差别
这里会显示出您选择的修订版和当前版本之间的差别。
| 两侧同时换到之前的修订记录 前一修订版 | |||
| is:域控:ad域控管理及实际应用中的问题集锦 [2025/02/17 03:59] – 移除 - 外部编辑 (未知日期) 127.0.0.1 | is:域控:ad域控管理及实际应用中的问题集锦 [2025/02/17 03:59] (当前版本) – ↷ 页面is:ad域控管理及实际应用中的问题集锦被移动至is:域控:ad域控管理及实际应用中的问题集锦 A.L | ||
|---|---|---|---|
| 行 1: | 行 1: | ||
| + | [[category: | ||
| + | |||
| + | **部分定义** | ||
| + | |||
| + | - **domain user获取远程登录域控权限** | ||
| + | - 隶属于: Remote desktop users | ||
| + | - 在`secpol.msc`(本地安全策略)的“控制面板—用户权限管理—允许通过远程桌面服务登录”中添加用户名。 | ||
| + | |||
| + | - **domqin user管理域用户帐户**(修改、新增、删除) | ||
| + | - 隶属于: account operators | ||
| + | |||
| + | - **Domain users软件安装和使用权限的开启设置** | ||
| + | - 所有软件安装在固定的`Program Files`目录,并通过组策略赋予`Domain Users`组对该目录的完全控制权限。 | ||
| + | - 通过组策略赋予`Domain Users`组对注册表`HKLM\SOFTWARE`键的完全控制权限。 | ||
| + | - 通过组策略赋予`Domain Users`组对`system32`目录的完全控制权限。 | ||
| + | - 以上修改后,90%的软件可正常运行。对于特殊软件,使用`Filemon`和`Regmon`监控,找出所需文件或注册表值,适当放开权限。操作过程繁琐。 | ||
| + | |||
| + | **域控管理中管理问题拔萃** | ||
| + | |||
| + | - 在OU中建立的`Enterprise admins`账户可以删除OU中的`Domain Admins`账户,包括重置、禁用等。因此,`E-Admins`拥有OU的完全管理权限。 | ||
| + | - 建立一个`Domain Admins`账户用于安装软件,但限制其访问域控和本地登录。目的:作为IT安装域用户本机软件的临时账户,避免`domain admins`账户泄露导致域控风险。 | ||
| + | - 账户建立后,添加到`domain admins`组。 | ||
| + | - 在`gpmc.msc`(组策略管理编辑器)和`gpedit.msc`(本地组策略编辑器,注意原文中`gdedit.msc`应为笔误)中,分别设置“计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配”,拒绝该账户本地登录和网络访问。 | ||
| + | |||
| + | **修改域控内置管理账户的密码注意事项** | ||
| + | |||
| + | - 主辅域控热同步时,可直接修改`administrator`密码,通常会实时同步到辅域控。 | ||
| + | - 域控管理账户变更需同步更新整个网络管理系统中的相关设置,包括行为管理服务器、防火墙、企业内部NAS的LDAP认证服务等。 | ||
| + | - 未同步更新会导致单点登录用户无法上网等问题,建议IS管理员记录LDAP应用的分支,以便在修改AD内置管理账户时,不遗漏整个网络系统中可能造成的异常。 | ||
| + | |||
| + | **在域控制器中更改域内所有电脑管理员密码** | ||
| + | |||
| + | - 原理:在域控制器中创建一个开机脚本,使电脑启动时执行该脚本,从而重置管理员密码。 | ||
| + | - 将以下代码保存为`.vbs`文件: | ||
| + | ```vbs | ||
| + | strComputer = " | ||
| + | Set objUser = GetObject(" | ||
| + | objUser.SetPassword " | ||
| + | objUser.SetInfo | ||
| + | 其中 objUser.SetPassword “windows9598me2000xpvista”中: “”中间的就是密码。 | ||
| + | 添加完脚本后注意刷新组策略。 | ||