IS

部分定义

- domain user获取远程登录域控权限

1. 隶属于: Remote desktop users
2. 在`secpol.msc`（本地安全策略）的“控制面板—用户权限管理—允许通过远程桌面服务登录”中添加用户名。

- domqin user管理域用户帐户（修改、新增、删除）

1. 隶属于: account operators

- Domain users软件安装和使用权限的开启设置

1. 所有软件安装在固定的`Program Files`目录，并通过组策略赋予`Domain Users`组对该目录的完全控制权限。
2. 通过组策略赋予`Domain Users`组对注册表`HKLM\SOFTWARE`键的完全控制权限。
3. 通过组策略赋予`Domain Users`组对`system32`目录的完全控制权限。
4. 以上修改后，90%的软件可正常运行。对于特殊软件，使用`Filemon`和`Regmon`监控，找出所需文件或注册表值，适当放开权限。操作过程繁琐。

域控管理中管理问题拔萃

- 在OU中建立的`Enterprise admins`账户可以删除OU中的`Domain Admins`账户，包括重置、禁用等。因此，`E-Admins`拥有OU的完全管理权限。 - 建立一个`Domain Admins`账户用于安装软件，但限制其访问域控和本地登录。目的：作为IT安装域用户本机软件的临时账户，避免`domain admins`账户泄露导致域控风险。

1. 账户建立后，添加到`domain admins`组。
2. 在`gpmc.msc`（组策略管理编辑器）和`gpedit.msc`（本地组策略编辑器，注意原文中`gdedit.msc`应为笔误）中，分别设置“计算机配置– windows设置 – 安全设置 –本地策略 – 用户权限分配”，拒绝该账户本地登录和网络访问。

修改域控内置管理账户的密码注意事项

- 主辅域控热同步时，可直接修改`administrator`密码，通常会实时同步到辅域控。 - 域控管理账户变更需同步更新整个网络管理系统中的相关设置，包括行为管理服务器、防火墙、企业内部NAS的LDAP认证服务等。 - 未同步更新会导致单点登录用户无法上网等问题，建议IS管理员记录LDAP应用的分支，以便在修改AD内置管理账户时，不遗漏整个网络系统中可能造成的异常。

在域控制器中更改域内所有电脑管理员密码

- 原理：在域控制器中创建一个开机脚本，使电脑启动时执行该脚本，从而重置管理员密码。 - 将以下代码保存为`.vbs`文件：

```vbs
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")
objUser.SetPassword "newpassword" ' 请将"newpassword"替换为实际密码
objUser.SetInfo
其中 objUser.SetPassword “windows9598me2000xpvista”中： “”中间的就是密码。
添加完脚本后注意刷新组策略。