管理域用户加域权限

域知识深⼊学习三：域⽤户与组账户的管理3.1 管理域⽤户账户域⽤户单点登录的概念第⼀台域控的本地账户会被存到AD DS数据库的Users容器内，同时这台计算机会被放到组织单位Domain Controller 其他加⼊域的计算机末⽇呢会放到Computer容器3.1.1 创建组织单位与域⽤户账户组织单位，防⽌意外删除选项域⽤户的密码默认需要⾄少七个字符，还⾄少包含⼤写字母，⼩写字母，数字，⾮数字字母等4组字符中的三组。

3.1.2 ⽤户登录账户域⽤户有两种账户名登录1 ⽤户UPN登录 mary@sayms.local2 ⽤户SamAccountName登录 sayms\mary普通域⽤户默认是⽆法登录域控的UPN不会随着账户被移动到其他域⽽改变3.1.3 创建UPN后缀可以在 Windows 管理⼯具 - Active Directory域和信任关系中添加其他UPN后缀3.1.4 账户的常规管理⼯作新建⽤户账户后，系统会建⽴⼀个唯⼀的安全标识符SID，权限设置都是通过SID记录3.1.5 域⽤户账户的属性设置1 组织信息的设置2 账户过期的设置默认是从不过期3 登录时间的设置默认是任何时段都可以登录4 限制⽤户只能通过某些计算机登录默认是普通域⽤户可以登录任何⼀台域成员计算机3.1.6 搜索⽤户账户除了在域内搜索外，还可以指定在全局编录搜索整个林的对象在没有安装Active Directory管理中⼼的成员服务器上也可以搜索，⽐如win10⽂件资源管理器 - ⽹络 - 搜索Active Directory3.1.7 域控制器之间数据的复制查看当前所连接的其他域控制器Active Directory管理中⼼ - 更改域控制器3.2 ⼀次同时新建多个⽤户账户需要指明⽤户的存储路径DN需要指定类型需要包含⽤户SamAccountName登录账户应该包含⽤户UPN登录账户可以包含其他⽤户信息⽆法设置密码由于建⽴的⽤户都没有密码，最好禁⽤账户3.2.1 利⽤csvde.exe来新建⽤户账户可以⽤来新建账户或其他类型的对象，事先将数据输⼊到纯⽂本⽂件，然后⼀次导⼊到AD DS数据库csvde -i -f c:\test\users1.txt514 表⽰禁⽤，512表⽰启⽤3.2.2 利⽤ldifde.exe来新建，修改与删除⽤户账户可以新建，删除，修改可以指定导⼊到指定域ldifde -s dc1.sayms.local -i -f c:\test\users2.txt3.2.3 利⽤dsadd.exe等程序添加，修改与删除⽤户账户dsadd.exe 新建dsmod.exe 修改dsrm.exe 删除这⾥需要建⽴批处理⽂件⾥⾯会有明⽂密码3.3 域组账户组账户也有唯⼀的安全标识符（security identifier SID）3.3.1 域内的组类型安全组 security group 可以被⽤来分配权限，例如指定安全组对⽂件具备读取的权限，也可以⽤在和安全⽆关的⼯作上发布组 distribution group 被⽤在与安全（权限设置）⽆关的⼯作上3.3.2 组的作⽤域组的范围1 本地域组 domain local group主要是被⽤来分配对其所属域内资源的访问权限2 全局组 global group主要是⽤来组织多个即将被赋予相同权限的⽤户3 通⽤组 universal group可以在所有域内被设置访问权限，以便访问所有域内的资源3.3.3 域组的创建与管理1 组的新建，删除，重命名2 添加组的成员3.3.4 AD DS内置的组1 内置的本地域组Account Operators默认可以在普通容器和组织单位内新建/删除/修改⽤户，组，计算机Administrators对所有域控有最⼤控制权，包含Administrator，全局组Domain Admins 通⽤组 Enterprise AdminsBackup Operators可以通过Windows Server Backup⼯具备份和还原域控内的⽂件，也可以将域控关机Guests默认为Guest和全局组Domain GuestsNetwork Configuration Operators可在域控执⾏常规⽹络配置⼯作，例如改ipPerformance Monitor Users可监控域控的⼯作性能Pre-Windows 2000 Compatible Access可读取AD DS域内所有⽤户和组账户，默认成员为特殊组Authenticated UsersPrint Operators可以管理域控上的打印机，也可以将域控关机Remote Desktop UsersServer Operators可以备份或还原域控内的⽂件，锁定与解锁域控，格式化域控硬盘，更改域控时间，将域控关机Users只有基本权限，例如执⾏应⽤程序，默认成员为全局组Domain Users2 内置的全局组内置的全局组本⾝没有权限，可以将其加⼊到具备权限的本地域组或另外分配权限，这些内置全局组位于Users容器内Domain Admins域成员计算机会⾃动将此组加⼊其本地组Administrators内Domain ComputersDomain ControllerDomain Users域成员计算机会⾃动将此组加⼊其本地组Users内Domain Guests3 内置的通⽤组Enterprise Admins只存在于林根域，有权管理林内所有域Schema Admins只存在于林根域，具备管理架构的权限3.3.5 特殊组账户Everyone任何⽤户都属于这个组Authenticated Users任何利⽤有效⽤户账户登录此计算机的⽤户Interactive任何在本地登录的⽤户⾼Network任何通过⽹络登录的⽤户Anonymous Logon任何未利⽤有效普通⽤户账户登录的⽤户Dialup任何eying拨接⽅式连接的⽤户3.4 组的使⽤原则A user AccountG Global groupDL Domain Local groupU Universal groupP Permission3.4.1 A G DL P原则3.4.2 A G G DL P原则3.4.3 A G U DL P原则3.4.4 A G G U DL P原则。

实验三域用户账户的管理1、查看了解“Active Directory 用户和计算机”窗口内的容器及其成员。

①Builtin容器：部分内置的组账户；放内置的安全的本地域组；类型：安全组-本地域；由管理员手动创建的组不能放里面。

②Computers容器：域里面包含的计算机账户；管理员手动创建的计算机账户放里面。

③Users容器：包含内置的两个用户账户和管理员手动创建的域的用户账户。

类型：用户、非内置的安全组-本地域、安全组-全局、安全组-通用。

④Domain Controllers容器（域控制器DC）：存放的域里的域控制器账户。

2、创建域用户账户；①域管理员在域控制器上创建用户user1：Users容器右击-新建用户②设置密码。

注意用户名的命名规则和密码的使用规则，2008 Server 系统的密码策略要求用户密码长度不能低于7个字符，密码复杂性要求大小写英文字母+0----9数字+一些特殊字符。

打开“管理工具”/组策略管理，可以查看自己域的默认安全策略。

3、设置域用户账户属性（用户登录时间；用户登录地点；账户禁用；重设用户密码等等）域管理员在域控制器上设置域用户账户属性：用户user1右击属性-重置密码或禁用账户若登录密码过期则显示：重新设置密码：域管理员在域控制器上打开AD管理中心可以设置用户登录时间和用户登录地点4、用户漫游配置文件；①域管理员在域控制器上C盘-新建文件夹-属性-高级共享-共享此文件夹②设置共享权限：Everyone组完全控制③设置用户user1的配置文件路径：验证1：①用户user1在域的客户机上第一次登录②用户user1在域的客户机上新建文件夹user1和文本文件user1③用户user1注销后环境配置文件才能保存④回到WIN-AD，share文件夹里user1.V2里面保存的就是user1的环境配置文件。

⑤用户的环境配置文件只有自己能够控制，包括管理员在内的其他用户都不能访问。

简介普通用户加入域后默认是在Domain Users 组里，该组中用户具有将10台计算机加入域的权限，在一些安全要求极高的企业是绝对不允许的，存在较高的风险，所以需要禁止普通domain users 组中用户加域权限；但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域，但是不能将超管的密码外泄所以需要专门用来加域的用户；Windows server 2003 禁用普通domain users组的加域权限（管理员账号不受此限制）1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台，在控制台中添加adsiedit（如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI）2. 打开后依次展开图中指示，右击dc=accp,dc=com选择属性，找到ms-DC-MachineAccountQuota，其默认值为10，将此值改为0，并单击OK；Windows server 2008 禁用普通domain users组的加域权限（管理员账号不受此限制）1. 使用管理员的账号登陆域控制器，开始>管理工具>ADSIEdit；3. 右键ADSI编辑器，点击连接到，保持默认点击确定；4. 在DC=benet,DC=com处右击属性（域级别），选择ms-DS-MachineAccountQuota属性，双击，修改其值为0，并单击ＯＫ；微软指南1. 微软帮助文档：/kb/243327/zh-cnWindows server 2003授权特定普通域用户将计算机加入域1. 打开AD管理工具，选择（域级别），右击属性，选择委派控制2. 点击下一步，添加需要提升为具有将计算机加入域的账号（普通域账号账号）3. 在委派页面选择将计算机加如到域，并单击下一步，完成4. 在下面的页面，单击确定退出就完成了对普通用户的权限提升。

域用户及组账户的管理域系统管理员需要为每一个用户分别建立一个用户账户，让用户可以利用这个账户来登录域、访问网络上的资源。

系统管理员同时也需要了解如何巧用组，以便有效的管理资源的访问。

本章的主要内容包括：》域用户账户》一次同时添加多个用户账户》域组账户》提升域功能级别》组的使用准则３.１域用户账户作为域系统管理员，可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。

当用户利用域用户账户登录域后，便可以直接连接域内的所有计算机、访问资源。

换句话说，域用户在域内的一台计算机上登录成功后，当他们要连接域内的其他计算机时，并不需要再次登录到其他计算机上。

这个只需要登录一次的功能，被制为“单一登录”（single sign-on ）”。

本机用户账户并不具备“单一登录和”的功能，也就是说利用本机用户账户登录后，当要连接其他计算机时，必须再次登录。

非域控制器的Wdindows Server2003、Ｗindows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具，不过，可以通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具，也就是运行位于Windows Server 2003安装光盘中的Ｉ386文件夹内的ADMINPAD.MSI程序。

３.１.１组织单位组织单位内可以容纳其他的对象，如用户账户、组账户、计算机账户等，以便更容易的管理资源，并可以通过组策略来集中管理域的用户工作环境与计算机环境。

你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。

应设置有意义的组织单位名称，如”业务部“、”研发部“等，而且不要经常改变名称。

针对Windows Server2003给域账户设置管理员权限【也适用XP】针对袁绪军写的【如何加入域】第5步，在server中没找到用户账户，故用一下步骤取代1、如图，在【我的电脑】上右键，点击【管理】2、如图，在弹出的【计算机管理】页面：选中【本地用户和组】->【组】中，在Administrators 上右键，点击【添加到组】3、如图，点击【添加】4、如图，在弹出的对话框中，点击【高级】5、如图，此时会弹出域服务器的验证。

输入域服务器192.168.0.173的用户名和密码。

点击【确定】6、上一步确定后，如图，点击【立即查找】7、找到刚才加入域的用户“XXX”，选中后，点击【确定】8、如图，再次点击【确定】9、如图，再次点击【确定】，至此，给域账户设置管理员权限完毕。

出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。

然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。

诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。

宫中府中，俱为一体；陟罚臧否，不宜异同。

若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。

侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。

将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。

亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。

先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。

侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。

臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。

先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。

客户端操作系统加域操作步骤Windows7 系统加域步骤：第一步: 右击计算机→属性→高级系统设置→计算机名→更改→选择域→输入域名，如下图→第二步: 输入域管理员用户名与密码，如下图→(备注也可以在AD上添加帐户专为客户端加域使用)第三步：重启操作系统后，使用域用户账号登录客户端（备注：此处需要登录的账号必须在AD上先创建域用户账号） 在账号处填写\域用户账号，再输入密码，如下图第四步：查看是否为sh域用户账号登录，如下图→第五步：域用户账号加入到本地管理员组→开始→注销→按Ctrl+Alt+Delete组合键→选择切换用户→点击其他用户，如下图→第六步：本机或域的管理员的用户名与密码→此处选择域管理员用户名和密码→输入\administrator，再输入密码，如下图→第七步：右击计算机→管理→展开本地用户和组→组→双击右边的Administrators组→将域用户账号添加到Administrators组，如下图→第八步：查看域用户帐户是否已经添加到Administrators组，如下图第九步：开始→注销→按Ctrl+Alt+Delete组合键→选择切换用户→点击其他用户→输入\域用户账号，再输入密码→→选择登录到test第十步：数据复制“我的文档、收藏夹、桌面“的复制1. 双击计算机→选择系统盘“C”盘→如下图2. 打开本地用户数据→如下图3. 拷贝本地用户数据里的桌面、我的文档、收藏夹拷→如下图4. 打开将刚才拷贝的数据复制到sh帐户下（这里的sh帐户为域帐户）→跳出一个对话框出来→如下图5. 其他数据（如Office文档等）请参见：附件1.Foxmail客户端导入到Office Outlook操作步骤（Vista&Win7操作系统）附件3.Microsoft Outlook 2003&2007&2010备份与还原操作手册附件4.Cisco VPN客户端和用户信息操作手册附件5.创建网络共享快捷方式（Vista&Win7操作系统）第十一步：除系统盘符外的盘符添加权限1. 打开计算机→选择D盘→右击属性→选择安全图→如下图2. 如下图→第十二步：域用户账号权限删除1. 除去域帐户管理员权限如下图→右击计算机→管理→展开本地用户和组→组→双击右边的Administrators组→将域用户从Administrators组里删除如下图→2. 查看是否已经从Administrators组里去除域帐户的管理员权限如下图→第十三步：整体检查。

域用户本地权限设置文档一、情况说明本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。

在AD上建立域用户的时候，默认是隶属于Domain Uses用户组我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。

但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。

为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法1、通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中，然后通过大通的权限获取机制安装大通windows服务。

2、通过组策略把Domain Users加入到每个客户端的本地administrators组中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。

下一章节就是解决步骤。

二、解决步骤方法1：创建datong.vbs，内容如下：Set ws = WScript.CreateObject ( "WScript.Shell" )compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )在AD中右键点击“域（例如）”——>属性——>组策略“新建”——“组策略名称随便取”——“编辑”计算机配置——windows设置——脚本——启动点击“显示文件”，把datong.vbs拷贝到目录中回到策略界面，点击添加，把datong.vbs加入启动策略。

域学习笔记七：将域⽤户添加到本地管理员组
前⾔：域中的普通⽤户，登录电脑后很多权限是受限的，⽐如不能更改⽹络设置等等。

假如想让域⽤户能对本地做更多的权限操作，可以让它加⼊到本地管理员组。

1.1、使⽤本地管理员账号登录客户端主机sales01。

1.2、在控制⾯板的管理⼯具中，双击打开"计算机管理"。

1.3、在系统⼯具的本地⽤户和组下⾯，点击"组"，双击右边的"Administrators"。

1.4、可以看到，域管理员默认是本地系统管理员。

此时，点击"添加"。

1.5、输⼊"sales01"，点击"检查"。

1.6、输⼊域的管理员账号及密码，点击"确定"。

1.7、点击"确定"。

1.8、最后点击"应⽤"再点击"确定"即可。

1.9、现在使⽤张三的账号登录sales01这台电脑，此时已经拥有了更改⽹络设置等权限。

Windows域控管理说明：1.本文档没有目录，本文档在发布时为pdf文档，有章节书签，可以下载到本地来查看，点击书签进入相应的章节。

2.蓝色的字为配置命令，绿色的字为命令的注释，有时命令太密集时，就不用蓝色标出了。

3.注意：本文档的所有操作请先在在虚拟机里进行实践，请不要直接在真实的服务器中操作！作者：李茂福日期：2019年12月24日Windows域Windows中的域（domain）是一套统一的身份验证系统，是企业应用的基础。

组策略通过用户身份验证和域绑定得比较紧密。

域树：由多个域组成，这些域共享同一个存储结构和配置，形成一个连续的名字空间，有相同的DNS后缀。

域林：由一个或多个没有形成连续名字空间的域树组成，构成域林的各个域树之间没有形成连续的名字空间，没有相同的DNS后缀。

但域林中的所有域树仍共享同一个存储结构、配置和全局目录。

根域：网络中创建的第一个域，一个域林中只能有一个根域（Root Domain）。

DC>get-ADforest//查看根域部署第一台域控制器1.以管理员帐号Administrator登录服务器2.更改计算机名3.设置静态IP4.首选DNS配置为本机IP5.添加角色和功能：打开“服务器管理器”→添加角色和功能→基于角色或基于功能的安装→...→Active Directory域服务→....→安装进度（结果）→点击“将此服务器提升为域控制器→添加新林一般第一台域控制器同时也是“集成区域DNS服务器”>net accounts//查看计算机角色，第一台域控的角色为Primary>net share//查看系统共享卷，以下为安装DC功能后添加的NETLOGON C:\Windows\SYSVOL\sysvol\\SCRIPTS Logon server share SYSVOL C:\Windows\SYSVOL\sysvol Logon server shareFSMO操作主机角色Flexible Single Master Operation>netdom query fsmo//查看5种操作主机角色所在的域控制器1.架构主机Schema Master域林中只有一个架构主机，作用是定义所有域的对象属性（定义数据库字段及存储方式）2.域命名主机Domain Naming Master域林中只有一个域命名主机，负责控制域林内域的添加或删除3.PDC主机PDC Emulator Master每个域中只有一个PDC主机，作用：兼容低版本的DCPDC主机角色所在的DC优先成为主域浏览器，用>net accounts查看的那个Primary 活动目录数据库的优先复制权时间同步防止重复套用组策略，使用组策略时，组策略编辑器默认连到PDC主机4.RID主机Relative Identifier Master每个域中只有一个RID主机作用是在域中创建对象时保证每个对象有一个唯一的SID，跨域访问、迁移域对象时，通过RID主机确认域对象的唯一性5.基础结构主机Infrastructure Master每个域中只有一个基础结构主机，负责对跨域对象的引用进行更新*整个域林中只有一台架构主机和一台域命名主机*每个域中都有自己的PDC主机、RID主机和基础架构主机各一台FSMO角色转移将Primary上的操作主机角色转移到Backup上登录Backup DC>ntdsutilntdsutil:rolesFsmo maintenance:connectionsServer connections:connect to server //连接至Backup DC server connections:quitFsmo maintenance:transfer schema master//转移架构主机角色Fsmo maintenance:transfer naming master//转移域命名主机角色Fsmo maintenance:transfer RID master//转移RID主机角色Fsmo maintenance:transfer PDC//转移PDC主机角色Fsmo maintenance:transfer infrastructure master//转移基础结构主机角色抢占当Primary DC出现故障时，就不能进行转移操作了，只能占用操作主机，操作过程同上，只是把transfer改为seize>get-ADforest//查看域林信息>netdom query fsmo//查看操作主机角色修改域控IP1.直接在网卡配置里修改IP2.命令行里操作：>net stop NETLOGON>net start NETLOGON>ipconfig/registerdns3.打开DNS服务器管理控制台，删除所有和原IP相关的A记录重命名域控制器>netdom computername /enumerate//查看DC的所有FQDN名称>netdom computername /add://添加新名称>netdom computername /makeprimary:重启域控制器>netdom computername /remove://删除原来名字>netdom computername /enumerate//查看删除原来的DNS记录（正向查找区域）允许域用户将计算机加入域的数量*默认每个域用户可将10台计算机加入域，自定义设置：Win+R输入adsiedit.msc//打开ADSI编辑器右击“ADSI编辑器”→连接到→默认命名上下文→右击DC=cof,DC=com→属性→ms-DS-MachineAccountQuota→值为0~65535表示用户可加入域的计算机数*或者单独委派用户加域权限打开Active Directory用户和计算机→右击域名→委派控制→下一步，添加用户→下一步，将计算机加域→完成查看用户修改密码的时间Active Directory用户和计算机→选中用户→双击属性→属性编辑器下边底部→pwdLastSet 即为最近修改密码的时间-LastLogon最后一次登录时间AD域控相关端口号端口号tcp/udp服务53t/u DNS88t/u Kerberos123u NTP135t Rpc Endpoint Master（msrpc）137u NetBIOS Name Service138u NetBIOS Datagram Service139t/u NetBIOS session Service（netbios-ssn）389t/u LDAP445t SMB(CIFS)（microsoft-ds）464Kpasswd5593ncacn_http（msrpc over HTTP1.0）636u/t LDAPS（tcpwrapped Ldap over SSL）2179vmrdp3268t LDAP GC（Global Catalog）3269t LDAPS GC（Global Catalog over SSL）域策略1.允许指定用户远程登录到计算机*计算机→策略→Windows设置→安全设置→本地策略→用户权限分配允许通过终端服务登录：添加远程用户组(Remote Desktop Users和Domain Admins）*计算机→首选项→控制面板选项→本地用户和组组名：Remote Desktop Users(内置)添加远程用户进去2.允许指定用户从本地登录到计算机*计算机→策略→Windows设置→安全设置→本地策略→用户权限分配允许本地登录：添加指定用户或组3.用户密码输错3次锁定5分钟*计算机→策略→Windows设置→安全设置→帐户策略→帐户锁定策略在此后重置帐户锁定计数器5分钟帐户锁定时间5分钟帐户锁定阈值3次无效登录4.十五分钟无操作自动锁屏*用户→策略→管理模板→控制面板→个性化带密码的屏幕保护程序已启用屏幕保护程序超时已启用900秒启用屏幕保护程序已启用5.将指定用户加入到计算机的某个组*计算机→首选项→控制面板设置→本地用户和组组名：xxxx(内置)→本地组→操作为更新→组名xxxx，添加成员6.将登录到计算机的用户添加到该计算机的某个组*用户→首选项→控制面板设置→本地用户和组组名：xxxx(内置)→本地组→操作为更新→组名xxxx7.设置计算机的组策略后台更新时间*计算机→策略→管理模板→系统→组策略设置计算机的组策略刷新间隔15分钟随机时间5分钟设置域控制器的组策略刷新间隔15分钟随机时间5分钟8.映射网络磁盘S盘给指定用户（用户登录后自动挂载共享磁盘）*用户→首选项→Windows设置→驱动器映射S：属性信件S，位置\\dc\sharepool常用→项目级别目标：安全组9.允许ping包入站（icmp echo request入站）*计算机→策略→管理模板→网络→网络连接→Windows防火墙→域配置文件Windows防火墙→允许icmp例外：允许传入回显请求10.禁止用户更改计算机系统时间*计算机→策略→Windows设置→安全设置→本地策略→用户权限分配更改时区空（无用户）更改系统时间空（无用户）11.指定域用户的桌面（墙纸）*用户→策略→管理模板→桌面→Active Desktop启用Active Desktop已启用桌面墙纸\\dc\share\desktop.jpg平铺12.用户登录时运行指定的程序*用户→策略→管理模板→系统→登录在用户登录时运行这些程序添加指定程序13.用户登录时运行指定的脚本*用户→策略→Windows设置→脚本→登录名称：脚本文件名脚本文件位于DC上的：C:\Windows\SYSVOL\sysvol\域名\Policies\{组策略唯一ID}\User\Scripts\Logon里14.受限制的组（只有指定的用户才在该组里）*计算机→策略→Windows设置→安全设置→受限制的组组名BULTIN\Administrators成员：指定的用户15.用户文件夹重定向到D盘或服务器上*用户→策略→Windows设置→文件夹重定向→（选桌面和/或文档）基本（重定向所有人的文件夹到相同位置）路径D:\%username%\desktop或documents16.漫游用户配置文件*计算机→策略→管理模板→系统→用户配置文件为正在登录此计算机的所有用户设置漫游配置文件路径：已启用\\dc\share\%username%17.允许多个用户同时远程登录计算机（加授权）*计算机→策略→管理模板→Windows组件→远程桌面服务→远程桌面会话主机→连接限制连接的数量允许的RD最大连接数100将远程桌面服务用户限制到单独的远程桌面服务会话已启用为远程桌面服务用户会话远程控制设置规则已启用不经用户授权完全控制*计算机→策略→管理模板→Windows组件→远程桌面服务→远程桌面会话主机→授权设置远程桌面授权模式按用户使用指定的远程桌面许可证服务器//加了域的主机，仅允许网络级别身份验证的远程桌面的计算机连接，所以RDP客户端计算机要求也要在域中，如果不在域中，那么服务端计算机要安装远程桌面服务的“远程桌面会话主机”角色，并指定授权服务器18.无须按下Ctrl+Alt+Del登录*计算机→策略→Windows设置→安全设置→本地策略→安全选项→交互式登录交互式登录已启用：无须按Ctrl+Alt+Del19.不显示最后登录的用户名*计算机→策略→Windows设置→安全设置→本地策略→安全选项→交互式登录交互式登录已启用：不显示最后的用户名20.域用户密码策略*计算机→策略→Windows设置→安全设置→帐户策略→密码策略密码最长期限300天强制密码历史无最短密码期限0天最短密码长度8字符*计算机→策略→Windows设置→安全设置→本地策略→安全选项→交互式登录交互式登录提示用户在密码过期之前更改密码10天21.允许指定用户关闭计算机（含重启）*计算机→策略→Windows设置→安全设置→本地策略→用户权限分配关闭系统添加指定的用户从远程系统强制关机添加指定的用户22.用户注销时清除最近打开过的文档记录*用户→策略→管理模板→“开始”菜单和任务栏退出系统时清除最近打开的文档的历史已启用23.计算机启动时自动部署安装软件*计算机→策略→软件设置→软件安装新建数据包使用网络路径//软件包必须为.msi的安装包24.配置防火墙规则*计算机→策略→Windows设置→安全设置→高级安全Windows防火墙出入站规则新建xxx*计算机→策略→管理模板→网络→BranchCache启用BranchCache已启用25.发布通告消息给用户（用户登录界面上显示）*计算机→策略→Windows设置→安全设置→本地策略→安全选项→交互式登录试图登录的用户的消息标题标题内容试图登录的用户的消息文本消息内容26.禁止管理人员修改IP（网络配置）*计算机→策略→Windows设置→安全设置→系统服务选择Network Connections，手动，删除指定用户everyone之类的完全控制权限*用户→策略→管理模板→“开始”菜单和任务栏删除网络图标已启用*用户→策略→管理模板→网络→网络连接禁止访问LAN连接的属性已启用27.禁止用户使用外部存储设备（U盘）*用户→策略→管理模板→系统→可移动存储访问可移动磁盘：拒绝读取权限已启用可移动磁盘：拒绝访问权限已启用//重启生效28.远程桌面会话时间限制*计算机→策略→管理模板→Windows组件→远程桌面服务→远程桌面会话主机→会话时间限制设置活动但空闲的远程桌面服务会话时间限制已启用30分钟（到时断开）设置活动的远程桌面服务会话的时间限制已启用总时间2小时设置已中断会话的时间限制已启用10分钟（到时结束会话默认情况下远程桌面服务允许用户断开会话而不注销和结束会话，会话处于断开状态时，用户运行的程序仍保持活动。

域信息收集常⽤命令-AD（1）ipconfig /all 查看本机的ip段net user 查看本地⽤户列表net user /domain 查看域⽤户net view /domain 查看内⽹存在多少域net group /domain 查看域有哪些组net group "domain admins" /domain 查看域管理员组net localgroup administrators /domain 查看域管理员net user username password /add /domain 添加域⽤户net localgroup administrators workgroup\test123 /add 添加域⽤户 (权限不够是加不了的)net group "domain controllers" /domain 查看所有域控net time /domain 判断主域，⼀般的主域都是会做时间服务器这种骚操作的net view /domain 查询域列表net view \\ip 查询某个ip的共享net view 查询同域的机器net accounts /domain 查询域密码策略whoami /all 查询⽤户的权限ping 域名称获取域服务器的ipnbtstat -a 域名称获取域服务器的ipdsquery computer 查看域⾥的计算机dsquery contact 查看域⾥的联系⼈dsquery group 查看域⾥的⽤户组dsquery user 查看域⽤户dsquery subnet 查看⽹段的划分dsquery server 显⽰所有域控dsquery subnet 查看域⾥的⼦⽹>shutdown -i [以图形界⾯的⽅式远程关闭指定的电脑]>gpresult [查看你的电脑都执⾏了来⾃域控的哪些策略]>gpupdate /force [在客户端强制更新组策略⽽⽆需等到重启]>wuauclt.exe /detectnow [指⽰⾃动更新⽴即联系 WSUS 服务器]>nslookup <域名> [查询系统所⽤的DNS及域名的IP地址]>sysprep /generalize [⽤于将 Windows 映像移动到另⼀台计算机时，重置Windows安装的唯⼀性信息（例如 SID）]。

参考网址(/s/blog_4ca83f830100zn8v.html)3种用组策略将域帐号加入本地管理员组的方法台湾女同事问了我2次当前系统域帐号是怎么在第一次登录时，自动加入域客户端本地管理员组的？我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本，结果系统的前任同事找到了答案--GPO的用户策略（确切讲是用户首选项），SIGN!今天琢磨了一下，采用下列3种方法之一即可实现：1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”2、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。

3、对于WIN2008/2008R2（尽可能用R2的DC）的DC环境，使用计算机配置首选项中“本地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。

第1种方法的步骤很简单：.在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图第2种方法：为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下：为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL 为：/zh-cn/library/cc731892(WS.10).aspx根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML 无需安装）：在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组现在用域帐号test02\user_1登录测试一下用户首选项策略生效，该帐号被成功加入管理员组接下来看看“删除所有成员用户”的结果换一个test02\user_2帐号，显然，已将前面加入的user_1帐号删除，还有其他除administrator 以外的用户帐号被删除（本地的USER1）然后我们继续选删除所有成员组，并计划将本地administrator也从管理员组中删除其结果如下：1.所有用户帐号被从管理员组中删除，除当前登录用户除外。

客户端不能加入域解决方法加入域出现以下错误,windows无法找到网络路径，请确认网络路径正确并且目标计算机不忙或已关闭？核心提示：在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。

故障现象：单位有一台运行Windows XP系统的办公用计算机，由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。

按照正常的操作步骤进行设置，在“系统属性”的“计算机名”选项卡中加入域的时候，系统要求输入有权限将计算机加入域的用户名和密码（这表示已经找到域控制器）。

然而，在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。

解决方法：由于客户端计算机能够找到域控制，因此可以确定网络的物理连接和各种协议没有问题。

此外，由于可以在该计算机上找到域控制器，说明DNS解析方面也是正常的。

那为什么能找到域控制器却又提示无法找到网络路径呢？这很可能是未安装“Microsoft网络客户端”造成的。

在“本地连接属性”窗口的“常规”选项卡中，确保“Microsoft网络客户端”处于选中状态，然后重新执行加入域的操作即可。

“Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一，利用该组件可以使本地计算机访问Microsoft网络上的资源。

如果不选中该项，则本地计算机没有访问Microsoft网络的可用工具，从而导致出现找不到网络路径的提示。

本例故障的解决方法启示用户，为系统安装常用的组件和协议可以避免很多网络故障的发生，计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信.服务端（域控制器）：Microsoft网络文件和打印共享和网络负载平衡没选择上去，一定要选择上Microsoft网络文件和打印共享和网络负载平衡。

客户端要加入域,相关的服务要开始：Computer BrowserWorkstationRemote Procedure Call (RPC)TCP/IP NetBIOS HelperWindows Management Instrumentation这些客户端服务是否开启，TCP/IP NetBIOS Helper和Workstation一定要开启并非都是客户端问题，我的问题出在DC的安全策略上，是因为启用了DC上的组策略－>安全选项中的“帐户: 使用空白密码的本地帐户只允许进行控制台登录”，在客户端加入域时用户名的密码正好是空白的，过了会儿就出现了“找不到网络路径”，所以应该输入有密码的域账户，或者禁用这条安全策略。