) REMOTE PROCEDURE LACATOR
-
无法连接打印机:权限不足无法连接到共享资源。最近遇到的一个问题,公司有台共享打印机 装在一台名为printerserver的计算机上,300多员工都能正常连接并使用,只有一位同事无法连接,当他输入\\printerserver时,提示权限不足,无法连接到共享资源,请与管理员联系。但他注销后用administrator登录时,就能正常连接,并弹出输入用户名和密码的框。
我检查过他之前登录的账户隶属于administrators,print spooler服务正常启动的。
以下是详细的信息
1.发生在客户机器,不是客户帐号,因为该员工在他的计算机上输入\\printerserver时,即弹出报错的信息"You might not have permission to use this network resource. Contact the administrator of this server to find out if you have access permissions"
2.在他的计算机上以administrator登录,再\\printerserve
-
现在客户端无法加入域.而且AD用户和计算机无法打开. 错误信息如下:找不到命名信息,因为:指定的域不存在,或无法联系。请与系统管理员联系,以确认您的域是否配置正确而且处于联机状态。
回答:根据您的描述,我对您提出的问题的理解是:您不能访问AD用户和计算机,并且客户端无法加入域。基于您的状况,我建议您尝试下面步骤:
1. Click Start, point to Programs, point to Administrative Tools, and then click Services.
2. Click Services MMC.
3. Start the Windows Time service.
4. Under Startup Type, click Automatic. Restart the service.
5.Check Netlogon service Startup value to see if it has been set to Automatic. Restart Netlogon service.
-
电脑计算机加入域时提示找不到网络路径|活动目录缺少dns记录。最近总是能看到朋友们在问,客户端加入域时报错: 加入域时出现了以下错误,系统提示找不到网络路径。为什么呢?
常见的原因有这么几种:
1、客户端首要dns,也就是 primary dns没有填写,没有指向DC域控制器的DNS。
2、DC域控制器上没有安装DNS服务。
3、DNS服务器上没有DC域控制器的SRV记录,或者是错误的。
那么如何解决加入域时找不到网络路径的问题呢?
1、修改TCP/IP的设置,将首要primary dns修改为DC的IP。
2、在DC域控制器上安装DNS服务,无论是在执行dcpromo提升域控制器之前或者之后,都可以。
-
委派了OU重置密码权限后,OU中部分用户权限未继承。环境:Windows 2008 R2 SP1 DC,我委派对domain.com 下企业组织机构,授予密码管理员重置及修改密码,但是发现密码管理员对于其中部分人员无法重置密码。
仔细对比可以修改及不能修改的,发现不能修改的都是权限未继承下去的,也就是未在安全中看到密码管理员组的权限;而可以重置的都是权限已经继承下去的。
并且我注意到,无法在OU那一级设置替代子OU权限这种类似于目录权限重新继承的做法。怎么会出现这种情况?有没有更好的方法强制OU及子OU及其对象重新继承父级权限设置?
补充说明下,我委派是指定的新建的密码管理员组,然后把密码管理员加入了组中。
1、都是用户。OU的属性也有区别,例如上级OU完全控制,未继承的OU,只有特殊权限。而未继承权限的OU中的用户则完全没有看到父级密码管理员组的授权。
-
我的域里面有5个ou,有五个管理员怎样设置使得每一个管理员只能管理自己的ou???是否能只看到自己的ou????
回答:根据您的描述,您想让各个管理员管理自己的OU。的确,就像前面两位说的那样,我们可以用delegation的wizard来实现这个目的。
同时,您提到不让管理员看到其他OU。从默认设置上来说,是不能这么做的。不过,您可以尝试使用adsiedit.msc来对某个OU的具体权限做设置,对某个管理员设置all deny
Note:这里所谓的管理员,其实是普通用户,建议您不要把domain admin组的成员来赋予delegation的权限,因为他们已默认有所有权限了。
-
如何指定打开AD管理工具时连接到某台DC?现在因为管理员众多,专门搭建了一台服务器,用于管理员连接并使用管理工具对AD进行管理。但是希望对其操作进行记录,所以开了审核日志。现在希望在这台服务器上打开AD管理工具时指定一台DC,是否可以做到。
回答:根据您的描述,我了解到在专门搭建了一台服务器,用于管理员连接并使用管理工具对AD进行管理,您希望在这台服务器上打开AD管理工具时指定一台DC。与您的沟通中,我了解到:
1.安装的管理工具是微软的Windows Server MMC管理工具包;
2.指定DC时,管理员所作的操作在审核日志中不是会显示在哪台DC上进行的么,这样我们集中查询这台DC的日志,从而监控管理员的行为。
-
Windows Server 2008 RODC密码复制策略-强制预设密码。一台2008 DC和2008 RODC,在RODC 上添加Branch Office 组、Domain Computers允许密码复制,U1 已经属于Branch Office 组,在强制预设密码时报错“U1 必须先将该帐户添加到此只读域控制器的已允许列表中”,Domain Computer已经成功加入了。
已经确认该用户对应的组已经添加到允许复制列表,手动复制也完成,相互访问共享也没有问题。请问如何排错?
回答:根据您的描述,我对这个问题的理解是:在一个部署了RODC的环境中,用户U1在强制预设密码时出现”必须先将该帐户添加到此只读域控制器的已允许列表中”的报错信息。该用户加入了Branch Office组,且该组和Domain Computers组已配置为允许密码复制。您所描述的步骤应该是正确的。如果要预缓存密码,在安装好RODC以后只需要以下设置:
1. 在RODC上打开ADUC并连接到HUB DC。
2. 建立一个安全组,然后将其加入到“RODC计算机帐号属性/密码复制策略/”下的访问控制列表
-
如果我们想把win2008的额外域控升级到win08rodc,但是请问如果我没个点只有一台dc请问我如何升级比较好。
回答:您想把一些站点的Win2K8域控变为RODC。
首先,我们不能直接把一个现有的Win2K8域控变为RODC, 必须先把该域控降级为域成员,然后重新运行dcpromo 来提升它为RODC。另外,在提升第一台RODC之前,还需要在一台现有的域控上运行adprep /rodcprep
我建议您参考下面的TechNet 文档关于如何在多站点的环境规划和部署RODC:
Read-only Domain Controllers Step-by-Step Guide
http://technet.microsoft.com/en-us/library/cc772234(WS.10).aspx
Read-Only Domain Controller Planning and Deployment Guide
http://technet.microsoft.com/en-us/library/cc771744(WS.10).aspx
-
“我想了解一下您在部署只读域控时,是否设置将用户身份验证请求转发到运行 Windows Server 2008的可写域控制器?”,在哪里配置此设置呢?我完全是按照默认操作来执行的。
回答:对于您的问题:怎样设置将用户身份验证请求转发到运行 Windows Server 2008的可写域控制器?最初部署 RODC 时,必须在作为复制伙伴的可写入域控制器上配置密码复制策略。
密码复制策略相当于一个访问控制列表 (ACL)。它确定是否允许 RODC 缓存密码。您必须在密码复制策略中包含相应的用户、计算机和服务帐户,这样 RODC 才能在本地满足身份验证和服务票证请求。
关于密码复制策略的具体介绍,请参照密码复制策略。
此外,请理解由于现在问题无法重现,我们只能推测一些可能的原因而无法进行具体的分析。除了之前提到的一些原因以外,我们还因确保远端分支机构的客户端可以透过防火墙正常访问您的可写域控制器。 如果有一些防火墙设置阻碍了网络通信,也有可能导致加入域失败, 具体信息请参照Known Issues for Deploying RODCs。
-
windows 2008域功能级别。添加了一台只读域控在某分支机构,分支机构客户端加入域时,输入域名,弹出了身份验证对话框,点击确定后提示“找不到网络路径”。将只读域控降级,提升为可读写域控后,没有此故障。求解?
回答:根据您的描述,我对这个问题的理解是:您添加了一台只读域控在某分支机构,分支机构客户端加入域时,输入域名,弹出了身份验证对话框,点击确定后提示“找不到网络路径”,而将只读域控降级,提升为可读写域控后,没有此故障。
首先我想了解一下您在部署只读域控时,是否设置将用户身份验证请求转发到运行 Windows Server 2008 的可写域控制器?
据我所知,部署 RODC 的先决条件如下所示:
-
因为以前许多原因,建立了一些帐号. 现在想清理一下,想将长时间没有用的帐号删除掉.请问可以用什么工具或者方法, 查到AD里面长时间没有登录的帐号呢?谢谢!
回答:根据我的经验,您可以在DC上安装AcctInfo.dll工具来查看用户最近的登录时间,具体的操作方法如下:
1、下载Account Lockout and Management Tools,下载的链接如下:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en
2、将该工具解压到一个临时文件夹,然后将该文件夹中的AcctInfo.dll文件拷贝到DC上的%systemroot%\system32文件夹中;
3、然后在DC的命令行中运行下面的命令:regsvr32 acctinfo.dll
-
清理活动目录 AD域计算机无效帐户。企业环境中,AD 使用时间长了之后, 客户端肯定会有系统崩溃, 系统重装的事件; 此类事件多了之后, 我发现AD 中的computers下, 有很多无效的计算机帐户, 我自己重装做的PC , 我很清楚是哪些; 但其他人重装的, 我就不是很清楚了, 无法确定他们的PC 是否会重新接入内部AD 网络。
这样的情况, 给网络中心管理PC 带来了一定的麻烦。 如何清理这些无效计算机帐户? 如何预防这种情况发生?有无好的建议?
回答:根据我的经验,您可以使用一个叫oldcmp的工具,它能够根据你设置的条件过滤用户帐户或者计算机账户,然后你可以设置如何处置这些过期账户,是删除、移动、还是锁定。该工具的下载地址在
http://www.joeware.net/freetools/tools/oldcmp/index.htm
您需要在命令行环境下执行它,查询命令行的方式是 oldcmp /?
您可以参考下面的这篇文章,上面有详细的图文解说如何使用oldcmp清楚旧的计算机帐户:
-
删除AD域中不活动的账号。我们公司是Windows 2008域环境,用了很长一段时间后,存在很多不活动的账号(包括用户账号,计算机账号),现想将他们查询出(查询一段时间内的),进行删除.试过oldcmp及altools工具,不能实现!请问有什么更好的办法来实现?
还有我想在"已保存的查询"中查询域中已结被禁用了三个月的用户账号,或者超过三个月,或者在三个月之内的.请问此查询如何实现?
回答:根据您的描述,我对这个问题的理解是:您想知道如何查找并删除长期未使用的计算机和用户。
对于长期未使用的用户和计算机,我们主要是看该用户或计算机多久没有登录到域了。您可以使用以下两种方法(第一种方法主要针对2003 domain,希望对于别的合作伙伴有用):
1. 如果您的域是domain 2003 native,那么我们一般使用DSquery命令来查找。然后使用Dsmod命令来禁用该用户或计算机。具体如下:
Dsquery computer -inactive NumberOfWeeks (NumberOfWeeks指几个星期,比如4)
这条命令可以查找4个星期未使用的计算
-
客户的生产环境,有几千台电脑加入到域中,由于客户端测试电脑,很多没有正常退域,而直接重做系统,并且命名也各不相同,导至现在AD里面殘留很多电脑账号。
1.如何去检查及识别AD里面过期的电脑账号?
2.如何批量去删除这些过期的电脑账号?
回答:根据您的描述,我对这个问题的理解是您想找到能过清理“过期”电脑账户的工具,并且把找到电脑账户批量的删除。如果我的理解有误,麻烦您告诉我。
根据我的经验,微软现在还没有这样的工具可以实现这样的功能,但是通过搜索找到了一个第三方的工具,可以满足您的要求,但是我们没有对该产品做过任何测试,只希望能帮助您快速的解决问题:
-
公司为windows server 2003 R2活动目录。活动目录已用了几年,现在活动目录中有大量的无用信息:如有大量计算机帐户,这些计算机帐户早就没有使用了。在DNS的区域中也有大量无用的A记录。如果要清理这些无用的计算机帐户和DNS A记录,请问应该如何操作?
回答:根据您之前的描述,您是想能够查找出已经不再使用的computers容器中的计算机账户,以及DNS中无用的A记录并且清理掉。
解决方法:
首先建议您备份好您的DC数据(域控制器对整个域非常重要)。
1. 针对残留的计算机账户信息的清理
您可以使用dsquery命令进行查询,并使用管道命令dsrm删除。强烈建议您在使用时,先进行查询,确认无误并做好备份后再删除,以免对您的工作造成损失。
-
无法转移操作主机角色:不能连接FSMO盒。客户的环境中有两台windows 2003 sp2的域控。准备把主域控进行脱机维护。客户需要把5个操作主机角色转移到辅助域控上。RID,PDC,结构3个角色成功转移。但是转移“域命名操作主机“失败。错误如下:无法转移操作主机角色,因为:请求的FSMO操作失败。不能连接当前的FSMO盒。
回答:根据您的描述,我对您提出的问题的理解是:您无法转移域命名操作主机。基于您的状况,请检查您的网卡是否使用NIAVIA nForce networking controller。如果是的话,请参照下面步骤来调整网卡的部分属性项目:
-
操作主机角色FSMO(OM)如何分配?客户的活动目录站点内有两台win2003域控制器。第一台域控制器是GC,包含着全部的5种全部操作主控角色,第二台是后来添加的辅助域控。
现在两台域控都工作正常。GC和infrastructure 主控角色在一台服务器上是否会冲突?是否有必要把某些操作主控角色迁移到辅助域控上吗?
回答:默认情况下,第一个域控制器是一个全局编录服务器GC。当然您能把很多主控角色配置在同一台DC上,通常不会有冲突。但是,为了性能考虑,我们一般建议把应用类型的主控角色安装在其他服务器上,例如文件服务器。
-
扩展活动目录active directory架构|FSMO。我已经将活动目录架构扩展成win2003 R2 SCHEMA,并且把 win2003 R2 sp2的服务器提升为辅助域控制器。现在我想使用这台新的域控制器替换掉原有的具有5个FSMO角色域控制器。有下面的几个问题:
1.是否直接把5个FSMO角色传递到新域控即可。另外,如果有多个域控,GC的角色和五个5个FSMO角色放在一台服务器,是否可以。传送FSMO角色有那些注意事项?
2.将5个FSMO角色传递到win2003 R2 sp2的服务器,对现有域环境是否有影响!对目前的exchange 2003系统是否有影响?
回答:针对您所提出的几个问题:
1.可以直接将所有的5个FSMO角色转移到新DC。
-
FSMO问题释疑|活动目录域ADFSMO操作主机角色。在windows 2003中,两台DC:一台为DC1,一台为DC2(额外域控制器),我认为:
1.当DC1挂掉之后,DC2自动是不会代替DC1的,需手动将FSMO角色抢夺过来(在不抢夺FSMO情况下,AD是不正常的)
2.在两台DC都正常情况下,DC1与DC2所承担的工作取决于FSMO的几种角色(如:DC1是GC,同时具有FSMO五种角色,那么DC2只是AD数据库的一个copy而已,只具有与DC1一样的用户帐号,计算机帐号等,不会对client进行密码验证等工作)
3.在2003中,没有PDC与BDC说法,完全取决于FSMO角色
4.如果我的理解是正确的,麻烦您提供微软官方能够证明以上所说的正确性相关资料。
gnaw0725
分享到朋友圈
- 关注技术:安全 ITIL 虚拟化
- 入住博客:2007-04-28 14年
