部分定义
- domain user获取远程登录域控权限
- 隶属于: Remote desktop users
- 在`secpol.msc`(本地安全策略)的“控制面板—用户权限管理—允许通过远程桌面服务登录”中添加用户名。
- domqin user管理域用户帐户(修改、新增、删除)
- 隶属于: account operators
- Domain users软件安装和使用权限的开启设置
- 所有软件安装在固定的`Program Files`目录,并通过组策略赋予`Domain Users`组对该目录的完全控制权限。
- 通过组策略赋予`Domain Users`组对注册表`HKLM\SOFTWARE`键的完全控制权限。
- 通过组策略赋予`Domain Users`组对`system32`目录的完全控制权限。
- 以上修改后,90%的软件可正常运行。对于特殊软件,使用`Filemon`和`Regmon`监控,找出所需文件或注册表值,适当放开权限。操作过程繁琐。
域控管理中管理问题拔萃
- 在OU中建立的`Enterprise admins`账户可以删除OU中的`Domain Admins`账户,包括重置、禁用等。因此,`E-Admins`拥有OU的完全管理权限。 - 建立一个`Domain Admins`账户用于安装软件,但限制其访问域控和本地登录。目的:作为IT安装域用户本机软件的临时账户,避免`domain admins`账户泄露导致域控风险。
- 账户建立后,添加到`domain admins`组。
- 在`gpmc.msc`(组策略管理编辑器)和`gpedit.msc`(本地组策略编辑器,注意原文中`gdedit.msc`应为笔误)中,分别设置“计算机配置– windows设置 – 安全设置 –本地策略 – 用户权限分配”,拒绝该账户本地登录和网络访问。
修改域控内置管理账户的密码注意事项
- 主辅域控热同步时,可直接修改`administrator`密码,通常会实时同步到辅域控。 - 域控管理账户变更需同步更新整个网络管理系统中的相关设置,包括行为管理服务器、防火墙、企业内部NAS的LDAP认证服务等。 - 未同步更新会导致单点登录用户无法上网等问题,建议IS管理员记录LDAP应用的分支,以便在修改AD内置管理账户时,不遗漏整个网络系统中可能造成的异常。
在域控制器中更改域内所有电脑管理员密码
- 原理:在域控制器中创建一个开机脚本,使电脑启动时执行该脚本,从而重置管理员密码。 - 将以下代码保存为`.vbs`文件:
```vbs
strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/Administrator, user")
objUser.SetPassword "newpassword" ' 请将"newpassword"替换为实际密码
objUser.SetInfo
其中 objUser.SetPassword “windows9598me2000xpvista”中: “”中间的就是密码。
添加完脚本后注意刷新组策略。