精华内容
下载资源
问答
  • AD域管理

    千次阅读 2013-11-12 09:04:19
    AD域管理 用户账户控制 首先登陆域控计算机。  打开Active Directory用户和计算机。 (路径:开始–>管理工具–> Active Directory用户和计算机) 打开AD用户和计算机控制台后,首先选择被添加人的...

    AD域管理

    用户账户控制

            首先登陆域控计算机。

             打开Active Directory用户和计算机。(路径:开始–>管理工具–> Active Directory用户和计算机)

     

            打开AD用户和计算机控制台后,首先选择被添加人的部门的组织单元(OU)。如果是开发人员择需要添加到Developer内,其他部门请添加到“市场部和人力部”,如不确定其部门可添加到“Egensource”内。

            *每个OU对应着独立的组策略设置((GPMO),确认被添加人加入正确的部门OU内。 


            仔细填写用户信息

            用户登录名一般为员工姓名的汉语拼音。 


            为该员工设定初始密码,并告知员工该密码。
           当员工有过登陆记录后,可将其密码设置成“用户下次登录时必须更改密码”,由员工自行设定密码。
            密码复杂度要求:必须6位以上,包含数字和字母的组合。

            可根据公司要求设定其他用户密码策略。 


            打开新建的员工信息。

            在“常规”页面上,填写真实的员工信息,特别是邮件地址务必确认其正确无误。 


            在“单位”标签内,仔细填写员工的注册信息。包括职务、部门和公司。

            在经理栏内,确认其上级领导。项目成员是项目经理,产品组成员为产品组经理,不确定的列为部门总监。


            在“隶属于”标签,将用户归入正确的组内,首先该用户必须属于“公司全体”。
            如该员工属于开发人员、技术人员则属于“软件研发部”
            如该员工属于市场人员属于“市场部”

            如该员工属于人力及行政人与那属于“人力资源部” 

            如需要更改某个员工的密码,则需要登录到域控制器上,查看该员工属性信息,选择“重置密码”即可。

     

            当员工离职时,登录到“域控制器”上禁用该员工的账户。选择查看员工属性信息,选择“禁用账户”,

            并将被禁用的账户移至“已禁用账户”OU内。 



    组策略设置

    组策略管理

            登录域控制器后,打开“管理工具”
            选择“组策略管理”

             选择一个OU来创建或者更改组策略。

            需要对组策略进行调整的时候,先选定要更改的组策略。

            选择“编辑”。 


            选择子类别为该OU内的员工设置或者更改使用计算机的行为控制。
    *备注

            计算机配置:计算机配置是针对该计算机进行的行为控制,与登录到该计算机的用户拥有的权限无关系,所以OU成员必须是计算机账户。

            用户配置:用户配置是针对登录计算机的用户的行为控制。无论登录到哪台计算机上,该用户域内的行为控制都是不变的。用户配置首先要服从于计算机配置。计算机配置优先级高于用户配置。 


            通过查看组策略管理“设置”标签,可以方便浏览所有调整过的组策略设置。 


    开通OCS访问许可

            登录OCS服务器
            打开位于OCS服务器上的Active Directory用户和计算机
            *如采用域管理员登录的话,可以在OCS利用AD管理工具来创建/维护用户。 


            再给未开通OCS的员工设置OCS之前,务必确认AD里有该员工的电子邮件地址的登记。OCS需要和电子邮件地址做关联。

    为某一个员工开通OCS访问许可,需要设置两步骤:
            1 Enable users for Communication Server…
            2 Configure Communication Server Users…
    同时删除某个员工的OCS访问许可,需要额外的两个步骤:
            3 Delete Communication Server users…

            4 Move Communication Server users 


            弹出设置向导 

     

            选择Office Communication Server Pool的位置(OCS企业池)

            选择:ocspool.egensource.com 


            设置OCS的关联账户信息:
            选择Use user’s e-mail address 


            操作无误的话,会有提示信息显示成功创建了一个OCS的关联账户。 


    选择配置OCS用户

            Configure Office Communication Server user
            勾选“Remote user access”  


    设置域控制器DNS服务(跳转查询设置)

            公司内部架设的DNS服务器解析本地主机的速度很快,但往往解析外部IP地址时候速度反映很慢。解决的办法是:设立DNS转发器,将非本地的IP地址解析任务转发至公网DNS服务器去解决,加速网络解析速度。

            以管理员身份登录主DNS服务器。进入DNS管理器界面,鼠标右键点击DNS服务器的主机名,选择“属性” 。


            选择“转发器”标签,添加转发DNS服务器的地址。
            例如北京网通的主力DNS服务器:
    202.106.0.20
    202.106.196.115

            添加新的DNS解析地址。

            直接查询DNS服务器地址,手动添加IP地址,如添加成功,服务器的完全合法域名(FQDN)将自动解析成功。

     

    展开全文
  • AD域、Windows AD域管理功能大全

    万次阅读 多人点赞 2018-07-30 13:33:03
    Windows AD域管理功能大全,再也不用东拼西凑了! 功能一、AD域管理 1、AD域管理 通过批量创建和编辑用户帐户,指派管理权限等,简化Windows AD域的管理。 2、批量管理域用户 使用CSV文件批量导入用户、编辑...

    Windows AD域管理功能大全,再也不用东拼西凑了!


    功能一、AD域管理

    1、AD域管理
    通过批量创建和编辑用户帐户,指派管理权限等,简化Windows AD域的管理。
    2、批量管理域用户
    使用CSV文件批量导入用户、编辑用户属性、重置密码、批量迁移用户和用户对象。
    3、批量创建域用户
    通过导入CSV文件,批量创建用户,包含Exchange邮箱、终端服务等所有属性,指派到组。
    4、批量编辑域用户
    批量重置密码、解锁用户、迁移用户、删除/启用/禁用用户、添加到组或从组中移除、修改用户属性等。
    5、管理不活跃/禁用的用户帐户
    通过生成不活域/禁用的用户帐户列表,轻松删除、启用或迁移帐户,达到清理AD域的目的。
    6、AD域密码管理
    重置多个用户帐户的密码、配置密码策略、启用/禁用密码过期的用户。
    7、手机App
    通过手机App执行重置密码、启用、禁用、解锁以及删除用户帐户等操作。
    8、AD域计算机管理
    批量创建计算机、启用、禁用和迁移计算机,修改计算机属性和所属组。
    9、终端服务管理
    批量编辑终端服务主文件夹、路径、启动程序、会话时间和远程设置。

    功能二、AD域报表


    1、AD域报表
    默认提供150多种报表,全面分析Windows AD域架构。
    2、AD域用户报表
    全面的用户分析报表,包括不活跃的用户、被锁定的用户、最后登录的用户以及被禁用的用户等。
    3、用户登录报表
    生成用户登录行为报表,包括登录时间、时长等属性。
    4、密码报表
    包括密码状态、安全权限、密码过期、无效登录尝试和密码变更报表。
    5、最后登录报表
    了解某组织单元、组或整个AD域里,用户最后一次登录时间,包括帐户状态、帐户创建时间等信息。
    6、计算机报表
    全面的计算机对象、域控制器、工作站、计算机帐户状态以及按照操作系统分类的报表。
    7、组报表
    所有类型的安全和分发组,包括其中的组成员报表以及分发列表及成员报表。
    8、组织单元报表
    详细的组织单元报表,包括最近创建的组织单元、最近修改的组织单元、GPO链接的组织单元、GPO阻止继承的组织单元以及空的组织单元。
    9、计划报表
    设置报表计划,自动生成并发送报表,报表可导出为CSV、PDF和HTML格式文件。

    功能三、权限指派/工作流

    1、帮助台管理
    将管理权限指派给帮助台技术员或HR,降低AD管理员的工作负荷。
    2、管理权限指派
    设置工作流程,安全地将管理权限指派给其他用户。
    3、划分不同权限
    设置不同的角色,配置不同的管理权限,确保AD域的安全。
    4、基于组织单元的权限指派
    为一个组织单元配置一个管理员,执行相关的管理操作。
    5、安全指派
    按照一定的规则,设置管理权限,确保信息安全。

    功能四、Exchange管理

    1、Exchange服务器管理
    在一个平台全面管理Exchange服务器和AD。
    2、邮箱创建
    批量创建邮箱,支持Exchange Server 2003, 2007/2010/2013版本和Office 365。
    3、设置邮箱权限
    可通过模板轻松批量设置邮箱权限,支持Exchange Servers 2003和2007/2010/2013。
    4、禁用/删除Exchange邮箱
    批量禁用和删除邮箱。
    5、分发列表报表
    全面分析分发列表,提供分发组、分发列表成员和非分发列表成员报表。
    6、Exchange服务器邮箱迁移
    批量将邮箱迁移到指定的Exchange服务器。
    7、Exchange策略管理
    应用多个Exchange策略,例如共享策略、角色指派策略、保留策略、UM策略和ActiveSync策略。

    此内容由ManageEngien原创编辑整理,转载请标明出处。

    展开全文
  • 内计算机本地管理员密码管理

    千次阅读 2019-12-17 17:53:48
    随着互联网技术的不断发现,信息安全在企业中的受重视度也越来越高,终端管理是信息安全中至关重要的一环,不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平,因此在终端管理员层如何制定完善终端...

    随着互联网技术的不断发现,信息安全在企业中的受重视度也越来越高,终端管理是信息安全中至关重要的一环,不可能要求终端用户和服务器管理员有着一样的安全隐患意识和技术水平,因此在终端管理员层如何制定完善终端管理的制度和利用现有的技术来规范用户行为至关重要。其中做好权限的管理是重中之重,而企业内终端的密码管理则是权限管理的基础。

    在小型企业中,PC客户端直接使用客户端,这种方式终端上需要管理的密码只有工作组账号密码,这种熟练较少,只有使用excel等其他小工具管理即可。在中大型企业中,则会使用AD活动目录来进行统一身份认证,此时域用户账号的密码则集中保留中AD数据库中,并且用户权限也是保留在AD中,AD的安全性远高于普通PC,因此安全性大大提升。

    但是使用活动目录,如何管理入域计算机的本地管理员密码是企业IT运维管理员头疼的一件事,基数庞大且在处理故障时又确实需要本地管理员账号,以下我就介绍几种在企业中常见的域内计算机本地管理员账号管理方式,其中着重介绍LAPS(Local Administrator Password Solution)。

    常见的几种本地管理员密码管理方式

    1.直接禁用本地管理员

    这是一种简单粗暴的方式,直接省去管理本地账号的工作,这种方式可以使用组策略来实现,问题是电脑因故障脱离域,或是无法使用域账号登录时,电脑就无法登录,需要借助PE等工具启用本机管理员并设置密码。虽然管理简单但是安全性有保障。

    2.使用统一的本地管理员密码

    这种方式在企业中最为常见,本地administrator管理员密码掌握在少数管理员手中,全公司或者单个部门保持一致的本地管理员密码(可以通过组策略实现),这种方式对于helpdesk运维工作带来的极大的方便,但是只要出现密码泄露则会带来极大的隐患,并不是很推荐的做法。

    3.每台电脑设置不一样的密码

    每台电脑设置一个不同的管理员密码,由IT人员记录在Excel或是笔记本上;但存在的问题是:每次要找某台电脑的管理员密码时,要去找文件或是记录,而且也不能定时修改!这种方式大大的增加的IT人员的运维工作量。

    4.为每台PC本地管理员设置随机密码

    在少部分企业中,通过计算机开机脚本,为每台计算机设置随机密码,并通过其他方法配合禁止有本地管理员权限的用户去更改本地账号密码,此种方式与直接禁用本地管理员账号优缺点并不太大差异。

    5.使用LAPS统一管理计算机本地管理员密码

    优点:

    • 全自动,可配置的计算机本地管理员帐户更新
    • 通过OU访问存储的密码的简单委派。
    • 由于LAPS利用了Active Directory组件(组策略,计算机对象属性等),因此不需要其他服务器。
    • 计算机帐户只能写入/更新自己的本地管理员帐户密码(ms-Mcs-AdmPwd属性),而不能从该属性读取密码。
    • 密码更新流量已加密。
    • 可以轻松地为OU中的每台计算机更改密码。
    • 免费

    缺点:

    • 仅存储当前密码,并且可供检索
    • 一次只能由LAPS管理一个本地管理员帐户的密码(只有一个密码属性)
    • 域控制器的危害可能会危害域中的所有本地管理员帐户密码。
    • 密码可以随时访问,并可以由委派的密码人员随时使用。虽然可以启用审核,但必须按每个OU,每个组配置,以便在域控制器上记录事件ID 4662。

    LAPS组件

    代理-组策略客户端扩展(CSE)-通过MSI安装

    • 事件记录
    • 随机密码生成-从客户端计算机写入AD计算机对象

    PowerShell模块

    • 权限配置

    Active Directory-集中控制

    • 域控制器安全日志中的审核跟踪
    • 计算机对象特殊属性(ms-Mcs-AdmPwd、ms-Mcs-AdmPwdExpirationTime)

    LAPS受支持的版本

    活动目录:

    • Windows 2003 SP1及更高版本

    受管/客户端计算机:

    • Windows Server 2016
    • Windows Server 2012 R2数据中心(x86或x64)
    • Windows Server 2012 R2标准(x86或x64)
    • Windows Server 2012 R2基础(x86或x64)
    • Windows 8.1企业版(x86或x64)
    • Windows 8.1专业版(x86或x64)
    • Windows Server 2012数据中心(x86或x64)
    • Windows Server 2012标准版(x86或x64)
    • Windows Server 2012 Essentials(x86或x64)
    • Windows Server 2012基础(x86或x64)
    • Windows 8企业版(x86或x64)
    • Windows 8专业版(x86或x64)
    • Windows Server 2008 R2 Service Pack 1(x86或x64)
    • Windows 7 Service Pack 1(x86或x64)
    • Windows Server 2008 Service Pack 2(x86或x64)
    • Windows Vista Service Pack 2(x86或x64)
    • Microsoft Windows Server 2003 Service Pack 2(x86或x64)
    • 不支持Itanium

    管理工具:

    • NET Framework4.0
    • PowerShell 2.0 或更高版本

    LAPS运作核心

    LAPS简化了密码管理,同时帮助客户实施针对网络攻击的建议防御措施。特别是,该解决方案可减轻客户在计算机上使用相同的管理本地帐户和密码组合时出现的横向风险。LAPS将每台计算机的本地管理员帐户的密码存储在Active Directory中,并在计算机的相应Active Directory对象的安全属性中进行保护。允许计算机在Active Directory中更新其自己的密码数据,并且域管理员可以向授权用户或组(如工作站服务台管理员)授予读取权限。

    使用LAPS可以自动管理加入域的计算机上的本地管理员密码,以便每个受管计算机上的密码都是唯一的,是随机生成的,并且安全地存储在Active Directory基础结构中。该解决方案建立在Active Directory基础结构上,不需要其他支持技术。LAPS使用您在受管计算机上安装的组策略客户端扩展(CSE)来执行所有管理任务。该解决方案的管理工具可轻松配置和管理。

    LAPS解决方案的核心是GPO客户端扩展(CSE),它执行以下任务,并可以在GPO更新期间执行以下操作:

    • 检查本地Administrator帐户的密码是否已过期。
    • 当旧密码过期或需要在过期之前进行更改时,生成新密码。
    • 根据密码策略验证新密码。
    • 将密码报告给Active Directory,并将密码和机密属性一起存储在Active Directory中。
    • 将密码的下一个到期时间报告给Active Directory,并将该属性与计算机帐户的属性一起存储在Active Directory中。
    • 更改管理员帐户的密码。
    • 然后,允许这样做的用户可以从Active Directory中读取密码。合格的用户可以请求更改计算机的密码。

    LDAPS安装部署

    1.安装LAPS.exe组件

    一般使用DC作为服务器端,安装时,务必不勾选第一项,防止策略误下发影响AD域管理员密码。

    2.架构扩展

    在DC中运行:

    Import-Module Admpwd.ps

    Update-AdmPwdADSchema

    此时查看AD的计算机属性会出现两个新的属性,分别是ms-MCS-AdmPwd(存储密码)和ms-MCS-AdmPwd(存储过期时间)。

    3.删除默认的扩展权限

    密码存储属于机密内容,如果对电脑所在的OU权限配置不对,可能会使非授权的用户能读取密码,所以从用户和组的权限中删除“All extended rights”属性的权限,不允许读取属性 ms-Mcs-AdmPwd 的值。

    • 如果需要,请对每个放置电脑的OU重复以下操作,如果子OU且你禁用了权限继承,则每个子OU也要做相同的配置。
    • 打开ADSIEdit
    • 在你需要配置的计算机所在OU上点击右键、属性
    • 单击安全选项卡
    • 单击高级
    • 选择不想要能读取密码的组或用户,然后单击编辑。
    • 取消选中所有扩展的权限

    4.使用PowerShell管理LAPS权限

    Set-AdmPwdComputerSelfPermission–OrgUnit "OU=computerGroup,dc=contoso,dc=com"

    所有计算机帐户本身都需要有写入ms-Mcs-AdmPwdExpirationTime 和 ms-Mcs-AdmPwd属性的权限,此命令是让计算机本机可以更新的管理本地管理员密码的密码和过期时间戳

    Set-AdmPwdReadPasswordPermission-OrgUnit ComputerGroup -AllowedPrincipals willwang

    设置willwang账号允许读取ComputerGroup的OU内的计算机本地管理员密码

    Set-AdmPwdResetPasswordPermission-OrgUnit computerGroup-AllowedPrincipals willwang

    设置willwang账号允许设置ComputerGroup的OU内的计算机本地管理员密码

    Find-AdmPwdExtendedRights -OrgUnit ComputerGroup | %{$_.ExtendedRightHolders}

    查找ComputerGroup的OU内的密码权限分配

     

    5.客户端安装GPO扩展(CSE)

    有两种方式,可以使用组策略软件安装选项,也可以使用脚本。

    组策略软件安装选项配置

    开机脚本安装

    msiexec /i \\server\share\LAPS.x64.msi /quiet

    安装后,在客户端上可看到此安装选项。

    6.组策略下发

    按配置选项进行策略配置。

     

    Password Settings配置密码参数

    密码复杂性

    生成新密码时使用哪些字符

     

    默认值

    大字母+小写字母+数字+特殊字符

     

    密码长度

    最少:8个字符

    最大值:64个字符

    默认值:14个字符

     

    密码年龄(天)

    最少:1天

    最长:365天

    默认值:30天

     

    Name of administrator account to manage本地管理员名称管理

    管理员帐户名称——要为其管理密码的本地帐户的名称。

    使用内置管理员帐户时请勿配置。即使重命名,内置的管理员帐户也会由知名的SID自动检测

    在使用自定义本地管理员帐户时进行配置

     

    Do not allow password expiration time longer than required by policy密码到期时间可能比“密码设置”策略所需的时间长

    启用此设置时,不允许计划密码到期时间长于“密码设置”策略规定的密码时间。当检测到此类到期时,立即更改密码并根据策略设置密码到期。

    禁用或未配置此设置时,密码到期时间可能比“密码设置”策略所需的时间长。

     

    Enable local admin password management启用本地管理员帐户的密码管理

    如果启用此设置,则管理本地管理员密码

    如果禁用或未配置此设置,则不管理本地管理员密码

     

    7.客户端刷新策略,生效

    点击

    在使用LAPS UI修改密码时,客户端必需刷新策略,客户端更改后再写入到AD中。

     

    参考链接:

    https://docs.microsoft.com/en-us/previous-versions/mt227395(v=msdn.10)?redirectedfrom=MSDN

    作者: 王志辉

     

    优质文章

    蓝鲸平台 | 主机名设置错误怎么办?

    Redis持久化介绍

    4大步骤节省30%浪费,优化企业上云成本从了解云开始!

    运维思考 | 你知道CMDB与监控是什么关系吗?

    【干货】4种Oracle DBaaS部署模式,你在使用哪一种?

    展开全文
  • OK,今天没事做,工作还是一塌糊涂,懒的去应聘了,难道我只能呆在网吧么?天啊。废话不多说,今天教大家... 由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆到域控制器,运

    OK,今天没事做,工作还是一塌糊涂,懒的去应聘了,难道我只能呆在网吧么?天啊。
    废话不多说,今天教大家如何把客户机与ad服务器连接起来,还有配置客户机的一些操作,仔细看吧!

    在我的上一篇文章中,已经把一台名为Server的成员服务器提升为了域控制器,那我们现在来看一下
    如何把下面的工作站加入到域。

    由于从网络安全性考虑,尽量少的使用域管理员帐号,所以先在域控制器上建立一个委派帐号,登陆
    到域控制器,运行“dsa.msc”,出现“AD用户和计算机”管理控制台:



    先来新建一个用户,展开“demo.com”,在“Users”上击右键,点“新建”-“用户”:



    然后出现一个新建用户的向导,在这里,我新建了一个名为“swg”的用户,并且把密码设为“永不
    过期”。




    这样点“下一步”,直到完成,就可以完成用户的创建。然后在“demo.com”上点击右键,先择“委
    派控制”:



    就会出现一个“委派控制向导”:



    点击“下一步”:



    点击中间的“添加”按钮,并输入刚刚创建的“swg”帐号:



    然后点“确定”,再点“下一步”:



    在上面的画面中,暂时不需要让该用户去“管理组策略链接”,所以在这里,仅仅选择“将计算机加
    入到域”,然后点“下一步”:



    最后是一个信息核对画面,要是没有什么问题的话,直接点“完成”就可以了。




    接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是Windows XP专业版,
    需要大家注意的是Windows XP 的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了
    哟,我们先来设置一下这台XP的网络:

    计算机名:TestXP

    IP:192.168.5.5

    子网掩码:255.255.225.0

    DNS服务器:192.168.5.1,


    设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。



    在这里把“隶属于”改成域,并输入:“demo.com”,并点确定,这是会出现如下画面:



    输入刚刚在域控上建的那个“swg”的帐号,点确定:



    出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。来看一下登陆画面有没有什
    么不一样,看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用
    域用户进行登陆了。进入系统后,在“我的电脑”上击右键,选“属性”,点“计算机名”:

    看到用黑框标出来的地方和没有加入到域的时候的区别的吧?


    当把下面的客户端加入到域后,如果域控制器处于关闭状态或者死机的话,那么,会发现下面的
    客户机无法登陆到域,所以再建立一台域控制器,用来防止其中一台出现意外损坏的情况是很有必要
    的。后来建立的那台域控制器叫额外域控制器。来看看额外域控制器的建立过程吧:

    当然网络设置永远是在第一步的:

    计算机名:Bserver

    IP:192.168.5.2

    子网掩码:255.255.255.0

    DNS:192.168.5.1

    既然是提升为域控制器,那么DNS组件也是要添加的,添加方法和我的第一篇文章中所定的一样,
    这里就不再重复了。添加完成后,同样是点击“开始”-“运行”-“dcpromo”,出现的向导和操作系统兼容性同安装第一台域控时是一样的,唯一要注意的是下面的那个画面:



    安装第一台时选择的是“新域的域控制器”,这里要选择的是“现有域的额外域控制器”,然后点“下
    一步”:



    在这里,输入域的管理员帐号的密码,在“域”里填入相应域的DNS全名或NetBios名,点“下一步”:


    在这里一定要填入现有域的DNS全名,然后再点“下一步”。



    活动目录之用户配置文件

    关于域用户的开设在前面的文章中已经涉及过了,所以在这里开设用户的方法就不再重复了,本篇文章主要向大家介绍一下用户配置文件。

    首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载
    所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位
    置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图:


    用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下,有一个和
    你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一
    个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一
    个域(demo.com)里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况:
    本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。
    域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。

    通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个
    性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,
    如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都
    有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。

    当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户
    配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这
    是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机
    上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:


    请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如
    何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一
    致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公
    共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后
    当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效
    性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下:

    首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就
    在域控制器上开设一个为share的共享文件夹,并开放权限:


    然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里
    以“swg”帐号为例:


    在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输
    入://192.168.5.1/share/%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:


    然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。



    如上图所示,DEMO/swg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自
    动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆
    的话,会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?



    如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况
    下这个文件夹只允许对应的用户打开。


    画面很熟悉吧? 目前很多公司的IT Pro都有共同的感叹,就是用户喜欢把自己的桌面什么的搞得乱七八糟,虽然通过组策略可以限制掉一部份,但总觉得不是很完善,在这里,向大家推荐使用强制用户配置文件,用户可以对自己个人配置文件任意修改,但是一旦注销后,这些修改将不会被保存,这样用户下次登陆里,用户的配置文件还是保持和原来一样,那么如何实现这个功能呢?其实只要将用户配置文件夹下的
    “Ntuser.dat”改成“Ntuser.man”就可以了,来看一下修改过程:

    首先,在显示隐藏文件和已知文件的扩展名,可以在“工具-文件夹选项-查看”里进行修改:


    点“确定”后,就可以在看到那个“Ntuser.dat”文件了,但此时会有一个问题,如果去修改
    C:/Documents and Settings/swg下的“Ntuser.dat”,会发现根本没有办法修改这个文件,因为文件在使用中,无法修改;如果去修改网络公共位置的“Ntuser.dat”,也就是//192.168.5.1/share/swg下的“Ntuser.dat”,修改当然可以修改,但是由于在“swg”用户注销的时候,本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉,也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者,然后给管理员帐号添加权限,这样就可以直接在服务器上把“Ntuser.dat”改掉,但本人实践过几次,都发现这样的操作会引起一些权限无法继承,而导致出错的情况,所以不建议大家使用,这里推荐一种方法:


    先把“swg”帐号注销掉,然后用另外一个帐号登陆,比如管理员,当然,如果在登陆成功后直接去
    访问//192.168..5.1/share/swg以试图修改的话,那么你将会感到失望,因为还是拒绝访问的,那么如
    何访问并修改呢,可以这样操作,“开始-运行-cmd”然后回车,这样就启动了命令行,在命令行下输
    入:net use //192.168.5.1 password /user:swg,显示“命令成功完成”,这样就利用“swg”和服务器建立
    一个连接,此时就可以//192.168.5.1/share/swg,里进行修改了,然后再注销管理员帐号,用“swg”登陆,看看有没有成功:



    看到了吧,类型由“漫游”变成了“强制”,现在可以在桌面这些地方进行任意的修改,你会发现注
    销再登陆,又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。

    最后再请大家注意两个问题:

    1、 在配置强制用户配置文件时,当用其它用户登陆修改时,请保证被修改的用户处于注销状态,
    为什么?大家不妨自己想一想!

    2、 当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在
    登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。
    展开全文
  • 网络管理五大功能

    千次阅读 2020-03-02 11:27:36
    ISO/IEC 7498-4文档定义了5个特定管理功能(Specific Management Functional Areas ,SMFA),他们分别是: 故障管理(Fault Management) 故障管理,又称为失效管理( 三步走) 对网络组成部件进行监测,不严重...
  • AD组策略安全管理

    千次阅读 2020-12-16 09:30:43
    信息安全培训-终端安全(AD组策略安全管理) 终端安全体系五要素: 身份认证:AD认证、身份标识、角色定义、外部纷争系统等。 准入控制:软件防火墙、802.1X交换机、网关准入控制、ARP、DHCP等。 安全认证:防病毒...
  • AD+isa边缘防火墙来集中管理:boss要求:能控制员工上网及玩游戏,严格控制网络!并能查看他们访问了那些网站作一统计:一,将服务器安装ad控制器首先我们先把环境设置好.今天先设置ad:(我用的虚拟机测试):1.依次...
  • 1.安装配置了虚拟机、AD、AD证书服务,并将提升为控制器; 2.简单介绍下AD DS的用户和计算机、ADSI编辑器;
  • 企业NAS中的AD控制器

    千次阅读 2015-01-11 15:17:05
    企业NAS中,如果使用到AD环境。控制器的数量会因公司的规模大小而有些不同。 几十人的小企业,构筑一个一主两备的AD环境即可。当公司规模上升到一两千人,公司分布在不同的物理地区时,就需要构筑多站点多...
  • 本文讲的是从活动目录中获取域管理员权限的6种方法,通常,在大多数企业当中,攻击者根本不需要太长的时间,就可以将域中普通用户的权限提升到域管理员的权限。公司运维人员会困惑,“这一切都是怎么发生的?” 一...
  • 我说CMMI之七:需求管理过程

    万次阅读 2010-10-19 17:59:00
    我说CMMI之七:需求管理过程先讲讲需求管理的含义。何谓需求管理?需求管理就是管理需求的一致性。这里讲的需求指什么?指的产品与产品构件需求,对于软件而言通常就是软件需求规格说明书(SRS)。在CMMI模型中将...
  • 关于安全的划分与风险管理

    千次阅读 2020-06-01 15:53:40
    为什么要划分安全,本质还是为了实现风险管理和资产管理,类似集合一样,我们把Z当作整数的集合,N+表示正整数的集合。安全和集合类似,安全的划分根据多年的实践经验,可以做一下分类。 基于网络地址分类...
  • 用户帐户和组的管理

    千次阅读 2011-12-17 12:16:22
    很多企业都会用到环境来实现管理的实际应用非常广泛。下面我们讲解在环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、用户帐户的特点 和本地用户帐户...
  • AD实现统一用户管理

    万次阅读 2019-02-25 13:12:46
    AD服务  什么是目录(directory)呢? 日常生活中使用的电话薄内记录着亲朋好友的姓名、电话与地址等数据,它就是 telephone directory(电话目录);计算机中的文件系统(file system)内记录着文件的文件名...
  • 企业部署Windows实验案例

    千次阅读 2012-06-06 14:28:52
    最近有个小项目,本人打算搭建个项目代码的版本控制服务器,需要搭建一个windows server 2008并创建控制器。所以在网上找了些资料照着弄了一下。 以下内容全部转载。   工作组网络模型只适合小型网络,如果...
  • 普通权限的计算机加入之后,登录有三种情况 1.登录到默认 直接输入属于当前默认的账户名和密码登录 2.登录到其他: ...账户名为 域名\用户名 ...管理–>添加角色和功能->服务器角色(选Act
  • “经过行业的实战应用,企业微信已经成为”私流量“运营的主要工具” 尽管现在基于企业微信开发的第三方产品处于一个百家争鸣的时代,但仍旧未能看到一个开源的、真正为 企业微信应用 开发服务铺路的框架&引擎...
  • 解决Windows域管理的几个经典问题

    千次阅读 2010-07-16 00:08:00
    解决Windows域管理的几个经典问题 近日在为公司配置域管理架构的时候,遇到了一些问题,上网google发现这些问题的提问者众多,堪称“经典”问题。Windows域管理已经不是什么新鲜玩意儿了,可网上各类答案很多...
  • “经过行业的实战应用,企业微信已经成为”私流量“运营的主要工具” 尽管现在基于企业微信开发的第三方产品处于一个百家争鸣的时代,但仍旧未能看到一个开源的、真正为 企业微信应用 开发服务铺路的框架&...
  • 此文章是个人原创,转载请注明出处,谢谢。 ...  由于现在很多软件都默认安装在C:\Program Files (x86) 或者C:\Program Files这样的... 现在很多企业都使用账户管理电脑登陆,但是很多账号不是管理员权限,使...
  • 如何构建主题模型原则是构建企业级数据仓库重要的议题,最好的路径就是参照成熟的体系。IBM金融数据模型数据存储模型FSDM,是金融行业应用极为广泛的数据模型,可以作为我们构建企业级数据仓库主题模型划分的...
  • 对于一个攻击者来说,有很多方法能在活动目录中获得域管理员权限。这篇文章旨在介绍一些当下比较流行的方法,这里介绍的方法都基于一个前提——攻击者已经获得内网中一台(或几台)机器的权限并且获
  • 2008R2Win7管理一创建和加入

    千次阅读 2010-11-26 17:18:00
    本系列主要讲述2008R2的基础功能和配套win7管理,例如和一些其他管理上的新亮点和特性。  为什么要配套管理和做系列呢,因为相应的服务器版本是对应相应的客户端,例如windows 2000 server对windows 2000和...
  • 用户本地管理员密码破解

    千次阅读 2018-10-27 12:25:36
    公司电脑装软件很麻烦 研究了一下感觉很有意思 ...把自己账户设置成管理员就随便安装了 转载一下 http://blog.51cto.com/seawind/1875702 https://blog.csdn.net/yhc87/article/details/38780853...
  • 内计算机USB权限统一管理

    千次阅读 2016-03-22 15:04:57
    【摘要】在我们企业内部进行规范和安全管理的时候,可能经常会有这样的需求:禁止企业内所有电脑的USB接口进行文件拷贝,但不能妨碍打印机、鼠标键盘、扫描仪、加密狗等等一切需要USB接口工作的外部设备,但是对于高...
  • 树、林、根

    千次阅读 2018-06-14 13:03:29
    如图:contoso这家公司的IT环境中有很多类型的IT资源,而目前这些IT资源都处于一个分散管理的状态中,这样无形中增加了contoso这家公司的管理成本,而且管理制度没有办法落实到实际的生产环境中去。 那么,如何解决...
  • 用户获取本地管理员权限

    千次阅读 2017-11-02 20:00:35
    cankao:http://blog.sina.com.cn/s/blog_4ca83f830100zn8v.html horizon7虚机打不开sql ...模板未加入,domain user用户默认没有虚机本地administrators组权限。通过组策略解决此问题。 转载于:http...
  • AD

    千次阅读 2016-05-30 11:46:18
    以前设置无数客户端需要重复很多次,现在只要在控制器上做一次设置就可以了。这不仅可以减少管理员的工作量,还可以维护企业网路的开支,降低总体成本。   中普通用户权限很少。原来工作组中每个人都是...
  • 网易企业邮箱管理功能

    千次阅读 2019-06-26 20:06:15
    后台管理支持自助管理域名,包括修改域名、删除域名、添加域名、添加别名,满足集团下多子公司多域名需求。 2、 部门帐号灵活管理 后台管理支持 8 层级部门架构,可批量导入部门帐号数据文件,可设置帐号初始...
  • CMMI成功项目管理 7个CMMI过程

    千次阅读 2013-10-06 15:52:35
    CMMI全称是Capability Maturity Model Integration, 即软件能力成熟度模型集成,是由美国国防部与卡内基-梅隆大学和美国国防工业协会共同开发和研制的,其目的是帮助软件企业对软件工程过程进行管理和改进,增强开发...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 108,636
精华内容 43,454
关键字:

企业需要域管理吗