青春的精神是点铁成金的奇异的宝石。 —— 罗宾德拉纳特·泰戈尔 http://deerlin.xyz/dokuwiki/ 2026-05-01T09:01:20+00:00 http://deerlin.xyz/dokuwiki/ http://deerlin.xyz/dokuwiki/lib/exe/fetch.php?media=wiki:dokuwiki.svg text/html 2025-02-17T03:59:24+00:00 Anonymous (anonymous@undisclosed.example.com) http://deerlin.xyz/dokuwiki/doku.php?id=is:%E5%9F%9F%E6%8E%A7:ad%E5%9F%9F%E6%8E%A7%E6%90%AD%E5%BB%BA&rev=1739764764&do=diff IS 基于Windows Server 2012 R2 双AD域搭建（辅域搭建步骤相同） 服务器和客户端的IP地址约定 - Windows Server 2012 R2 服务器IP地址： * IP地址：192.168.226.100 * 掩码：255.255.255.0 * 网关：192.168.226.2 * text/html 2025-02-17T03:59:58+00:00 Anonymous (anonymous@undisclosed.example.com) http://deerlin.xyz/dokuwiki/doku.php?id=is:%E5%9F%9F%E6%8E%A7:ad%E5%9F%9F%E6%8E%A7%E7%AE%A1%E7%90%86%E5%8F%8A%E5%AE%9E%E9%99%85%E5%BA%94%E7%94%A8%E4%B8%AD%E7%9A%84%E9%97%AE%E9%A2%98%E9%9B%86%E9%94%A6&rev=1739764798&do=diff IS 部分定义 - domain user获取远程登录域控权限 * 隶属于: Remote desktop users * 在`secpol.msc`（本地安全策略）的“控制面板—用户权限管理—允许通过远程桌面服务登录”中添加用户名。 - domqin user管理域用户帐户 text/html 2025-02-17T04:00:07+00:00 Anonymous (anonymous@undisclosed.example.com) http://deerlin.xyz/dokuwiki/doku.php?id=is:%E5%9F%9F%E6%8E%A7:ad%E5%9F%9F%E6%8E%A7%E7%AE%A1%E7%90%86%E7%BB%84%E6%88%90%E5%91%98%E5%AE%9A%E4%B9%89&rev=1739764807&do=diff Domain admins 在域中的权限 在域环境中，`Domain admins`组相当于管理员角色。 - 当计算机加入域后，`Domain Admins`组会自动被赋予本地系统管理员的权限。具体来说，在计算机成为域成员主机的过程中，系统会将`Domain Admins`域组添加到本地的`Administrators`组中。 - `Domain Admins`组的成员可以访问域中的任何计算机，并具备“完全控制”的权限。 - 为了加强计算机的安全，对于敏感的计算机，建议将`Domain Admins`组从本地的`Administrators`组中删除。… text/html 2025-02-17T04:00:16+00:00 Anonymous (anonymous@undisclosed.example.com) http://deerlin.xyz/dokuwiki/doku.php?id=is:%E5%9F%9F%E6%8E%A7:ad%E5%9F%9F%E6%8E%A7%E7%BB%84%E7%AD%96%E7%95%A5&rev=1739764816&do=diff 基本 基于Windows Server 2012 R2域控的组策略 - 职能： * 服务器端运行组策略命令：`gpmc.msc` * 域账户默认获取本地管理员权限 * `gpmc.msc` 域控组策略 * 编辑OU（组织单位）组策略 * 打开组策略编辑器 text/html 2025-02-17T04:29:07+00:00 Anonymous (anonymous@undisclosed.example.com) http://deerlin.xyz/dokuwiki/doku.php?id=is:%E5%9F%9F%E6%8E%A7:win10%E5%8A%A0%E5%9F%9F%E5%90%8E%E7%94%9F%E7%89%A9%E7%89%B9%E5%BE%81%E8%A7%A3%E9%94%81%E4%B8%8D%E5%8F%AF%E7%94%A8&rev=1739766547&do=diff IS 打开组策略编辑器 * 在运行里输入 `gpedit.msc`。 定位到以下路径并配置 * 计算机配置 管理模板 系统 登陆 启用便捷性 PIN 等领域： * 将其配置为“已启用”状态。 * 计算机配置