在域账号管理中经常碰到域账号被锁,我们只能被动的解锁却无法查找被锁账号的时间等详细信息,其实微软已经提供了解决方案。下载地址:http://www.microsoft.com/downloads/en/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en 下载后来文件为:ALTools.exe。
熟悉AD域的朋友都知道普通domain users组用户都有将10台计算机加入域的权限,这就意味着用户有可能会将单位之外的移动电脑带入公司加入到域的可能,进而访问公司内部网络资源,在一些安全要求极高的企业是绝对不允许的,存在较高的安全风险,所以必须禁止普通domain users组有加域的权限(当然如果你公司对安全要求不高的话不禁止也无
根据业务需求我们有时需要在某台计算机上禁用指定的用户登陆,可以用组策略完成,这里仍以测试环境为例: 1.先在计算机OU中建立一个OU命名为禁止登陆电脑,可以根据自己的OU结构建立,把所有需要禁止用户登陆的计算机都放入这个OU中 在AD上新建策略reject_logoin 2.新建策略reject_logoin 3.编辑策略:悬着拒绝本地登陆。其实这条组策略的应用非常熟悉,但以前的惯
组策略之软件限制策略 在企业应用中组策略中的软件限制策略是一个使用频率比较高的功能,特别是在高风险行业且业务应用比较多的企业必须明确哪些人能使用,哪些人不能使用。软件限制策略中使用最多的就是路径规则和哈希规则(用户文件目录限制),我这里主要讲讲其中的一些技巧 一. 路径规则: 1.路径规则中只需要直接输入软件所在路径即可,我这里以IceSword.exe为例,新建deny_appl
今天写写计算机客户端加域的部署情况,虽然公司业务网和办公网计算机部署加域已过去几年了,为部署加域做了很长时间的测试和准备,当然我这里写的是办公网计算机的准备工作和研究,也是比较通用的;业务网计算机因涉及到很多业务软件的运行及权限问题,非常复杂,并且计算机环境也不一样,不具有通用性,所以就只谈谈办公网的加域吧,我这里是在虚拟机测试环境中做的,如需移到生产环境中也只需稍加修改,好了,废话少说了,开始吧
我们经常碰到在AD域控制器上部署组策略后客户端正常登陆后没有执行组策略,但网络状态都是正常的,首先我们必须保证客户端计算机工作站和登陆的账户必须在域控制器上相应的OU里,否则套用的组策略不可能生效,在此基础上如果还出现组策略无法立即执行,需要多次重启计算机或运行gpupdate /force命令后才生效的情况下,
Active Directory灾难恢复手册 文档适用范围: 办公网Active Directory 业务网SNA/HIS服务器所依赖的Active Directory 适用操作系统: Windows Server 2003 Windows 2000 Server 本文档讨论: 如何避免Active Directory
根据公司合规安全要求,员工离开客户端计算机必须锁定,但很多员工经常或因处理紧急事情或忘记手动锁屏导致重要信息泄露,因此根据要求制定了策略:员工离开计算机后30秒不操作自动锁屏策略: 1.在AD上使用gpmc.msc编辑器新建策略,套用到相应的OU上即可如图 2.开启图中5,6,7策略,其中7策略设置超时时间:30即可,可以根据自己需要设置
见附件!
公司部署域后很多用户第一次登录office时会提示安装:由于我们部门业务代表使用的电脑都是公共电脑,每天登录的电脑都是随机选择的,导致每次登录电脑使用office时都有此提示,甚是烦人,可以将以下注册表附件制作成自解压文件通过域统一部署计算机策略开机脚本即可,具体见附件。
适用场景: 1、用于对活动目录中的域控制器做例行检查,以及在检查完成后的标准备份步骤。在检查中我们会对域控服务器的SYSVOL(Windows Server 2003 系统卷)状态、GC状态、五个FMSO(操作主机)状态、DC间的复制结果进行检查。 2、该方案适用于使用 Windows Server 2003 的活动目录结构,而 Windows Server 2000 活动目录并没有进行过
一、Dsadd 用于在特定的目录分区上创建 Active Directory 对象类的实例。这些类包括用户、计算机、联系人、组、组织单位和配额。Dsadd 具备一个由下列内容组成的通用语法: dsadd <ObjectType> <ObjectDistinguishedName> attributes 请注意,您创建的每个对象类型都有一组特定的开
Adprep 对 Windows 2000 域和林进行准备,以便升级到 Windows Server 2003 Standard Edition、Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition。adprep 的任务包括扩展架构、更新选定对象的默认安全描述符,以及按某些应用程序的要求添加
LDP.exe 可以用这个工具绑定DC,获得对象的信息,还可以“修改”,搜索、添加、删除等。还允许你查找被删除的对象。作用类似AD用户和计算机,功能更强大。可查看AD对象更详细的信息,如GUID、SID等。 1、安装:运行03光盘\SUPPORT\TOOLS\ suptools.msi,将安装在C:\Program Files\Support Tools夹下,还有许多别
活动目录故障查找的最佳监视工具 复制监视器Replication Monitor(ReplMon)是一个最早针对Windows 2000 Server的故障查找工具。它迅速成为调试活动目录复制问题的最有利的帮助。 微软将ReplMon纳入了Windows Support Tools的第一个工具集,并在Windows Server 2003的最新版本中予以保留。但由于过去七年
我们经常会使用Windows网络连接的“修复”功能修复网络连接。这种修复功能发挥作用的途径是通过实施一系列的测试努力恢复由于客户端或者服务器的网络设置错误引起的网络连接问题。客户端的问题包括DHCP设置或者解析器缓存的问题。服务器的问题包括WINS或者DNS名称注册。然而,这种修复功能有一些局限性,也就是: ·维修过程的结果不能存储下来以
工具名称:DcDiag 工具出处:MS Support Tools 工具类型:命令行工具 当前环境:Win2003 SP1 + R2,DC 主要功能: DcDiag是域控制器诊断工具,通过各种诊断测试,用来分析当前林或域中域控制器状态,生成相应的检测报告。DcDiag可以说是域控制器诊断全能工具,当DC出现问题却无法判断具体故障原因时,首选使用DcDiag工具对DC进
域控制器配置和运行自查表 序号 项目 检查内容
时间同步服务配置 网络中心提供的网络时间服务,使得各种网络设备、服务器、个人计算机等可以通过网络时间服务器校正它们自己的时间。用户可使用任何支持NTP或SNTP(Simple Network Time Protocol)的客户端进行时间同步。时间服务器的地址是:time.jmu.edu.cn。详细设置如下: 一.利用操作系统提供的校时服务(Windows XP、Windows
域功能级别与目录林功能级别 域功能级别 域功能可以激活只影响整个域和以下域之一的功能。随着每个后续级别的提升,域功能将激活所包含的上一个域级别的功能。 以下列出了四种域功能级别及其相应的功能和所支持的域控制器。 Windows 2000 混合模式(默认) •
深入理解全局编录服务器GC 在Win2003AD域环境中,除了FSMO操作主机角色外,全局编录服务器(GC)也是有着特殊含义的域控制器。通过GC,可以提高在活动目录中搜索对象的速度,可以加快用户登录验证等。 简单的说,GC是森林中所有对象的只读调整缓冲存储器( Read Only Cache),目录只用于搜索。GC服务器存
更改步骤: 1.netdom computername 目前的计算机名 /add:新的计算机名 2.netdom computername 目前的计算机名 /makeprimary:新的计算机名 3.重新启动计算机。 4.netdom computername 目前的计算机名 /remove:旧的计算机名 注意: 1、要实现对域控制器的重命名,域控制器必须是Window
对于部署了AD架构的企业来说AD/DNS/DHCP/WINS都是我们必须用到的服务,一但这些服务中断会导致整个企业IT系统无法正常运作,如何保障这些基础服务的高可用性是我们每一位管理员需要考虑的。 一般的中小企业最少都会用两台或多台服务器做冗余保证企业内基础服务的高可用性,当一台服务器坏了或需要维护另一台服务器照样能够提供相同的服务来保障企业IT系统的正常运作。 下面是一张很经典的AD部署场景
AD域和信任关系 对系统管理员来说,域信任可能是非常复杂的一个问题,但是首次部署就要保证其正确又是非常重要的。这里是一些 要时刻注意的关键点,可以协助确保你的信任配置最有效率,而出现头痛的问题最少。 1: 考虑清楚应当使用何种信任类型在部署一个域信任之前,你应当确保所采取的类型对所要进行的任务而言是绝对正确无误的。考虑一个信任,应当从下述几个方面进行:
Windows Active Directory 域故障排错 本
在规模比较大的网络环境里面,为了对服务器和客户机上的软件、系统补丁进行集中统一的管理,我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新,不在本文讨论,请参考其它相关技术文档。虽然SMS功能较强大,兼容性好,绝大多数应用软件都可以用它来管理,但是它比较复杂,实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话,其实我们还是可以回归到比较原始的技术:利用GPO实现
Copyright © 2005-2024 51CTO.COM 版权所有 京ICP证060544号