统一更改默认本地管理员密码

    对于加入域的用户,为了防止使用本地管理员登录计算机。进行组策略通过一更改默认管理员密码(administrator)

    登录域控制器——打开“组策略管理器”控制台——编辑默认的“Default Domain Policy”——“用户配置”——“首选项”——“控制面板设置”——“本地用户和组”选项。

    右侧空白处,单击鼠标右键,在弹出的快捷菜单中选择“新建”选项,在弹出的级联菜单中选择“本地用户”命令。

    命令执行后,打开“新建本地用户属性”对话框。“用户名”文本框中设置本地管理员的用户名称。注意,根据需要定制本地管理员名称。“密码”和“确认密码”文本框中键入本地管理员用户使用的新密码。设置密码权限管理方式。

    单击“确定”,显示“密码警告”对话框。提示密码存储位置。注意,密码以加密方式存储。

    单击“确定”,完成策略设置。

    备注:自测试,策略生效需要一些时间,在各类客户机(win7/win8/winxp)最好gpupdate /force后生效。


用户登录时只能登录到域

    以Windows 7操作系统为例说明,如果用户登录过程中输入的用户名为“.\XXXX”,则登录本地。在部署AD DS域服务的网络环境中,不允许使用本地用户登录,只能使用域用户登录到域或者本地管理员用户登录到本地。本地管理员用户统一管理,本地管理员(默认管理员“administraotrs”)密码作为机密资料管理,不对任何用户公开。

    1.部署域策略

    “组策略管理器”控制台,选择目标组策略对象——编辑“Default Domain Policy”——选择“计算机配置”——“策略”——“Windows 设置”——“安全设置”——“本地策略”——“用户权限分配”选项——“用户权限分配”选项——“允许本地登录”策略,默认下该测试没有设置。

    启用“允许本地登录”策略,将需要限制的用户或者组添加到列表中,本例中允许本地管理员组和域登录到本地计算机,因此需要“Domain Users”组和“administrators”组添加到允许的用户列表中。

    测试设置完成后,使用“gpupdate /force”命令刷新新策略。

    2.客户端计算机验证

    使用刚在本机建立的User用户,无法登录本地登录。

    注意:“Domain Users”需要添加到“允许本地登录”策略,否则以域用户无法登录计算机。


域缓存登录

    网络中经常遇到以下情况:用户已经加入到域中,网络断开后,使用域用户可以继续登录,如何才能禁止这种应用方式,使域用户必须在连接到域的情况下才可以使用?

    1.缓存登录

    网络断开后,可以使用域用户继续登录,是因为Windows操作系统默认启用允许缓存登录功能。默认缓存登录没有时间限制。

    以Windows 7操作系统为例说明。打开“组策略编辑器”——选择“计算机配置”——“Windows设置”——“安全设置”——“本地策略”——“安全选项”,右侧列表中“交互式登录:之前登录到缓存的次数(域控制器不可用时)”,默认值是10。注意:

    ·数字10,指的是10个用户登录,而不是一个用户登录的最大有效次数,一个用户缓存到本地的用户,而不是任意的账户。如果用户没有登录过,在登录时需要查询域控制器,在交互式登录下系统会提示当前域不可用。

    ·加入域的计算机,该策略有效设定,最终取决于域策略的部署。

    ·不允许缓存用户,该策略值设置为0。

    域用户成功登录计算机后,登录存储在注册表的以下位置:HKEY_LOCAL_MACHINE\SECURITY\Cache,默认包括10个子键,名称为NL$1-NL$10。每当一个用户登录此计算机,其配置文件“Profile”创建在“%HOMEDRIVE%\Documents and Settings”中,相应的用户信息和安全性描述保存到注册表中,键值中记录已经登录账户的名称及其相关标识。

    2.部署策略

    网络断开后,域用户不能登录域的解决方法是“交互式登录:之前登录到缓存的次数(域控制器不可用时)”策略设置为0,策略生效后,不在本地缓存登录过的用户。

    打开“组策略管理器”控制台——编辑“Default Domain Policy”——“计算机配置”——“Windows设置”——“安全设置”——“本地策略”——“安全选项”,选择“交互式登录:之前登录到缓存的次数(域控制器不可用时)”策略,默认状态下该策略没有设置。

    打开该策略属性对话框,选择“定义此策略设置”选项,文本框中设置为“0”,显示“不要缓存登录次数”,。单击“确定”按钮,完成策略设置。

    注意:该策略设置中,0值表示禁用登录缓存,任何大于50的值都仅缓存50次登录尝试。Windows最多支持50个缓存项目,每名用户占用的项目数取决于凭据。例如,Windows系统中最多可以缓存50额唯一密码用户账户,但只能缓存25个智能卡用户账户。当具有缓存登录信息的用户再次登录时,该用户的个人缓存信息将会被替代。

    策略设置完成后,使用“gpupdate /force”

    3.用户登录验证

    策略生效后,当用户计算机网络断开后,将不能登录域。


添加普通域用户为本机管理员

    先以域管理员(administrator)登录该台计算机

    “计算机”-“管理”-“本地用户和组”-“组”-“administrators-属性”-“成员”的Administrators添加普通域用户为本地管理员


软件分发

    建立一个共享文件夹,将需要分发的软件放在里面。软件格式必须为.MSI

    调度响应的组策略——编辑——计算机配置(或者用户配置)——策略——软件设置——软件安装——属性——选择默认程序数据包位置

    “软件安装”——新建——数据包(选择该路径下的某个MIS安装包)

    策略生效后,客户机重启计算机,软件自动安装完成(默认在C:\Program files(x86))