精华内容
下载资源
问答
  • AD域客户端在登录域控制器的过程中,是如何找到域控制器并且在域控制器上登录的呢?很多朋友在排查客户端登录域问题的时候,不知道从何下手,这篇文章就介绍AD域客户端如何用定位器查找域控制器。您只有了解了这个...

    AD域客户端在登录域控制器的过程中,是如何找到域控制器并且在域控制器上登录的呢?很多朋友在排查客户端登录域问题的时候,不知道从何下手,这篇文章就介绍AD域客户端如何用定位器查找域控制器。您只有了解了这个工作过程,才会知道如何排查域客户端无法登录域的问题。

    • 在客户机(搜索域控制器的计算机)上,定位器的启动是以对本地 Netlogon 服务执行远程过程调用 (RPC) 的形式执行的。定位器 DsGetDcName 应用程序编程接口 (API) 调用是通过 Netlogon 服务实现的。

    • 客户机收集在选择一个域控制器时所需的信息,并使用 DsGetDcName 调用将这些信息传递到 Netlogon 服务。

    • 客户机上的 Netlogon 服务使用收集的这些信息从一个域控制器中查找指定的域,采用的是下面两种方法之一:您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1 

    对于 DNS 名称,Netlogon 通过使用 IP/DNS 兼容定位器查询 DNS--即在 DNS 将域名附加到指定 SRV 记录的适当的字符串后,DsGetDcName 调用 DnsQuery 调用从 DNS 读取“服务资源”(SRV) 记录和“A”记录。
    登录到基于 Windows 的域的工作站向 DNS 查询一般形式的 SRV 记录: _service._protocol.DnsDomainName
    Active Directory 服务器通过 TCP 协议提供“轻量目录访问协议”(LDAP) 服务。因此,客户机通过向 DNS 查询以下形式的一条记录找到一个 LDAP 服务器: _ldap._tcp.DnsDomainName

    对于 NetBIOS 名称,Netlogon 通过使用 Microsoft Windows NT 4.0 版兼容定位器来执行域控制器发现(即通过使用特定于传输的机制,例如 WINS)。 在 Windows NT 4.0 及更早版本中,“discovery”是在主域或受信域中用于定位一个用于身份验证的域控制器的过程。

    • Netlogon 服务将一个数据报发送到注册该名称的计算机。对于 NetBIOS 域名,数据报是作为一个mailslot消息实现的。对于 DNS 域名,数据报是作为一个 LDAP 用户数据报协议 (UDP) 搜索实现的。(UDP 是无连接数据报传输协议,它是 TCP/IP 协议组的一部分。TCP 是一个面向连接的传输协议。) 您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

    • 每个可用的域控制器都响应此数据报,表明它当前处于运行状态,并将该信息返回到 DsGetDcName。• Netlogon 服务缓存域控制器信息,以便后续请求不必重复此发现过程。缓存此信息有利于保证使用同一域控制器时的一致性和 Active Directory 视图的一致性。

    当一个客户机登录或加入网络时,它必须能够找到一个域控制器。此客户机向 DNS 发送一个“DNS 查找”查询以搜索域控制器,并优先在当前子网内查询。因此,客户机通过向 DNS 查询以下形式的一条记录找到一个域控制器: _LDAP._TCP.dc._msdcs.domainname
    在客户机找到一个域控制器后,它将使用 LDAP 建立通讯,以获得对 Active Directory 的访问权。作为此协商的一部分,域控制器根据客户机的 IP 子网来确定此客户机所在的站点。如果此客户机正在与一个不在最近(最佳)站点的域控制器通讯,此域控制器将返回此客户机的站点名称。

    如果此客户机已经尝试在此站点中查找域控制器(例如,当客户机向 DNS 发送“DNS 查找”查询以在此客户机的子网内查找域控制器时),则此客户机将使用这个并非最佳的域控制器。否则,此客户机将使用此新的最佳站点名称重新执行一个特定于站点的 DNS 查找。您看到的文章来自活动目录seo http://gnaw0725.blog.51cto.com/156601/d-1

    域控制器使用一些目录服务信息来标识站点和子网。在客户机找到一个域控制器后,此域控制器的条目将被缓存。如果此域控制器不在最佳站点,此客户机在十五分钟后将刷新缓存并丢弃缓存条目。然后它将尝试在它自己所在的站点内查找一个最佳的域控制器。在客户机建立到域控制器的通讯路径之后,它就可以建立登录和身份验证凭证,而且,对于基于 Windows 的计算机,在必要时还可以建立一个安全通道。然后此客户机就可以在目录中执行常规查询和搜索信息了。客户机建立一个到域控制器的 LDAP 连接以便登录。此登录过程要使用“安全帐户管理器”。因为通讯路径使用了 LDAP 接口,且此客户机是由一个域控制器进行身份验证的,所以此客户帐户在得到验证后通过“安全帐户管理器”传递到目录服务代理,然后到数据库层,最后到“可扩展存储引擎”(ESE) 中的数据库。

    以上内容译自kb314861 http://support.microsoft.com/kb/314861

    转载于:https://blog.51cto.com/gnaw0725/645625

    展开全文
  • 我的电脑是单机,自己在笔记本电脑里安装了2012server,想以计算名以域服务器,并用本地管理员登录登录域服务器,而不是使用工作组登录
  • 如何限制用户登录计算机

    千次阅读 2020-01-09 17:21:17
    登录到属性对于内置管理员Administrator无效。 默认情况下,创建新的Active Directory用户时,它们会...在本文中,我们将考虑如何限制用户登录计算机的主要方法。 内容: 限制用户帐户仅登录到特定的AD计...

     登录到属性对于内置域管理员Administrator无效。

     

    默认情况下,创建新的Active Directory用户时,它们会自动添加到“ 域用户组中。反过来,默认情况下,将域用户组加入AD域后,会将其添加到域工作站上的本地用户组。这意味着任何域用户都可以登录到域网络中的任何计算机。在本文中,我们将考虑如何限制用户登录到域计算机的主要方法。

    内容:

    限制用户帐户仅登录到特定的AD计算机

    在小型域中,可以在Active Directory中每个用户帐户的属性中将用户登录限制为域计算机。例如,您要只允许特定用户登录其计算机。去做吧:

    1. 通过运行dsa.msc命令来运行ADUC管理单元(Active Directory用户和计算机)。
    2. 使用AD搜索,找到要限制访问的用户帐户并打开其属性;
    3. 转到“ 帐户标签,然后单击“ 登录到按钮。
    4. 如您所见,允许用户登录到所有域计算机(用户可以登录到:所有计算机)。要只允许用户访问特定的计算机,请选择以下计算机选项并添加用户可以登录的计算机的名称;

    注意。您必须指定完整的NetBIOSDNS计算机名称(不要使用通配符)。该值不区分大小写。

    1. 您最多可以将64台计算机添加到此列表。如果您尝试添加65 计算机,将出现如下错误信息:This property is limited to 64 values. You must remove some of the existing values before you can add new ones;
    2. 保存更改。现在,用户只能登录到指定的AD计算机。

    如何在PowerShell中修改LogonWorkstations属性?

    手动将用户登录限制为域计算机是非常麻烦的。您可以使用PowerShell自动执行此操作。允许用户登录的计算机列表存储在AD用户属性“ LogonWorkstations ”中。例如,我们的任务是允许特定用户仅登录到名称在文本文件computers.csv中列出的计算机。

    该脚本如下所示:

    Import-Module ActiveDirectory
    $ADusername = ‘asmith’
    $complist = Import-Csv -Path "C:\PS\computers.csv" | ForEach-Object {$_.NetBIOSName}
    $comparray = $complist -join ","
    Set-ADUser -Identity $ADusername -LogonWorkstations $comparray
    Clear-Variable comparray

    使用Get-ADUser cmdlet,可以显示允许用户登录的计算机的列表。

    Get-ADUser $ADusername -Properties LogonWorkstations | Format-List Name, LogonWorkstations

    或者,您可以在ADUC控制台中查看计算机列表。

    要将新的计算机名称添加到列表,请使用以下命令:

    $Wks = (Get-ADUser asmith-Properties LogonWorkstations).LogonWorkstations
    $Wks += ",man-b2-wks2"
    Set-ADUser asmith -LogonWorkstations $Wks

    如何限制用户使用GPO登录到AD工作站?

    在大域中,由于某些限制和缺乏灵活性,使用LogonWorkstations用户属性限制用户对计算机的访问是不可行的。通常,为了防止用户登录某些计算机,使用组策略。

    您可以使用受限制的组策略(Windows设置->安全设置)来限制本地组用户中的用户列表,但是我们将考虑另一个选项。

    GPO部分中的计算机策略->策略->安全设置->本地策略->用户权限分配中有两个组策略:

    • 拒绝本地登录允许将本地登录限制为特定用户或组的工作站登录;
    • 允许本地登录 –包含允许本地登录计算机的用户列表。

    例如,为防止特定组的用户登录到特定Active Directory OU中的计算机,您可以创建一个单独的用户组,将其添加到“ 拒绝本地登录策略中,然后将该策略链接到包含您计算机的OU。想要限制登录。

    在大型AD域中,可以结合使用这些策略。例如,您要限制用户登录其他OU中的计算机。为此,请在每个OU中创建一个安全组并将所有OU用户添加到其中。

    提示。可以使用Get-ADUserAdd-ADGroupMember PowerShell cmdlet在以下脚本的帮助下将特定OU的用户自动添加到您的安全组中:

    Import-module ActiveDirectory
    $rootOU = “OU=Users,OU=UK,DC=corp,DC=woshub,DC=com”
    $group = “corp\lon-users”
    Get-ADUser -SearchBase $rootOu -Filter * | ForEach-Object {Add-ADGroupMember -Identity $group -Members $_ }

    然后启用“ 允许本地登录 ”策略,将此组添加到其中(以及不同的管理员组:域管理员,工作站管理员等),并将策略分配给计算机的OU。因此,您将只允许特定的OU用户登录到计算机。

    如果来自其他OU(不允许其在本地登录)的用户尝试登录计算机,则会出现一个带有以下消息的窗口:

    您无法登录,因为此计算机上不允许使用您使用的登录方法。请与您的网络管理员联系以获取更多信息。

    要么:

    不允许使用您尝试使用的登录方法。有关更多信息,请与您的网络管理员联系。

    以下是有关登录限制策略的一些重要说明:

    • 不要使用这些策略来限制对服务器或AD域控制器的访问;

    如何允许非管理员RDP访问域控制器

    • 不要通过内置GPO启用这些策略:默认域策略或默认域控制器策略;默认域策略或默认域控制器策略。
    • 限制性政策具有更高的优先级;
    • 不要忘记可以用于在计算机(服务器)上运行服务的服务帐户(包括gMSA);
    • 不要使用限制本地访问整个域的策略。仅将它们链接到特定的OU

     

    展开全文
  • 在控制面板------管理工具----控制器安全设置----安全设置---本地策略---用户权利指派-----允许在本地登录---------增加所需普通账户 转载于:https://blog.51cto.com/223605/317452...
    在控制面板------管理工具----域控制器安全设置----安全设置---本地策略---用户权利指派-----允许在本地登录---------增加所需普通域账户

    转载于:https://blog.51cto.com/223605/317452

    展开全文
  • 工作中遇到的请求在不同中的地址时,请求无法成功的问题  查了很多资料,基本上都是说的以下两点  (1).HttpWebRequest request = new HttpWebRequest();  request.UserDefaultCredentials = true;//默认使用...

      工作中遇到的请求在不同域中的地址时,请求无法成功的问题

      查了很多资料,基本上都是说的以下两点

      (1).HttpWebRequest request = new HttpWebRequest();

      request.UserDefaultCredentials = true;//默认使用登录的凭据

      (2).

      request.Credentials = new NetworkCredential("username","password");

      username,password 为域登录的账号

      上述两种均未能解决问题。

     

      后来发现NetworkCredential的构造函数具有5个重载

      一、public NetworkCredential();

      // 用指定的用户名和密码初始化 System.Net.NetworkCredential 类的新实例。
      二、public NetworkCredential(string userName, SecureString password);

      // 用指定的用户名和密码初始化 System.Net.NetworkCredential 类的新实例。
      三、public NetworkCredential(string userName, string password);
      
      // 用指定的用户名、密码和域初始化 System.Net.NetworkCredential 类的新实例。
      四、public NetworkCredential(string userName, SecureString password, string domain);

      // 用指定的用户名、密码和域初始化 System.Net.NetworkCredential 类的新实例。
      五、public NetworkCredential(string userName, string password, string domain);

     

      因为未使用加密方法,第5个重载中有参数domain,即为登录的域名,使用,问题解决。

     

      request.Credentials = new NetworkCredential("username","password","domain");

    转载于:https://www.cnblogs.com/Big-Bao/p/4115164.html

    展开全文
  • 如何查看用户登录的计算机

    千次阅读 2020-02-19 08:00:00
    在内网渗透的过程中,经常会遇到需要查看用户登陆了哪些机器,目前我们收集整理了三种方法,给大家分享出来。使用vbs脚本来查询' Script for getting curren...
  • 有时候因为账户配置文件出现问题,导致用户登录电脑时,只能登录temp临时账户。通过删除注册表信息我们可以恢复账户...2第二步:那么我们应该如何解决问题呢?首先我们在运行框中输入“regedit”,进入电脑的注...
  • 如何设置用户仅登录到指定的计算机默认情况下,在AD中新建立帐号以后,这个帐号可以登录到任何一台计算机上,有些不安全,如何限制该帐号仅仅登录到指定的计算机呢?这里主要是在帐号的属性中设置。打开该帐号的...
  • 如果你的电脑没有登录域账号,你有账号和密码就可以. 在如下的地方加上域账号和密码就可以.
  • 在Windows XP中如何定位并登录域控制器。很多朋友在排查winxp登录域问题的时候,不知道从何下手,这篇文章就介绍winxp如何用定位器查找域控制器。您只有了解了这个工作过程,才会知道如何排查winxp无法登录域的问题...
  • 电脑启用生物特征登录Domain users are not allowed to sign in with a Pin by default. However, using a little bit of GPO, we can change that. ... 如何在Windows 8上为用户启用Pin Sig...
  • WINDOWS10如何删除本机登录信息? 让账号重新加载一次?
  • 如何清除内长期没有登录的计算机对象 如何清除AD中已经不存在的计算机对象?windows 2003单架构,内用户有1000左右,因为客户端没有命名规则,客户端又经常重新安装系统,更改计算机名; 现在AD 计算机对象中...
  • 要求分析:每次有新机器加入,或者系统挂了,总是要执行一系列重复的操作。...结合,在用户每次登录时执行这个批处理 实现方法: 1.先在主(假设主为abc.com,且安装在c盘的windows目录下)的C:\WINDO...
  • 如果是通过策略指定的登陆脚本,我们再用 gpresult /v ,察看一下client是否应用到了您制定的策略,如果没有就要考虑使用 dssite.msc 手动同步中的所有dc,然后 secedit /refreshpolicy user_policy (machine_...
  • 请问如何设置的组策略,让未登录的计算机禁止访问共享文件
  • 6.记住,这里是选择是安全策略,不是控制安全策略(在网上就出现很多类拟的问题) 1、点击“开始”→“程序”→“管理工具”→点击“组策略管理”(如图1所示)。  2、在打开的组策略管理,一次...
  • 如何要求用户只能用AD用户身份登录,而IT管理员可以用local administrators身份登录呢? 我们可以通过设置AD组策略来禁止本机用户登录。 在Domain Controller的GPO中, 选择 Policy\Computer Configuration\...
  • 请问用户登录域后,如何打开一个b/s 应用的地址就直接登录进去了?去 ad 验证好办,可是如何获取当前 windows 的域用户呢?
  • C#如何在WEB开发中通过LDAP获取当前登录域用户信息,具体属性信息需结合域的配置,具体见以下代码: 前端页面适当位置显示用户名信息: <span class="h3"> <span>@LoginSession.LoginUser.Display...
  • 1.先把Guest用户停掉,这个不用说了吧,很简单.2.右键点击我的电脑-管理-本地用户和...右键点击我的电脑-管理-本地用户和组-组-进administrators-添加需要登录用户. 转载于:https://www.cnblogs.com/hshy/p/108887...
  • 1. windows -> 开始 -> 运行 :control userpasswords2 出来用户帐户管理界面 2.... 确定。5. 然后选择要修改的服务器上的信息(这里就是192.168.254.1)。... 点击更改按钮,就可以更改密码了。OK !
  • 在域控上可以查看到用户wangwu是隶属于Domain Users的普通用户。...再次使用wangwu进行登录,成功! 本文转自 是阿杰啊 51CTO博客,原文链接:http://blog.51cto.com/jschinamobile/1913407 ...
  • 众所周知,为了安全,LDom管理程序只允许从controldomain中直接登录guest...如何才能实现从远程直接登录guest的console台呢?方法其实很简单,只需修改vntsd相关属性即可。可以访问我的豆丁文档:http://www.doc...
  • 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权利指派 -> 在本地登录去掉里面所有的用户,只填加你的用户帐号(注:帐号可以是用户帐号)这样,...
  • 因此需要得到用户,然后进行判断该用户是否可以进入系统。 解决方法:见如下代码。首先要说明下情况,我这边没有客户的环境,虽然自己也搞了个测试服务器,在发布项 目时使用了windows身份验证,但是和客户那的...
  • <p>Scenario: Mr. Smith joins my site FOO and logs in. Site BAR, on a different domain, has installed my widget. Mr. Smith visits site BAR and is permitted to use the widget only if he is a member ...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,204
精华内容 481
关键字:

如何登录域