作为域管理员,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果在图形界面逐个添加、设置,那么需要的时间和人力会超出能够承受范围。一般来说,如果不超过10个,我们可利用AD用户帐户复制来实现。如果再多的话,就应该考虑使用
原创
2009-09-01 14:13:19
683阅读
1评论
AD帐号批量导入导出
一、批量导入帐户
步骤及原理:
1、先用Excel表格做一个简单模版,将其保存为.csv格式!
2、再用For命令结合dsadd 来完成批量创建用户!
使用到的命令:(注:以下命令里参数为笔者做测试,别忘记修改!)
for /f "tokens=1,2,3,4,5 delims=," %a in (D
转载
精选
2010-09-12 22:23:29
2008阅读
AD账号批量导入及导出
原创
2015-09-13 16:43:10
1695阅读
从conficker看AD帐号锁定 2个礼拜前的今天,我在外面上HOL,结果我的同事打电话跟我说单位的很多用户反映,他们的帐号都被锁了,本来AD里面锁帐号的是3次错误输入就锁,一般偶尔有用户反映帐号被锁,但是大规模被锁,我觉得肯定有问题了。 回来后,看了一下Log,675的很多,就是说在猜测密码,我怀疑有黑客攻击,然后把主要报错的网段的光纤给拔掉,于是乎675的日志全部没有,而且帐号自动解锁,
转载
精选
2009-04-23 21:14:03
1260阅读
1评论
用户帐号登录审核策略:该策略只有在“默认的域控制器安全策略”中定义才会有效;如图:
修改审核策略“审核帐户登录事件”;
设置完成,刷新策略.gpupdate/force在客户端上使用某帐户登录,输入错误密码,则登录失败事件就会在域控制器日志"安全性"中记录下来;而且记录了IP地址信息;
原创
2009-06-23 11:55:35
1349阅读
1评论
接近年底,公司内部及外部的审计又开始了。这次公司内部的审计人员比以往专业很多,问了很多帐号管理(申请,离职,公用帐号等方法的管理),确实让我小忙一把。
还真被他们稽核出不了问题。
对于个人帐号,全部上系统申请,参考HR数据库建立,同时在离职时HR系统自动禁用帐号,隔日发报表给相关人员进行统一删除。
对于公用帐号,有些部门之前申请的,即使不用了他们也不会通过IT部门去取消,所以公用帐号可能会一
原创
2010-10-18 15:58:32
2843阅读
点赞
2评论
2个礼拜前的今天,我在外面上HOL,结果我的同事打电话跟我说单位的很多用户反映,他们的帐号都被锁了,本来AD里面锁帐号的是3次错误输入就锁,一般偶尔有用户反映帐号被锁,但是大规模被锁,我觉得肯定有问题了。
回来后,看了一下Log,675的很多,就是说在猜测密码,我怀疑有黑客攻击,然后把主要报错的网段的光纤给拔掉,于是乎675的日志全部没有,而且帐号自动解锁,这很有可能就是蠕虫了。上网搜了一下,果
转载
2011-01-20 16:32:26
530阅读
设置域帐号登陆次数后自动锁定完则,有大量AD域帐号自动被锁定。在2003域安全策略中,设置登陆3次密码错误后,自动锁定帐号;在登封3次后,帐号可以自动锁定。但是有大批帐号没有登陆错误情况下自动锁定,而且手动解锁后,又自动锁定。最后只能取消策略。请问地什么原因造成这问题十分紧逼,请给予帮助。
回答:根据您的描述,我对这个问题的理解是在您的Domain Users中出现了锁定的情况.从您反应的情况看,有很多的用户在设置完3次密码错误就锁定的情况,我们可以考虑从下面的几个情况分析:
1. 有很多的应用程序,可能会利用用户的credential进行验证,在您更改完毕密码后没有及时更新这些program可能就会出现问题。
2. 服务账户,由于Windows自带的服务可能需要用这些用户的密码进行验证,那么密码没有及时更新也会出现这个问题
3. 密码锁定阀值太短,根据微软官方建议,您可以考虑把密码锁定的阀值设置为10此无效登录锁定
原创
2011-09-19 09:38:45
10000+阅读
点赞
2评论
发现有人尝试域帐户密码,多次尝试造成密码保护,并使账户锁定.请教,针对密码尝试攻击的行为,从windows 域策略角度 如何保护?开启,账户的“密码永久有效”选项,的用途? 当设置此选项后,多次密码错误到达垡值时,账户是否会锁定?
回答:在组策略中有个策略叫Account lockout threshold(计算机设置—windows设置—安全设置—帐号锁定策略),是设定域账户的锁定策略的,您可以通过设置该策略是规定错误密码的尝试次数,默认情况下是无数次.但是但您设定了该策略,假设我们设置的次数是7,那么当用户输入密码错误次数打到7此的时候,该用户就被锁定了.
这种情况下我们还可以通过设置Reset account lockout counter after这个策略来定义当用户账户锁定多长的时间之后,该账户会被自动解锁(当然您也可以用domain admin手动解锁) 。
原创
2011-09-19 09:45:22
10000+阅读
点赞
1评论
今天碰到10几个人反映有些软件不好用,登录域后,无法访问共享。当时我比较奇怪,到客户端一一检查意见,共享服务及软件运行服务全部正常。就尝试重启一下客户端,重启后就可以正常使用。但是有的也无法使用。
我就检查AD服务器。发现这些帐号是锁定状态,我就将其“启用”开始使用。过差不多3个小时后又出现相同问题。我就将策略中“用户登录事件”打开来“审核[成功]及[失败]”事件。找到日志如下,请大家帮我分析一下。该如何下手解决该问题:
原创
2011-09-19 09:48:54
10000+阅读
点赞
4评论
单一AD普通帐号默认可以加域10次,可以更改普通帐号的加域配额。运行Adsiedit.msc打开编辑器,右击连接到——连接点选择“选择一个已知命名上下文”下“默认命名上下文”确定,右键属性选择"ms-DS-MachineAccountQuota"属性,后面的数值显示是10就是默认的配额,选择编辑可以更改你需要的次数,0代表没有配额。
原创
2014-10-27 16:26:23
2134阅读
在前面文章中介绍过一篇文章,主要讲的是"关于Exchange Server 2010 启用邮箱时MMC控制台崩溃问题处理"方法,其中排错思路中也提到过是由于批量创建帐号过程中部分字段带空格导致的,其实这个是不能够完全避免的,由于毕竟是人工操作出现错误再所难免,完全解决导入数据不带空格其实是有办法的。方法一:通过Excel的替换将空格去掉。方法二:利用Excel中的SUBSTIT
原创
精选
2016-10-29 23:49:28
1526阅读
数据处理流程在PC端执行排程脚本远程控制DC作业,导出7天内帐号的锁定Event;通过PC218中转至Linux247;在Linux247执行排程对数据进行Model格式化,过滤出(50次/月)的数据。通过访问访问\\*.247可访问共享,(每28天的星期三)拿到处理过的文件(ad20170101.txt..),graphLRa[PC<br>218<br>D:\PS\Acc
原创
2018-05-30 11:59:32
3000阅读
点赞
功能:添加AD用户,帐号显示名为中文,登录名为英文。如显示名为乔丹,登录名为qiaodan。(举一反三,可以设置其他选项。) 使用:见源码中注释。 源码: cls #把用户名放在c:\name.txt文件里,一行一个账户 #每个账户的格式为“姓,名,登录名”,比如:“乔,丹,Jordan” #注意:“,”为中文输入法下的逗号
原创
2009-10-16 11:53:19
1768阅读
1评论
在某些场景下,在批量开通AD帐号时会使用一个相同的密码,那么如何查询这些用户是否更改了该特定值的密码呢?
在windows 2008 r2以前的版本中,可以使用以下的ps脚本来实现:
aduser.txt中包含所有的AD帐户,或者密码初始值为该特定值的AD帐户。
$aduser = get-content d:\aduser.txt
foreach ($aduser&nbs
原创
2009-09-07 00:00:00
423阅读
问题:如何批量的创建帐号?解决方案:在利用CSVDE.EXE或LDIFDE.EXE来批量创建用户帐号实验环境:Windows 2003如果我们要想批量的创建帐号的话,我们可以首先利用文字编辑程序将这些帐号建立到纯文本文件内,然后再利用windows server 2003中所提供的CSVDE.EXE或LDIFDE.EXE将文本中的帐号导入到AD中的某个位置中。 不过在批
转载
精选
2008-12-09 15:37:48
3811阅读
1评论
(1).帐号的备份:Windows2000的Resource Kit中提供了一个方便的工具——Addusers,导出帐号和群组信息的命令格式为
Addusers/d filename.txt同时他也支持网络导出
Addusers \\servername /d filename.txt(2).密码的备份:去http://www.systemtools.com网站的“Free Tools”栏
原创
2004-11-05 19:05:58
1374阅读
下面我们对dsadd进行一下说明:
仅从操作过程来看非常简单,但有细节之处。 1、dsadd user 是 Windows Server 2003 才具备的工具。 2、hr.txt 内的原始数据还是需要手工输入的。 3、For语句将读取hr.txt,把每行第一个空格前的内容赋予变量%%a,空格后的内容赋予变量%%b。For语句中tokens的含义是关键。后面一部分则是d
转载
2009-11-23 20:14:38
4247阅读
目前我们公司对离职人员的帐号管理通过下面的方式,离职流程中的最后一关是在在HR部门打印离职单证明,在打印完离职证明后,HR系统自动将离职人员的AD帐号进行禁用,隔日HR系统导出离职报表给网管,进行删除。
其实目前公司完全可以做到在HR系统中设置直接删除离职人员,但因安全方面的考虑(如,HR mm操作失误,在职状态将调任误改为离职...),所以在最后删帐号时还是由网管人为去确认。下面是批量对AD帐
推荐
原创
2010-06-08 08:35:35
1736阅读
4评论
