使用站点提升域用户登陆域
电脑加入域的操作方法
电脑加入域的操作方法电脑加入域是指将一台个人电脑加入到企业的域中,以便于统一管理和控制。
在企业中,电脑加入域可以实现用户集中管理、共享资源、安全策略统一等好处。
下面是电脑加入域的操作方法:1. 检查网络连接:首先,确保电脑与域控制器所在的网络正常连接。
可以通过ping命令或使用其他网络工具来测试网络连通性。
2. 配置IP地址:电脑需要配置一个与域控制器相同子网的IP地址,以便于进行通信。
打开网络和共享中心,点击“更改适配器设置”,右键点击网络适配器,选择“属性”,在“Internet 协议版本4(TCP/IPv4)”中配置IP地址。
3. 修改计算机名称:电脑的计算机名称必须是唯一的,不与域中其他计算机重复。
打开“控制面板”,点击“系统和安全”,选择“系统”,点击“更改设置”,在“计算机名称”选项卡中,点击“更改”,修改计算机名称。
4. 重启电脑:修改计算机名称后,会提示需要重启电脑才能生效。
点击“确定”后,电脑会重启。
5. 登录域管理员账户:电脑重启后,选择以管理员身份登录。
在登录界面,点击“其他用户”,输入域管理员账户名和密码,点击“登录”。
6. 加入域操作:在登录成功后,右键点击“计算机”图标,选择“属性”。
在系统属性中,点击“更改设置”,在“计算机名、域和工作组设置”中,点击“更改”按钮。
在弹出的对话框中,选择“域”,输入域名称,点击“确定”。
7. 接受域管理员权限确认:加入域后,会弹出需要域管理员确认的对话框。
输入域管理员账户名和密码,点击“确定”。
8. 完成加入域:加入域后,会自动进行电脑的重新启动,以使域设置生效。
电脑重启后,会显示一个输出欢迎信息的屏幕,此时表示电脑已成功加入域。
9. 登录域账户:电脑加入域后,可以通过选择“其他用户”登录域账户进行使用。
输入域账户名和密码,点击“登录”。
注意:加入域后,原有的本地账户将不能进行登录。
10. 配置域用户权限:在电脑加入域后,可以通过域控制器对用户的权限进行管理。
域用户无法登录域故障处理(AD问题)
域用户无法登录域故障处理(AD 问题)系统故障记录1. 故障记录日期:2010-01-142. 主机名及IP:FS03(192.168.2.246)3. 主机系统及应用:DC、FileServer4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服务无法启动。
错误状态:0xc00002e1."5. 检查过程及解决步骤:原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。
解决方案1:准备进入目录还原模式,修复Active Directory数据库。
备注:由于系统安装时间比较已久,还原密码未知,解决方案2:升级其他BDC为PDC,解决用户登陆问题。
备注:现已将FSBDC升级为PDC,用户已可正常登陆。
步骤1:用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。
使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
分区 DC=xm,DC=xingfa,DC=cn 的一个部分复制集被主持在站点 CN=Foshan,CN =Sites,CN=Configuration,DC=xingfa,DC=cn 上,但是找不到此站点的可写的源。
2、Active Directory 无法建立与全局编录的连接。
额外数据错误值:1355 指定的域不存在,或无法联系。
内部 ID:3200c89用户操作:请确定在林中有可用的全局编录,并且可以从此域控制器访问。
您可以使用 n ltest 实用工具来诊断此问题。
3、尝试用下列参数建立与只读目录分区的复制链接时失败。
目录分区:DC=xm,DC=xingfa,DC=cn源域控制器:CN=NTDS Settings,CN=FS03,CN=Servers,CN=Foshan,CN=Sites,CN=Configurat ion,DC=xingfa,DC=cn源域控制器地址:bfd75c1f-13e3-4a63-aeda-9cda328158de._站点间传输(如果有):其他数据错误值:1753 终结点映射器中没有更多的终结点可用。
AD系统用户密码修改方式
附件(油服非燕郊地区用户或未加域电脑推荐采用第三、四种方式进行修改)AD系统用户密码修改方式1.如果用户已经加入域,并使用域帐号登录计算机,可用使用以下方式修改:A.用户在打开计算机登录操作系统,操作系统会作以下提示:B.点击“确定”后,系统提示输入旧密码,用户新密码以及确认新密码。
C.点击“->”右向箭头后,如果新密码不符合密码复杂度要求,则有如下提示D.点击“确定”后,重新输入符合复杂度要求的密码后点击“->”右向箭头。
密码修改成功。
2.未用域帐户登录操作系统的用户,可以从登录修改密码:A.用浏览器方式打开后,输入原用户名和密码,并点击“登录”。
B.此时系统弹框提示密码已过期必须更改密码。
请在本对话框中输入本人的用户名及当前密码,再输入符合密码复杂度的新密码,并点击“提交”。
如图:C.如用户输入的新密码不符合复杂度要求,系统会弹出对话框告知输入的密码不符合最低安全要求。
请在对话框中重新输入本人的用户名及当前密码,再输入符合密码复杂度的新密码,并点击“提交”。
如图:D.密码修改成功后,系统提示如图:3.未用域帐户登录操作系统的用户,可以从人力资源网站ooc/portal/c修改密码:A. 用浏览器打开人力资源网ooc/portal/c,如图:B. 点击右上角“AD域用户修改密码”,在对话框中输入用户名及旧密码,并输入符合密码复杂度的新密码和确认密码,并点击“确定”。
C. 如输入的密码不符合复杂度要求,系统将弹出对话框提示。
用户需要点击“上一步”,重新输入新密码。
D.密码修改成功后,系统提示如图:4.任何用户都可以通过以下方式进行修改:通过浏览器打开如下地址https://10.68.100.213/iisadmpwd/在对话框中输入用户名及旧密码,并输入符合密码复杂度的新密码和确认密码,并点击“确定”。
具体方式与3中一致。
5.拨打公司1331热线,请AD用户管理员协助修改。
6.使用手机终端登录Exchange邮箱的用户,将无法通过手机终端修改密码,只能通过以上几种方式先修改密码,才能正常登录系统。
域用户权限设置 (改变及装软件)
====
如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择.
1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能.
2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限.
关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装:
1.需要修改服务,驱动,系统文件的.(例如控制权限.
分析:
=====
您说到的这些情况,windows域就是设计为这样的.
默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行.
而域管理员是自动加入到了本机的“administrator”组的.
http:
域用户权限设置
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决?
回答:
根据您的描述,我对这个问题的理解是:
普通的域用户的权限问题。
3.安装前先检查用户的组身份,不属于管理员直接拒绝.
由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序.
域用户的提升
'WScript.Echo
'注意下一句中的 HENU-SOFTLAB 它必须与域的NETBIOS名大小写相一致,否则会出错
If oLocalGroup.IsMember("WinNT://HENU-SOFTLAB/Domain Users") Then
这个脚本稍作修改可以将任意的域用户或组加入到本地组中。脚本如下:
'────────────────────────────
'脚本功能:
'将域管理员组加入计算机的本地管理员组
strDomain = erDomain
'设置当前计算机的本地administrators组和域Domain Admins组
'如果需要将其他用户加入其他本地组,可以更改组名或用户名
Set objGroup //" & strComputer & "/Administrators")
wscript.quit
end if
Set unNamedArguments = WScript.Arguments.UnNamed
Set objGroupAdm = GetObject("WinNT://" & unNamedArguments.Item(0) & "/Administrators,group")
一、将域用户加入本地power user组
脚本:
Option Explicit
Dim oWshNetwork
Set oWshNetwork = WScript.CreateObject("work")
AD学习笔记
1.一个域内若有多台域控制器的话,便可以拥有下面优势:改善用户登录的效率:若同时有多台域控制器来对客户端提供服务,可以分担用户身份验证(账号与密码)的负担,提高用户登录的效率。
容错功能:若有域控制器故障,此时仍然可以由其他正常的域控制器来继续提供服务,因此对用户的服务并不会停止。
2.AD DS (Active Directory Domain Services)3.全局编目(Glabal Catalog)虽然在域树内的所有域共享一个AD DS数据库,但其数据却分散在各个域内,而每一个域只存储该域本身的数据。
为了让用户、应用程序能够快速找到位于其他域内的资源,因此在AD DS内设计了全局编目(Glabal Catalog)。
一个林内的所有域树共享相同的全局编目。
全局编目的数据存储在域控制器内,这台域控制器可被称为全局编目服务器,它存储着林内所有域的AD DS数据库内的每一个对象,不过只存储对象的部分属性,这些属性都是常用的、用来对对象进行搜索的属性,例如电话号码、登录账户名称等。
全局编目让用户即使不知道对象位于哪一个域内,仍然可以快速地找到所需对象。
用户登录时,全局编目服务器还负责提供该用户所隶属的通用组信息;用户利用UPN登录时,它也负责提供该用户隶属于哪一个域的信息。
第三章域用户与组账户的管理3.1 管理域用户账户域系统管理员可以利用Active Directory管理中心或Active Directory用户和计算机管理控制台来建立与管理域用户账户。
当用户利用域用户账户登录域后,便可以直接连接域内所有成员计算机,访问有权访问的资源。
换句话说,域用户在一台域成员计算机上成功登录后,当他要连接域内的其他成员计算机时,并不需要再登录到被访问的计算机,这个功能被称为单点登录。
本地用户帐户并不具备单点登录的功能,也就是说利用本地用户帐户登录后,当要再连接其他计算机时,需要再次登录到被访问的计算机。
百度:组织单位和域的相同点和不同点相同点:组织单位和域都是一种容器。
让域用户直接开机登录到域
实验的目的及缘由:在公司中一般都是使用AD,用户都用自己的账号或者公共账号登陆到域中。
有些出差过来就不记得那些账号密码,同时又要在域中使用部分系统。
所以就要将电脑设置为以域用户自动登陆到域中。
很简单修改一下注册表:进注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlog on将AutoAdminLogon值改为1将DefaultUserName改为你想让某用户自动登录的帐号将DefaultPassword值改为该帐号的密码。
重启电脑即可如果没有以上的值,由自己创建即可,全部都是“字符串值”有人说既然自动登陆的域中,就违反了域的安全性,造成一定的危险性但也没有办法,电脑是为人服务的!实验的配置步骤:第一步:进入注册表的以下位置:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Wi nlogon 具体如下图所示:第二步:将AutoAdminLogon值改为1 。
具体如下图所示:第三步:将DefaultUserName改为你想让某用户自动登录的帐号。
具体如下图所示:第四步:将DefaultPassword值改为该帐号的密码。
具体如下图所示:第五步:重启计算机,具体如下图所示:第六步:这是重启后的一个画面,由于重启速度很快,所以有许多过程的图片无法抓到,只能抓到部分的图片。
具体如下:第七步:如下图所示,重启后就自动进入系统了而且用我们之前设置的域用户帐户u1登录的,且不需要输入密码。
下图是登录后的画面截图:实验总结:在本实验中我们主要设置让域中用户自动登录到域中,如果用户想登录到本地,则他注销一下,然后切换本地用户帐号登录就可以了。
另外当我们设置好后,重启到启动的整个过程速度很快,同时不需要输入密码。
如何禁止域用户登录到本机
如何禁止域用户登录到本机关于如何禁止域用户登录到本机的问题,在网上找到很多资料,发现内容雷同,都是复制粘贴过来的,具体内容如下:1、用策略禁止本地登陆。
可以建立一个ou,然后将需要控制的计算机账户放置其中,然后在此ou上设置策略,在计算机安全策略中直接指定某个用户或用户组,禁止本地登陆。
但默认的管理员不能被禁止;解决方法:将该管理员帐户禁用即可;2、限制本地群组。
通常来说,最好的做法就是这个方法。
可以手动删除所有本地账户(内置的账户常规方法是不能删除的);然后清理本地管理员群组中的账户,至少保留内置系统管理员及Domain admins;最后统一修改本地管理员账户密码。
这样用户没有本地账户,就只能登陆到域。
当然这个方法不适合大规模部署,那么可以通过策略的方式限制允许本地登陆的账户或群组,也可以限制本地群组中的账户;3、修改注册表自动登陆。
具体的参数修改情参考/kb/315231/zh-cn,不过记得用户名要用username@ 的格式啊。
这种做法呢,只是表面上的解决;) 1)用户登陆或者注销的时候按住shift键就可以使用其他账户了。
2)任何能接触计算机的人都可以登陆了,不安全。
所以这种方法不推荐。
4、屏蔽登陆对话框中本地登录选项。
Windows Registry Editor Version 5.00REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V NoDomainUI /T REG_DWORD /D 1 /F前三点经过实验,能够成功,但在尝试第四点时,发现:第四点中的修改注册表项其实是屏蔽登录对话框中的域登录选项的;感想:在网上找到资料后,自己一定要再做下实验,这样才能进行验证,同时自己掌握的更加牢固;。
更新域的方法
更新域的方法更新域的方法如今,随着互联网的迅速发展,网站已成为人们获取信息、交流分享的重要渠道。
对于任何一个网站的运营者来说,优化网站是至关重要的,而更新域名也是一种很好的方式。
今天,本文就来为大家介绍一下更新域的方法。
一、确定更新域的必要性在更新域之前,我们需要确定更新域的必要性。
一般来说,更新域可以解决以下问题:1. 原先的域名被封或者被K了,需要更换新的域名;2. 原域名的权重低;3. 原域名的品牌效应差;如果出现以上情况,就需要更新域名了。
二、找到合适的域名找到合适的域名是更新域名的首要步骤。
一般来说,域名的选择需要满足以下几个条件:1. 与网站的主题相关;2. 短小精悍,容易记忆;3. 有潜在的品牌价值;4. 避免使用敏感词汇和有版权的名词。
一旦找到了合适的域名,就可以开始更新域名了。
三、备份数据在进行更新域名的操作前一定要把网站上的所有数据备份好,防止因为不可预知的意外使数据被损失,建议可以选择在云上存储备份,这样即使本地出了什么问题,也可以方便地进行还原。
四、更新域名1. 修改DNS域名解析在更新域名时,需要将原来的IP地址对应的原有域名,修改为新域名对应的IP地址。
2. 更新网站链接在域名更新后,需要更新网站上的所有链接,包括网站的内部链接、外部链接、友情链接等,确保链接全部更新完毕,有利于搜索引擎的收录。
3. 更新社交账号如果网站有关联的社交账号,需要把社交账号里的链接也全部更新为新域名的链接,这样不仅有助于品牌声誉的提升,同时也能够提高网站的流量。
五、建立301重定向虽然我们已经将所有链接全部更新到新的域名上,但搜索引擎还是可能会继续收录原有域名的链接,造成页面的浪费和收录的异味,可以通过建立301重定向将原有域名的链接重定向到新的域名上,在一段时间后,搜索引擎就会逐渐更新网站的索引。
六、提交更新域名的申请在更新域名完成后,需要及时提交搜索引擎更新申请,这样可以帮助搜索引擎更快地发现并更新网站的更新信息,提高更新后网站的访问量。
客户端加入域的方法
客户端加入域的方法
将客户端加入域的步骤如下:
1)安装客户端操作系统:在每台想要加入域的客户机上安装Windows操作系统,这种操作系统要和服务器端操作系统完全一致;
2)客户端安装和配置TCP/IP协议:客户端需要将TCP/IP协议安装在每台机器上(安装在操作系统上),同时配置以太网卡的IP地址、子网掩码、默认网关,使它们能够和服务器通讯;
3)给客户端机器设置域名:客户端需要在域控制器上为每台机器设置一个唯一的域名,确保客户端机器上的域名和服务器端的域名相同,这样就能够保证客户端机器和服务器端机器能够对应它们的正确IP地址;
5)安装和设置客户端软件:客户端机器加入域以后,就可以安装和设置客户端软件,比如文件服务软件以及其他需要和服务器的软件,使客户端能够正常访问和获取文件数据;
6)为客户端创建帐户:在客户端机器加入域以后。
网络安全管理员中级工模拟习题+答案
网络安全管理员中级工模拟习题+答案一、单选题(共40题,每题1分,共40分)1、通过防火墙或交换机防止病毒攻击端口,下列不应该关闭的端口是A、1433B、445C、22D、135正确答案:C2、使用PGP安全邮件系统,不能保证发送信息的( )A、免抵赖性B、真实性C、私密性D、完整性正确答案:B3、以下( )不是应用层防火墙的特点A、比较容易进行审计B、工作在OSI模型的第七层C、速度快且对用户透明D、更有效地阻止应用层攻击正确答案:C4、以下哪项要求是信息系统安全保护等级第二级的物理位置选择要求( )。
A、机房场地应当避开易发生火灾水灾,易遭受雷击的地区B、机房场地应当避开强电场、强磁场、强震动源、强噪声源、重度环境污染地区C、机房场地应避免设在建筑物的高层或地下室,以及用水设备的下层或隔壁D、机房和办公场地应选择在具有防震,防风和防雨等能力的建筑内正确答案:D5、基本要求包括( )类?A、12B、13C、11D、10正确答案:D6、DES算法属于加密技术中的( )。
A、对称加密B、不对称加密C、不可逆加密D、以上都是正确答案:A7、下列那类设备可以实时监控网络数据流?( )A、基于网络的IDSB、基于主机的IDSC、基于应用的IDSD、基于防火墙的IDS正确答案:A8、安装Windows 2008时,系统文件会被默认安装在( )目录内。
A、C:\Winnt32B、C:\I386C、C:\WintD、C:\Windows正确答案:D9、根据《广西电网有限责任公司核心/汇聚交换机作业指导书(2014年)》,交换机系统升级的工作步骤是:(1)打开交换机的电源通过con口连到交换机;(2)然后进入( ),选择ftp的方式进行升级;(3)输入预先准备的升级文件及ftp服务器地址;(4)升级完成后,重启交换机。
A、LinuxB、FlashromC、bootromD、Windows正确答案:C10、仅设立防火墙系统,而没有( )防火墙就形同虚设。
计算机加域步骤
计算机加域步骤
嘿,朋友们!今天咱来聊聊计算机加域的那些事儿。
你想想看啊,计算机就像一个小世界,而加域呢,就像是给这个小
世界找到了一个更大的组织,能让它更好地运转和发挥作用。
首先呢,你得找到那个能开启加域大门的钥匙,也就是要确保你的
计算机和域控制器能正常通信。
这就好比你要去一个新地方,得先找
到路才行呀!
然后呢,在计算机的系统设置里一顿操作,找到加域的选项。
这时
候可别手抖选错啦,不然就像走错路一样麻烦呢!输入正确的域名,
就像输入正确的目的地一样重要。
接下来,系统可能会让你验证身份,这就像是进一个重要场所要出
示证件一样。
可不能马虎哦,得准确无误地输入账号和密码。
再然后,就等着计算机和域进行一番“亲密交流”啦。
这过程就好像
两个人在互相了解、磨合。
等啊等,要是一切顺利,嘿,恭喜你,你的计算机就成功加入域啦!就像是一个人成功融入了一个新集体,从此有了更多的资源和支持。
你说这加域是不是挺有意思的?就跟我们生活中加入一个新团队或
者新组织差不多。
得找对路,得有身份验证,还得和大家好好磨合。
加域之后呢,你的计算机就能享受到更多的好处啦。
比如可以统一管理啦,可以共享更多的资源啦,就像在一个大家庭里,大家互相帮助,共同进步。
所以啊,别小看这计算机加域的步骤,每一步都很关键呢!要是哪一步出了差错,那可就麻烦咯!就像盖房子,一块砖没放好,可能整座房子都不稳固呢。
朋友们,好好对待计算机加域这件事儿吧,让你的计算机在域的大家庭里茁壮成长,为你更好地服务呀!这就是计算机加域的那些有趣又重要的步骤,你们都记住了吗?。
提升域用户的权限
工作在域模型下"domain users"组的用户,经常会因为没有写入权限等原因造成工作上的不便,应老同事需求具体说下方法,以达到自己动手,丰衣足食的目的。
要达到“我的电脑我做主”只要提升帐户在本地计算机上的权限就好了,"domain users"组的用户默认在本地用户组的"users"里,本地用户组"administrators"里默认只有"administrator"和"domain admins",我们现在的任务就是强行更改本地计算机管理员帐户的密码,或新建一个本地计算机帐户然后将其提升为本地计算机管理员权限。
实际环境很可能没有光驱之类,所以ERD COMMANDER之类在此不做介绍。
赤手空拳夺权限现在开始,实验环境:DC使用windows server 2003 R2,client 使用windows xp sp2,用户现使用普通的域用户帐户登录客户端,且本地帐户不可用。
运行gpedit.msc打开组策略,然后依次打开“计算机配置”--“windows设置”--“脚本(启动/关机)”,打开“启动”属性,添加脚本"run.bat",单击“显示文件”弹出目录为"C:\WINDOWS\System32\GroupPolicy\Machine\Scripts\Startup"的窗口,在此目录下新建一个批处理"run.bat",内容为:"net user administrator 123"或"net user cisco 123 /addnet localgroup administrators cisco /add",最后在“启动”属性窗口点确定,退出组策略,重启。
好了,你现在可以用管理员身份登录本地计算机,如果刚你新建的run.bat里是"net user administrator 123",也就是说强行修改administrator的密码为123,此时用administrator帐户,密码为123,登录本机,看清楚一定是本机,别登录域,我们只能修改本地计算机上的帐户,域上的可不行。
局域网 加域设置
加域步骤:
1. 右击“我的电脑”点击“属性”,打开“计算机名称更改”点击更改,将自己的计算机名改为其固定资产编号,如“WSNJ-561”,固定资产编号在机箱上方标签上可以查找到,修改完成后需要重新启动电脑,(此步必须要执行)如下图所示:
2.打开本地连接(右击网上领居,双击本地连接),将TCP/IP协议中的DNS修改为172.17.194.2,如下图所示
右击“我的电脑”点击“属性”,打开“计算机名称更改”点击更改,点击隶属于域,在这里输入“”,点击确定
这时,加入域需要验证,在这里输入用户名和密码,(使用用户ad,密码1234Good)
加入域后的欢迎界面
重新启动电脑
用户:ad
密码:1234Good
重启电脑后,使用管理员进入本地用户界面下,右击我的电脑,点击管理
点击“系统工具-本地用户和组-组”,双击选择“administrators”
点击添加,在弹出的界面里输入你的用户名,点击确定,
此时同样需要进行用户确认,还是输入用户ad和密码1234Good,完成本地权限的添加。
4.注销本地用户,在登陆时,注意使用域用户登陆到njvance 域中,记得第一次登陆后要修改密码。
用户:ad
密码:1234Good。
Domain、 域、站点、身份验证、 windows访问控制的目的
1、请解释Domain是什么?域是在Windows 2000 网络中复制和安全性的基本单元。
在网络中创建初始域控制器的同时也就创建了域,不可能创建没有一个域控制器的域。
目录中的每个域都按DNS 域名标识。
可以使用活动目录域和信任工具来管理域。
2、域可以实现的管理目标有哪些?使用域可以实现以下网络管理目标。
1 界定安全区域。
Windows 2000 域可定义安全界限。
安全策略和设置(如管理权和访问控制列表)不会从一个域跨至另一个域。
活动目录可能包括一个或多个域,每个域都有其自己的安全策略。
2 复制信息。
域是Windows 2000 目录分区(又称命名环境)。
这些目录分区就是复制的单元。
每个域只存储位于该域中的对象的相关信息。
域的所有域控制器均可接收对对象的更改情况,并可将这些更改复制到该域的其他所有域控制器中。
3 应用组策略。
域为策略定义了一个可能的范围(组策略设置也可应用于各组织单元或站点)。
针对域应用组策略对象(GPO)会建立配置和使用域资源所需的方法。
例如,可以使用组策略控制桌面设置,如桌面锁闭和应用程序部署。
这些策略只应用于该域,而不会跨域使用。
4 设计网络结构。
既然一个活动目录域就可以横跨多个站点,且能够包含数百万个对象,大多数公司不需要再单独创建域来反映公司的分支机构和部门。
但是,有些单位的确需要不止一个域才能满足要求,例如,那些独立的或完全自治的业务部门可能不希望让部门外的任何人对其对象拥有权限。
这样的单位可以创建更多的域,并将这些域组织成一个活动目录的目录林。
此外,如果网络的两部分由一个链路分开,且链接速度之慢使得根本没法通过该链路来完成复制通信,这时也可将网络分成独立的域。
5 委派管理权限。
在运行Windows 2000 的网络中,可将单个组织单元和独立域的管理权限彻底委派给别人,这样即可减少需要具有较高管理权限的管理员的数量。
因为域是一个安全界限,所以默认情况下,对域的管理权限受域的限制。
设定特定域用户或者组无限次数将计算机加入域
设定特定域用户或者组无限次数将计算机加入域
默认情况下域内的认证的用户(默认情况下就是域内的成员)都有权限将一台客户端加入到域的,但是默认情况下普通的user只有10次机会将客户端计算机加入到域,一个帐户超过10次再尝试将客户端计算机加入域时,就会报错(是domain admins不受此限制)
对于加入域账户的使用次数的修改您可以用下面的步骤:
1.安装Windows Server 2000/2003 Support Tools.您可系统的安装光盘:/support/tools/suptools.ms i进行安装;
2.在开始运行中键入"adsiedit.msc";
3.展开domain,找到dc=XXX,DC=XXX;
4.右键属性,找到ms-DS-MachineAccountQuota条目
5.双击修改值
如果您只希望域中的某些用户有多次添加客户端计算机到域的权限,可以通过下面的步骤:
1.开始,运行键入"Adsiedit.msc" 回车
2.展开domain,找到DC=domain,cn=computers
3.右键属性,找到"安全"选项,"高级"
4.点击"添加",然后选择,您希望授权的user或者group
5.选中该用户,编辑,在"应用到"选择"计算机对象"
6.在"computers的权限项目"中将"写入全部属性""重设密码"勾选,确定退出。
【最新精选】域用户无法登录域故障处理(ad问题)
系统故障记录1. 故障记录日期:2010-01-142. 主机名及IP:FS03(192.168.2.246)3. 主机系统及应用:DC、FileServer4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服务无法启动。
错误状态:0xc00002e1."5. 检查过程及解决步骤:原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。
解决方案1:准备进入目录还原模式,修复Active Directory数据库。
备注:由于系统安装时间比较已久,还原密码未知,解决方案2:升级其他BDC为PDC,解决用户登陆问题。
备注:现已将FSBDC升级为PDC,用户已可正常登陆。
步骤1:用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。
使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
ntdsutilRolesConnectionsconnect to server FSBDCqseize domain naming masterseize infrastructure masterseize PDCseize RID masterseize schema masterq步骤2:升级FSBDC为GC在管理工具中,打开“Active Directory站点和服务”点击“Sites-Foshan-Servers-FSBDC-NTDS Settings"右键点击选择属性,选中“全局编目”[此帖子已被 ekin.liu 在 2010-01-14 20:13:56 编辑过]当前状态为[已登记]ekin.liu2010-01-14 20:18:51 其他问题:在升级GC的时候,碰到一个问题,因原有的域信息没有完全清除,需要要清除后GC才能升级成功。
域用户及组账户的管理
域用户及组账户的管理域系统管理员需要为每一个用户分别建立一个用户账户,让用户可以利用这个账户来登录域、访问网络上的资源。
系统管理员同时也需要了解如何巧用组,以便有效的管理资源的访问。
本章的主要内容包括:》域用户账户》一次同时添加多个用户账户》域组账户》提升域功能级别》组的使用准则3.1域用户账户作为域系统管理员,可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。
当用户利用域用户账户登录域后,便可以直接连接域内的所有计算机、访问资源。
换句话说,域用户在域内的一台计算机上登录成功后,当他们要连接域内的其他计算机时,并不需要再次登录到其他计算机上。
这个只需要登录一次的功能,被制为“单一登录”(single sign-on )”。
本机用户账户并不具备“单一登录和”的功能,也就是说利用本机用户账户登录后,当要连接其他计算机时,必须再次登录。
非域控制器的Wdindows Server2003、Windows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具,不过,可以通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具,也就是运行位于Windows Server 2003安装光盘中的I386文件夹内的ADMINPAD.MSI程序。
3.1.1组织单位组织单位内可以容纳其他的对象,如用户账户、组账户、计算机账户等,以便更容易的管理资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境。
你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。
应设置有意义的组织单位名称,如”业务部“、”研发部“等,而且不要经常改变名称。
域的应用及功能简介
加强安全性-目录数据自身的控制安全性
所有存储在活动目录中的网络资源对象和构成这些对象的属 性值,都受到访问控制列表ACL(Access Control List)的保护, 只有管理员或者拥有管理员授权的用户可以访问。
扩展的互操作性
利用现有的投资并确保灵活性 加强对多重应用程序目录的管理 允许组织机构开发并部署具备目录功能的应用程序
域的概念及相关作用
打个比方,如果说工作组是“免费的旅店”那么域(Domain) 就是“星级的宾馆”;工作组可以随便出出进进,而域则需 要严格控制。 域是Windows 2000目录服务的基本管理单位,但增加了许多 新的功能。域模式的最大优点是它的单一网络登录功能,任 何用户只要在域内有一个账户,就可以漫游网络。域目录树 中的每一个节点都有自己的安全边界,这种层次结构既保证 了安全性,又可精确设置。 域的真正含义指的是服务器控制网络上的计算机能否加入的 计算机组合。 在“域”模式下,至少有一台服务器负责每一台联入网络的 电脑和用户的验证工作,相当于一个单位的门卫一样,称为 “域控制器(Domain Controller,简写为DC)”
域的概念及相关作用
域控制器的作用相当一个门卫,它包含了由这个域的账户密 码、管理策略等信息构成的数据库。当一台计算机登录域时, 域控制器首先要鉴别这台电脑是否是属于这个域的,用户使 用的登录账号和密码是否正确。如果正确则允许计算机登入 这个域,使用该域内其有权限访问的任何资源,像文件服务 器,打印服务器(也就是说域控制器仅起到一个验证作用, 访问其他资源并不需要再跟域控制器扯上关系);如果不正 确则不允许计算机登入,这时计算机将无法访问域内任何资 源,这在一定程度上保护了企业网络资源。
加快域名解析的方法
加快域名解析的方法域名解析是将域名转换为对应的IP地址的过程,是实现互联网通信的基础。
域名解析的速度直接影响到网站的访问速度和用户体验。
为了提升域名解析的速度,可以采取以下方法:1. 使用高效的DNS服务器:DNS服务器是进行域名解析的关键设备,选择一个高效稳定的DNS服务器可以显著提升域名解析速度。
可以通过网络搜索或咨询运营商获取可靠的DNS服务器地址,然后在系统设置或路由器中进行配置。
2. 增加本地DNS缓存:域名解析会将解析结果保存在本地的DNS 缓存中,下次再次访问相同的域名时可以直接从缓存中获取,而不需要再进行解析。
可以通过增加本地DNS缓存的大小,减少域名解析的次数,从而加快解析速度。
3. 减少域名解析的次数:每次访问一个新的域名都会进行一次解析,解析的过程通常需要几十毫秒甚至更长时间。
为了减少域名解析的次数,可以将常访问的域名的IP地址直接写入本地的hosts文件中,这样在访问时就不需要进行解析了。
4. 使用CDN加速:CDN(内容分发网络)可以将网站的静态资源缓存到离用户最近的节点上,从而实现就近访问,减少网络延迟。
通过将域名解析到CDN服务商提供的节点IP地址,可以加速域名解析和网站访问。
5. 优化域名解析的配置:域名解析的配置可以影响解析速度,需要合理设置TTL(Time To Live)值。
TTL值是DNS缓存数据的生命周期,设置较小的TTL值可以使缓存数据更快地过期,从而在域名解析需要更新时能够更快地获取到最新的解析结果。
6. 使用IPv6解析:IPv6是下一代互联网协议,与IPv4相比具有更大的地址空间和更高的传输效率。
使用IPv6解析可以减少解析时间和网络延迟,提升域名解析的速度。
7. 避免使用过多的第三方域名:网页中使用大量的第三方域名(如广告、统计代码等)会增加域名解析的次数和时间。
合理使用第三方域名,减少域名解析的次数,可以提升网页加载速度。
8. 合理设置域名服务器:域名服务器的选择和配置也会影响域名解析的速度。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
[windows server 2008 站点系列三]使用站点提升域用户登陆域
的速度
在《AD的站点建立与子网的管理》一文中为大家介绍了站点和子网在AD中的作用。
再进一步说,如果大家可以合理的使用站点来管理和维护AD的话,是可以提升AD的整体运作效率的(包括服务器之间的复制、域用户登陆域及查询AD等)。
这一次咱们就来谈一下如何使用站点来提升域用户登陆域的速度。
老规矩:咱们边练边说。
首先在服务器上打开“AD站点和服务”工具,前面咱们已经提到过如何设置站点和子网了。
咱们知道当客户端需要找一台域控制器去登陆的话,默认情况下是随便找一台去登陆的。
如果咱们有过站点设置的话,那就不一样了。
因为我们在站点设置中会有子网,假设客户端发觉它属于下图中
192.168.88.0/24这个子网的话,(1、我们右击这个子网,并查看属性。
可以看到192.168.88.0/24这个子网是属于广州这个站点。
2、我们展开广州这个站点可以看到两台域控制器)它就会去guangzhou这个站点去找域控器做登陆的动作。
(通过这样的设定就是为了避免客户端的用户在登陆的时候因运气不好,随机选择了去一些具体它比较远的域控制器登陆做登陆的动作,而出现登陆域速度慢的状况。
)
写到这里,突然有业内人士在心里嘀咕,客户端登陆域不是通过查询DNS来实现的吗?关站点什么事啊!
您说对了哦^_^。
通过下面一段您的AD神功会再提升一个层次哦。
如您所说,我们打开“DNS管理器”,来看一下DNS的设置。
如果您没有任何站点的设置的话,您的用户从客户端登陆域的时候会从您的DNS域中的_tcp里的ldap 记录来找到域控制器(ldap所开放的389端口是帮助用户找到域控制器上的活动目录服务应用程序的)做登陆的。
大家可以通过下图看到有4条ldap的记录,分别对应四台域控制器(在默认状态下:1、没有做过站点设置2、没有做过DNS中SRV记录的设置。
此时用户在客户端登陆域时就会随机的去联系一台DC,所以用户右很大的几率出现运气差而选择一台较远的或者情况较差的DC登陆。
如此一来,用户登陆域的速度就大大降低了。
)
但是如果有站点的话呢,用户在客户端登陆时就会多两个选择。
在当前域下还会有一个叫做“_sites”的节点,在这个节点下可以看到4个子域的名称分别是:默认站点、广州、上海和西安(这四个实际上就是我们在站点中所设置的那四个站点,所以每当我们设置了站点的话,在DNS中就会出现这样的子域)。
如下图所示,属于192.168.88.0/24这个子网(属于广州站点)的客户端可以通过DNS的查询在这个子域下找到两条ldap的SRV记录。
通过两条记录客户端就知道,哦,原来通过这两台机器可以帮助我连到我所属的站点中,就不会找到别的站点的。
有了站点的设置,除了在域下的“_sites”子域中可以帮助客户端找到自己所属站点的域控制器的ldap 的SRV记录外,还有另一个地方,可以帮助微软的客户端登陆域。
如果你的客户端是微软的客户端的话,在“DNS管理器”中还有一个名为“_msdcs.您的域名”的域。
在这个域下有个名为“dc”的子域,它的下面也有个“_sites”的子域,同样的这里面也有刚刚那四个站点的子域在。
我们可以找到我们要的站点,比如“guangzhou”下的“_tcp”也可以找到这个ldap的SRV资源记录。
那为什么你的站点的域控制器的ldap的记录会记录到这里呢?答案就在你身上,完全是因为你在设置站点的时候,你把域控制器搬移到了这个站点中去,那么在下次注册DNS资料的时候,就会将这些设置注册到DNS的域中,所以客户端在找的时候就可以通过DNS找到比较靠近自己的域控制器。
以下图中所示ldap记录为例,在广州这个站点中有两台域控制器可以帮助客户端登陆域。
通常情况下您的域控制器的硬件配置不见得一定相同。
所以,我们也可以通过设置ldap记录的优先级和权重来帮助用户来选择一台硬件配置较好处理效率较高的域控制器做登陆。
(当出现在一个站点中有多台域控制器供我们选择的时候,客户端会选择优先级较高的那台,优先级是数字比较小的优先;如果优先顺序一样,那么就会看后面的权重。
在优先级一样的情况下,权重大的优先选择。
)
总结:
如果您的AD环境中域控制器不是很多的话您可以不用理会站点的设置;
如果您的AD环境中域控制器有横跨两个以上地区的话,您就可以通过设置站点和子网来加快用户通过客户端登陆域的速度。