在域里面添加权限

作为网管员,很多时候客户端的权限问题乃是最为纠结的一件事了,下面我们向大家介绍下通过组策略的文件系统向客户端赋权,这样的话大大节省了网管员的时间,也避免了客户端因为软件不能正常运行而抱怨不休的情况。

在调整设置的时候，下列问题要注意:该策略是针对计算机的策略是应用在计算机设置上可能客户端组策略结果中无法正常显示出策略应用集，但是却能够正常使用（这也是我纳闷的一点）使用相对路径的时候注意大小写的书写不建议对对所有文件夹赋权，以免客户端对系统盘操作权限过大，照成系统未知问题参考文章:在附件，请下载查看！1、我们在域控上打开组策略管理器，选中需要调整这个设置的组织单元，右键点击新建组策略，在选中新建的策略，右键选择编辑2、在弹出的组策略管理编辑器页面中选择计算机配置--策略--windows设置--安全设置--文件系统，右键点击文件系统，在点击添加文件3、在弹出的对话框里选择对应域用户下面的桌面的对应位置，点击确定。

会弹出右下边的图请注意：这里输入的是绝对路径，（作为域控，肯定不会安装一些日常应用软件，因此而导致服务器上不存在与客户端对应的文件夹，所以我们需要用到相对路径来达到我们的目的），而客户端又有XP和win7之分，大家都知道，win7系统是有Program Files和Program Files（X86）两个文件夹，所以这里我们也要添加两个。

实际环境中不建议把Program Files整个文件夹的权限给domain users 应该针对其中的部分软件安装的文件夹路径赋权，以免造成客户端权限过大而导致系统被更改等等原因，这样的话就有点得不偿失了。

文件夹路劲是可以手动输入的。

在添加无管理员权限的用户桌面的时候，是添加%systemdrive%\users\public\desktop或者%UserProfile%\Desktop这个路劲。

有管理员权限的用户就是用户名所对应的文件夹下面的桌面。

4、点击添加，在弹出的对话框里输入domain users再点击右边的检查名称，然后再点击确定5、选中刚刚添加的domain users，在下面的权限允许里调整权限，调整好后点击应用，再点击确定6、在弹出的对话框中我们设置相应的权限，我们设置的权限为除了完全控制其他全部赋予客户端，然后点击确定，在这一步弹出的页面中询问关于此文件夹的权限问题：添加此权限到所有子文件夹和文件此权限替换所有子文件夹和文件的权限不允许此权限下发到子文件夹和文件这里我们选择替换所有子文件夹和文件的权限，同理添加其他文件夹，权限设置与此一致。

Windows域的权限管理方法1. 概述Windows域是一种由微软推出的网络管理架构，用于集中管理和控制Windows操作系统的计算机、用户和资源。

在一个Windows域中，权限管理是非常重要的一项任务，它能够确保只有授权的用户能够访问和操作特定的资源。

本文将介绍Windows域的权限管理方法，包括用户权限管理、组权限管理和对象权限管理。

2. 用户权限管理用户权限管理是指对Windows域中的用户进行权限控制和管理。

以下是一些常用的用户权限管理方法：2.1. 用户权限分级不同的用户可能需要不同的权限来访问域中的资源。

Windows域提供了一套权限分级机制，可以将用户划分为不同的权限组，例如管理员、普通用户和只读用户等。

管理员拥有最高的权限，可以对域中的所有资源进行管理和操作，而只读用户只能查看资源的内容，无法进行修改。

2.2. 用户角色管理除了权限分级外，Windows域还支持用户角色管理。

用户角色是一组权限集合，可以预先定义好一些常用的角色，并将用户分配给不同的角色。

这样可以简化权限管理，减少管理员的工作量。

当用户加入或退出一个角色时，其权限也会相应地改变。

2.3. 用户密码策略用户密码是保护域中资源的重要措施之一。

Windows域可以设置密码策略，要求用户使用强密码，并定期更换密码。

密码策略可以包括密码长度、密码复杂度要求、密码有效期等。

3. 组权限管理组权限管理是通过将用户分组来管理和分配权限。

以下是一些常用的组权限管理方法：3.1. 域本组和特殊组Windows域中有一些预定义的基本组和特殊组，例如”Administrators”、“Domain Admins”和”Domain Users”等。

这些组都有特定的权限和角色，可以直接使用或进行自定义设置。

通过将用户添加到这些组中，可以一次性地为多个用户分配权限。

3.2. 自定义组除了基本组和特殊组外，Windows域还支持自定义组。

管理员可以根据需要创建自己的组，并为其指定权限和角色。

AD域操作实例1. 什么是AD域？AD（Active Directory）是由微软开发的一种用于管理网络资源的目录服务。

它提供了一种集中管理和控制网络中所有计算机、用户、组织结构和安全策略的方式。

AD域是基于Windows Server操作系统的一种网络架构，可以将多台服务器组织成一个逻辑上的单个域，并通过域控制器进行统一管理。

AD域提供了许多功能，包括用户身份验证、访问控制、组织结构管理和集中化的资源管理。

通过使用AD域，管理员可以轻松地添加、删除和管理用户账户，设置权限和安全策略，并集中管理网络上的共享文件夹、打印机等资源。

2. AD域操作实例下面将介绍几个常见的AD域操作实例，包括创建用户账户、重置密码、添加组成员等。

2.1 创建用户账户在AD域中创建新的用户账户非常简单。

首先打开Windows Server上的“Active Directory Users and Computers”工具，然后按照以下步骤进行操作：1.在左侧树形菜单中选择合适的组织单位（OU）或容器。

2.右键点击选定的OU或容器，在弹出菜单中选择“New” -> “User”。

3.在弹出的对话框中填写用户的必要信息，如用户名、姓名、密码等。

4.点击“Next”并按照需要设置其他选项，如密码过期策略、账户锁定策略等。

5.最后点击“Finish”完成创建。

2.2 重置密码当用户忘记密码或需要更改密码时，管理员可以通过以下步骤在AD域中重置用户密码：1.打开“Active Directory Users and Computers”工具。

2.在左侧树形菜单中找到相应的用户账户，并右键点击选择“ResetPassword”。

3.在弹出的对话框中输入新密码，并确认新密码。

4.点击“OK”完成重置。

2.3 添加组成员在AD域中，可以将多个用户账户组织成组，并为组分配权限和资源。

以下是添加组成员的步骤：1.打开“Active Directory Users and Computers”工具。

1、怎样限制一个域用户登录指定的计算机？（1）、先在域控制器的Active Directory用户和计算机中找到要限制的用户（比如叫insistence）。

（2）、然后右键点击用户insistence的属性，找到账户这一项。

点击登录到，会出现下图。

如果仅让他登录only这台主机就在下列计算机中就需要选中下列结算机然后输入可访问的机器only，点击添加即可！注意：如果想立即看到效果，可以在域控制器上使用命令gpupdate /force强制刷新组策略，然后再在域成员机器上使用该命令刷新就ok了！2怎样让域用户拥有本地管理员权限！（1）右键点击我的电脑→管理，出现下图。

（2）点击本地用户和组→组,出现如下图！（3）右键点击administrators→属性。

（4）点击添加（5）确定，然后根据提示输入一个域控制器上的有足够权限的用户名和密码就ok可！重新用该用户登录就具有本地超级管理员权限了！注意：如果没把该用户加入到本地管理员组中，即使该域用户拥有用控制器上的超级管理员权限，但他在本地计算机上的权限也是guest用户的权限！3、在2003域环境下搭建用Active Directory隔离用户的FTP服务器。

（1）前提是本机有一个固定的ip地址，并且IIS服务中的FTP服务已经安装完毕最主要的是它在域环境中。

（2）开始→程序→管理工具→Internet信息服务（3）右键单击FTP站点→新建FTP站点进行如下操作（4）然后需要安装一个第三方软件来修改ftp用户的文件存放目录和路径。

本软件在windows2003系统盘中:\SUPPORT\TOOLS下的SUPTOOLS.MSI这一文件，双击安装即可（注意：有的SUPTOOLS.MSI中没有这一文件可以下载一个adsiedit.dll文件，然后把它放到C:\WINDOWS\system32下，点击注册即可，安装时先放进adsiedit.dll文件在安装SUPPORTTOOLS.MSI）（5）然后开始→运行→adsiedit.msc→Domain []→OU=ftp→CN=only→然后右键单击only属性找到并双击m slls-FTPDir对其尽心编辑，在里面输入only，这是规定only的访问目录。

修改计算机名及加域
让其他计算机识别本机的重要两个标示就是IP地址和计算机名称，一般情况下，IP和计算机名是相互关联的。

其中，计算机名更容易让别人能识别这台电脑是谁使用的，所以，计算机名一般修改为自己的名字。

如何修改计算机名并加域：
1.右击“我的电脑”，点击“属性”，如图1
图1
2.在“系统属性”对话框中选择“计算机名”标签页，点击“更改”，如图2
图2
3.在“计算机名”处改为自己名字的拼音，“隶属于”选择“域”，并填写：TRZZ，然后“确定”，如图3
图3
4.在跳出的验证对话框中输入账号：trzz，密码也是：trzz，如图4，然后确定，重启电脑。

图4
修改域账号在本机的权限：
加入域后，域账号在本地计算机只是user权限，只能进行一般的操作，无法安装软件，根据情况，可将域账号提升为管理员权限。

1.点击“开始”，“控制面板”，如图5
图5
2.双击打开“用户账户”，需要输入本地计算机的管理员密码，如果不知道管理员密码，是无法继续操作的，如图6
图6 3.在“用户账户”对话框中，点击“添加”，如图7
图7 4.“用户名”输入自己的域账号，“域”填写：TRZZ，如图8
图8 5.权限选择“其他”中的“administrators”，点击“完成”，如图9
图9。

Net share命令共享文件夹并设置共享权限2020年1月7日net share命令net share命令用来管理共享资源，如添加、删除共享目录。

在命令提示符窗口中使用命令“net share”即可查看电脑中共享的资源。

带有$符号的为隐藏的共享资源，当从局域网浏览时将不会显示。

输入命令“net share sp=e:\sp”即可将“e:\sp”文件夹进行共享，共享名为sp。

使用命令“net share sp /delete”即可取消“e:\sp”文件夹的共享。

输入命令“net share 教学视频=e:\sp /remark:"office办公"”即可共享文件并设置共享名及注释。

输入命令“net share 教学视频/users:5”即可将“教学视频”共享资源设置为同时访问的用户不超5个。

输入命令“net share 教学视频/cache:automatic”即可设置为自动缓存方式。

输入命令“net share 教学视频/cache:no”即可设置为禁止自动缓存方式，禁止缓存多应用于共享资源经常更新的情况。

输入命令“net share 教学视频”即可查看“教学视频”共享资源的配置信息。

应用举例通过域控制器在所有域成员上建立“扫描”文件夹，用来存放扫描仪发送来的扫描文件。

扫描仪发送文件使用的是SMB服务，SMB服务要求目标文件夹共享出去。

但是共享权限最好共享给本地计算机上的administrator账户，而不是everyone账户，这样别人就打不开这个共享文件夹而造成泄密。

这个扫描仪使用administrator凭证访问“扫描”文件夹。

打开域控制器上的组策略管理编辑器，依次打开“计算机配置-首选项-文件夹”，创建“扫描”文件夹，不建议勾选“只应用一次”。

测试发现，如果同一计算机名的计算机非首次入域，此策略不会生效。

客户端应用组策略之后，“扫描”文件夹被创建了，NT权限是继承上层的。

局域网共享文件夹设置权限域环境下共享文件夹加密教程方法步骤1.我们需要为新员工奖励域账户，并添加到所属部门的ou(人事)2.还需要在文件共享服务器为其添加相应的访问权限。

3.开始-管理工具-组策略管理4.选择-人事(ou)-邮件点击-在这个域中创建GPO并在此处链接5.输入GPO名称人事文件映射驱动点击-确定6.选择GPO人事文件映射驱动右键-点击编辑7.选择用户配置-首选项-windows设置-驱动器映射-右键点击新建-点击映射驱动器8.编辑新建驱动器属性，在本属性中的设置直接关系到能否正确的发布驱动器，所以我们要细细的分析一下。

在此类型的下拉列表中提供了四个选择：创建、替换、更新和删除。

组策略的应用结果会因选定的操作以及驱动器号是否已经存在而异。

补充：局域网、校园网安全维护方法校园网络分为内网和外网，就是说他们可以上学校的内网也可以同时上互联网，大学的学生平时要玩游戏购物，学校本身有自己的服务器需要维护;在大环境下，首先在校园网之间及其互联网接入处，需要设置防火墙设备，防止外部攻击，并且要经常更新抵御外来攻击;由于要保护校园网所有用户的安全，我们要安全加固，除了防火墙还要增加如ips，ids等防病毒入侵检测设备对外部数据进行分析检测，确保校园网的安全;外面做好防护措施，内部同样要做好防护措施，因为有的学生电脑可能带回家或者在外面感染，所以内部核心交换机上要设置vlan隔离，旁挂安全设备对端口进行检测防护;内网可能有ddos攻击或者arp病毒等传播，所以我们要对服务器或者电脑安装杀毒软件，特别是学校服务器系统等，安全正版安全软件，保护重要电脑的安全;对服务器本身我们要安全server版系统，经常修复漏洞及更新安全软件，普通电脑一般都是拨号上网，如果有异常上层设备监测一般不影响其他电脑。

做好安全防范措施，未雨绸缪。

加域问题汇总及解决1、加入域时出现找不到网络路径问题解决方法：①查看网线连接是否正常；②查看本机IP地址是否正确（用本地administrator登录系统）；③查看计算机名是否重复，更改计算机名（在域控制器的computers上查看）；④开起相关服务（Windows Time、Wired AutoConfig、Remote Registry、TCP/IP NetBIOS Helper）；⑤请卸载网卡驱动，重新安装；2、系统无法登陆域，因为域不可用①登陆本地管理员administrator，查看网络连接是否正常；②查看ip地址是否正确（在没有通过认证的时候，计算机网段为10.50.0.0/16，如若不是，则查看网络是否正常，并且是否启用802.1x认证）；③请输入其他域账号密码就行登陆，登陆成功，则再用当前账户登录（保证账户密码正确，注意重名的账户）；④否则在域控上重置用户密码和计算机，重新用域账户登陆，如果不行，则用本地管理员登陆，退域，更改计算机名，重新加入，即可解决；3、出现不能联系域控制器的错误原因：由于ghost系统造成计算机sid号或者计算机重名，导致域控计算机重合，导致错误。

解决：建议重装系统（建议不要再安装精简的系统或者ghost）;4、出现无法安装软件的问题原因：域用户没有本地管理员权限。

解决：登陆本地管理员administrator添加域用户的本地管理员权限；5、登陆公司共享盘显示本地设备已在使用原因：由于计算机名重复或者网络问题。

解决：①保证网络通讯正常；②请到本地更改计算机名；6、安装软件出现不能打开\写入文件的错误解决：由于权限问题，调整安装路径，不安装在C盘；7、计算机出现以下情况解决方法：建议重装系统（建议不要再安装精简的系统或者ghost）；8、加入域成功，为什么不能上网（这是做了802.1x认证的网络情况）解决：①检查网线是否完好，并且查看ip地址是否获取正常；②查看是否通过802.1X验证，ip地址是否属于10.50.0.0/16网段，如果是，则查看802.1X相关设置是否正确；XP:Win7:③如果802.1X没有问题，则登陆本机administrator查看相关服务是否开启（Windows Time、Wired AutoConfig、Remote Registry、TCP/IP NetBIOS Helper）；9、加入域成功，桌面不能出来解决：①刷新桌面；②关闭除sophos外的杀毒软件及关闭系统防火墙；10、开启802.1X服务时出现函数错误解决：建议重装系统（建议不要再安装精简的系统或者ghost）11、Sophos 杀毒软件安装后打印机或者其他程序异常（有杀毒软件的公司注意此项）原因：由于病毒感染了驱动程序及应用程序，导致文件被杀软隔离解决：用Sophos扫描杀毒后，清除病毒，重启机器，检查打印机及应用程序是否正常，否则重新安装打印机驱动（用驱动精灵即可安装）及相关应用程序（保证Print Spooler服务开启）；12、关于windows 7 、windows8用户认证问题解决：进行802.1X设置的时候，需额外勾选身份验证选项卡下其他设置中的指定身份验证模式，选择下拉选项中的用户身份验证；13、加入域后，Word以及Excel无法正常使用解决：卸载旧office，重新安装office（不要安装到C盘）或者根据提示吧相关插件重新安装即可；14、关于windows xp sp2系统容易出现各种问题的解决解决：将系统升级至windows xp sp3；。

设置计算机登录权限
可防止其他域用户登录自己的电脑。

（前提：电脑已经加入公司域服务器Active Directory）
先把自己的账户和域账户添加到administrator组里面
桌面我的电脑-右键属性-管理-系统工具-本地用户和组-组-双击打开administrator-添加自己域用户名（比如林文欢直接添加输入linwenhuan）确定，保存。

运行gpedit.msc本地组策略编辑器
windows设置--安全设置--本地策略--用户权限分配--找里面找到允许本地登录--双击打开
在本地安全设置里面--把除了administrator组以外全部删掉
确定保存。

然后切换用户，在用其他没有添加到administrator组里面的用户测试登录，
提示没有权限登录本机。

==============================================
下面附图解说：
No1：
先把自己的账户和域账户添加到administrator组里面
桌面我的电脑-右键属性-管理-系统工具-本地用户和组-组-双击打开administrator-添加
自己域用户名（比如林文欢直接添加输入linwenhuan）确定，保存。

No2:
运行gpedit.msc本地组策略编辑器
windows设置--安全设置--本地策略--用户权限分配--找里面找到允许本地登录--双击打开
在本地安全设置里面--把除了administrator组以外全部删掉
确定保存。

然后切换用户，再用其他没有添加到administrator组里面的用户测试登录，
提示没有权限登录本机。

域共享⽂件管理系统、域共享⽂件夹权限设置、域⽤户共享⽂件夹权限设置的⽅法当前，很多单位处于⽹络安全和⽹络管理的需要，通常会通过组建Windows AD域环境来加强局域⽹⽹络管理，并且在局域⽹共享⽂件管理中，也常常通过域来加强共享⽂件的管理。

如何进⾏域⽤户共享⽂件夹权限设置、设置域⽤户访问共享⽂件夹就成为⼀项重要的⽹络管理⼯作。

图：域环境访问共享⽂件的⽅法⽏庸置疑，Windows AD域控制器的功能很强⼤，通过域控制器可以有效设置⽤户访问共享⽂件夹的权限，防⽌越权访问共享⽂件、防⽌共享⽂件泄密。

设置域⽤户访问共享⽂件的⽅法与对本地账户设置共享⽂件访问权限的⽅法相同，在这⾥不再赘述。

但是，即便通过域⽤户设置了共享⽂件的访问权限，可以记录共享⽂件被域⽤户的访问⽇志等信息，但始终⽆法完全保证共享⽂件的安全。

尤其是，当⽤户打开共享⽂件后将共享⽂件另存为本地磁盘、打开共享⽂件后复制共享⽂件内容以及将共享⽂件另存为本地磁盘，甚⾄在访问共享⽂件时，将共享⽂件拖动到⾃⼰的电脑，从⽽导致共享⽂件泄密的发⽣。

图：共享⽂件访问记录⽇志具体到域环境中，当⽤户使⽤域⽤户访问共享⽂件时，⼤势⾄共享⽂件夹管理软件就会⾃动记录其账户信息，并⾃动添加到系统界⾯左侧“⽤户列表”⾥⾯的“域账号”下⾯，然后就可以为其设置访问共享⽂件夹的权限了。

设置⽅法也和对本地账户设置共享⽂件访问权限的⽅法相同：在共享⽂件列表框下⾯，左侧⿏标单击选择某个共享⽂件夹，然后在左侧“域⽤户”组下⾯点击选择某个域⽤户，然后在“⽤户权限”这⾥勾选相应的访问权限即可。

如下图所⽰：图：域⽤户设置共享⽂件夹访问权限同时，还可以将⼤势⾄共享⽂件夹监控软件安装在域控制器上，那么这种情况下，系统将会⾃动读取域控制器上的所有域账号（同时，为了更好地识别⽤户的⾝份，可以修改其域⽤户的中⽂备注，这样系统将会直接在“域⽤户”下⾯显⽰其中⽂名称，⽅便识别和设置权限），⽽且可以直接在⼤势⾄共享⽂件管理软件中为其设置访问共享⽂件的权限。

域用户安装软件权限问题描述：在一个多用户的系统中安装一个软件，使各个用户在安装完后都出现该软件的图标并能正常运行（比如联众）。

现在的问题是在我安装完后，只有我的环境中有，其他的都没有，拷贝快捷方式也不能用，不得已只能分别重新安装。

问题回答：如果程序在设计的时候允许默认安装模式是写入x:\Documents and settings\All user的profile 和\Program Files\Common Files,那么大多数程序是可以被多用户公用的。

但很多的程序并不支持这个功能，或者说程序的设计者在多用户方面考虑欠妥。

另外一方面，很多的程序并没有考虑在域中domain user权限的环境下使用，对于注册表和安装目录都需要有读写权限。

通常的情况下，都可以通过迁移安装软件的那个账户（常常是Local administrator）下的profile 来达到这个目的。

下面以domain user使用office2000的办法来说明这个问题。

问：在安装了office2000和微软vb,vc＋＋6.0的win2000电脑上，域用户第一次登陆并第一次运行office2000(例如outlook)或者vb时就会出现office2000设置，要等半天设置好之后才能运行这些程序。

如果没有等0ffice设置完而点击取消了，下次运行时还是会设置；如果耐心等office设置运行完下次就不会出现了。

有没有可以让新开的域用户第一次使用时不出现这些烦人的设置呢？答：导致这个动作的原因是这样的：每当登陆的用户发生变化，启动office后，office都会调用data1.msi重新注册用户信息。

如果在当前路径和系统路径找不到此文件，就会弹出对话框询问此文件的位置。

如果能够找到此文件，哪怕当前目录无法写入，系统也不会提示错误，正常进入，这可能是设计使然：）那么，我们一般有2中办法来解决这个问题。

一、在管理员的环境下启动office以后，copy管理员的profile。