AD系统用户密码修改方式

相信大家如果用AD的话，都碰见过一些头疼的事情，特别是AD用户的一摊子事情。

前段时间在弄全球的AD规划和部署，其中最耗时又不讨好的就是用户账号的问题了。

其中最主要的就是两件事，一个是新建用户，一个是改密码。

由于业务系统在海外上线，需要通过AD进行身份验证，使得以前仅仅只面向集团总部一部分管理层员工的AD系统，现在需要面向企业全球的所有员工提供登陆服务，从而就需要向AD中添加大量的用户账户。

另外，也有不少分公司的员工之前是有AD账号的，只不过人不在总部，偶尔回来用用。

这也导致了大量的用户密码过期。

通过人工的方式一个一个账户的添加或者改密码，显然是不可能的。

所以找了个办法，通过脚本的方式批量的导入AD账户，或者批量修改密码。

其实方法应该不少朋友都知道，就是Windows自带的几个CMD命令。

这里我就不再过多介绍这如何通过这两个命令编辑脚本来实现这个功能了，如果真有需要，大家可以Google一下，很多的。

我这里就给两个微软官方链接算了。

/kb/327620——csvde.exe，批量导入AD用户/kb/322684——dsmod.exe，修改AD账户密码这里我是想给大家分享一下如何通过Excel的函数功能来简化脚本的编写。

有人可能会问，直接用txt写也挺方便的嘛，关excel屁事。

呵呵。

试想，动不动几百上千的用户需要更改密码或者添加到AD中，就算可以用复制粘贴的方式，但是每行账户的信息都不一样，那要复制多少遍啊。

我也是开始就是用的txt写，把所有的不同的名字先copy到txt中，然后把语句相同的地方每行一个Ctrl+V，如此反复多次，我就快疯掉哒。

后来想了个办法，就是用excel的函数来解决。

嘿嘿，，它不止能做数字计算，还能做字符的加减咧。

好，附件中有我已经做好的Excel文件，下面我来详细讲讲怎么用。

首先是批量导入AD账户。

在文件的第一张表格中，绿色的区域是需要我们手动添填入信息的，主要是两个，一个是账户名，一个是OU，记得OU一定要提前新建好。

使用WEB方式更改域用户帐户密码1、这个只是域帐户密码的一种更改方式，正规来说，域用户帐户的密码更改方式可以有6种。

今天介绍给大家的只是其中一种，以后会继续推出其他方式。

2、在客户端加入到域的情况下，用户修改自己的帐户密码非常方便，但是如果客户端没有加入到域，但是他又在使用域帐户登录其他的应用系统，比如使用域帐户进行Internet接入的认证或者FTP与AD整合的站点等，这个时候怎么修改密码呢？那么就只有采用WEB方式。

3、其实，2003本身就带有WEB方式更改密码的ASP网页文件，其位置在C:\WINDOWS\system32\inetsrv\iisadmpwd，只需要安装好IIS 这些文件就会自动生成，并且只需要用IIS发布就可以了。

如下图所示：安装IIS：当你的IIS 安装好后，你的2003自带ASP密码修改的网页就生成好了。

如图：安装好后，你就可以打开IIS在默认网站下建立一个虚拟的目录：为IIS 目录键入名称：选择2003网页文件所在的目录位置：选择虚拟目录访问权限：完成创建：打开虚拟目录属性设置，在文档中添加AEXP2.ASP确定后，在IE游览器中输入在地址[url]http://192.168.2.1/iisadmpwd/[/url]就可以打开网页了能打开后填入域用户aaa，原密码和新密码按正常来说这样就应该可以了的，但是确定后，结果却是：仔细分析上面的图片，看到原来是使用了ssl 加密了，需要证书才能访问。

所以我们就需要再安装一些内容了。

安装远程管理的(HTML)组件，以实现SSL当安装好后，IIS管理器中就会出现一个ADMINISTRATOR的目录，打开其属性：打开属性中的目录安全性：选择服务器证书：然后使用将当前证书导出到一个.pfx文件选项：然后出现默认命名的文件名称，下一步，然后完成导出设置。

输入证书服务的加密密码：确定输入信息：完成导出：打开iisadmpwd虚拟目录所在的默认网站的属性选择默认网站的目录安全性选项卡，选择服务器证书选择从.pfx文件导入证书导入证书的名称：输入证书的加密密码：确定SSL的端口为443完成安装。

Windows 2008 R2 域服务器web方式修改域用户密码IISADMPWD on IIS 7IIS 7上不再支持IISADMPWD功能，因此正常安装windows server 2008将不会有IISADMPWD这个文件夹。

因此，除了期盼VPN,在紧急情况下还有没有其他方法来更改我的密码呢？一个小的实验显示，如果我们把ISSADMPWD当做一个ASP/COM的程序，从server2003的系统上拷贝一份，我们就可以使用它了。

下面的步骤仅供参考.注：IIS7默认安装是仅包含基础组建，如果想实现需要安装ASP，IIS6脚本工具等组件。

1. 从2003系统上拷贝IISADMPWD到2008系统，在这里，我仍然使用C:\Windows\system32\inetsrv\Iisadmpwd这个目录。

注：如果你的WIN SERVER 2008是64位的，请看文章底部的“注意”。

2. 注册Iisadmpwd目录下的IISpwchg.dll文件：1．以管理员身份运行命令提示符。

2．输入下面的命令，然后回车：regsvr32 c:\windows\system32\inetsrv\iisadmpwd\iispwchg.dll3．配置PasswordChangeFlags属性，来确保密码修改这个功能可用：1．以管理员身份运行命令提示符2．切换到C:\Inetpub\Adminscripts目录（确保打安装了IIS6脚本工具功能）3．输入下面命令，然后回车：cscript.exe adsutil.vbs set w3svc/passwordchangeflags Value注：在这个命令中，“Value”是设置PasswordChangeFlags属性的值4．下面是PasswordChangeFlags可以设置的值，你可以组合使用：0：默认值，表示用ssl连接来更改密码1：允许无安全的端口来更改密码，这个对于ssl功能被禁很有用2：禁止更改密码4:禁止密码过期提示4．为Iisadmpwd directory 建应用程序1. 打开IIS管理器，在左边面板，右击“默认站点（Default Web Site）”2. 选择添加应用程序，在对话框中，输入一个别名（实践证明最好使用IISADMPWD，如果不是，你用用就知道哪里会出错了）和路径(C:\Windows\system32\inetsrv\Iisadmpwd).然后点“选择”按钮来选择一个恰当的应用池。

adb命令删除手机密码设置（ADB command delete phone passwordsettings）Sino16918First of all, what is the ADB command?:The full name of ADB is Android Debug Bridge, which is the function of debugging bridge. ADB is a tool in Android SDK (Android's proprietary software development kit), which can be used to directly manage Android simulators or real Andriod devices (such as DEFY):* run the device's shell (command line)Manage port mapping for simulators or devices* upload / download files between computers and devicesInstall the local APK software to the simulator or Android deviceWrite this post is to popularize some common commands ADB, although there are many things on the Internet, but I think, combined with the use of DEFY, you will remember more firmly.If you want to use ADB, you have to build a platform first. (there's an oil system that adds variable, and I think this is still suitable for people with a certain base, and here I don't say the way to add variables.). But Androidsdk is so big...... Can you download it? The answer must be negative. Don't knowhow to use defy tutorial given root tools students noticed in the defy_tools\OneClickRoot+Recovery folder, adb.exe, AdbWinApi.dll, AdbWinUsbApi.dll three documents, in fact, use the ADB command, the three file is sufficient, surely we have, so here is not provided.No, if you install a pea pod, then the root directory C:\Program Files\WandouJia please see the pea pods, you will find that there are these three files. It is not difficult to find out, ADB is widely used. Whether access to root permissions from DEFY to the daily use of pea pods, can not do without it.Of course, with this, or can not be used directly, we have to install the corresponding ADB driver on the computer side. Brushing machine students in the installation of motorcycle drivers, in fact, have installed, if not, to find their own, or directly connected to the phone with pea pods installed drive. The method is to ensure that the driver installed mobile phone [settings] - [program] - [-USB] debugging installation and debugging, in the boot state linked to the computer after right click computer (XP is my computer) into the management device manager, see below.Let's get down to business. How can I get into the ADB command window? The simplest way is to hold the [shift] + right mouse button in the window of the three files of adb.exe, AdbWinApi.dll and AdbWinUsbApi.dll, and select [open the command window here]. FigureOf course, you can also enter under the command prompt window (cmd.exe). Press and hold [logo key] + [R] open operation, inputcmd,Then input: CD (x86) C:\Program Files \WandouJia (or other contains three files), as shown below (note there is space, between the CD and the path of my system is 64 bits, pea pods installed by default in C:\Program Files (x86) 32 folder, the system default is C:\Program Files directory).After entering the window, you can use the various commands provided. Of course, if you don't know what the commands are, you can make a line1. ADB?You print out all the available commands for your reference.Here are all available ADB commands:Android DebugBridge version 1.0.20-d- directs command to the only connected USB deviceReturns an error if more than one USB device isPresent.-e- directs command to theonly running emulator.returns anrunning. error if more than one emulator is- <编号>–指示命令的USB设备或模拟器与给定的序列号P <产品名称或路径>–简单的产品namelike '早'，或相对/绝对路径的一个产品输出目录类似“输出/目标/产品/更早”。

常见活动目录AD故障解决集锦A1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。

”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。

注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

AD2000-M单门门禁控制器（内置感应卡读出器和密码键盘）产品特性：工作电压： DC 12V开锁电流：≤1000mA静态电流：≤60mA储存容量： 250标准用户最大读卡距离： 15cmRF卡类型： H4100卡工作温度： -10℃～70℃工作湿度： 10%～90%尺寸： 117×117×21mm安装说明：卸下固定面板与底板的十字螺丝，取下底板，使用随机配备的胶塞和螺钉将底板安装在欲控制出入口的入口侧墙壁。

注意上下方向。

电线连接说明：按照电路板上的接线标记将电线接好（如下图）按钮注意！电锁由电源接出时，控制器的第三脚（PUSH）接电源（为确保系统稳定，厂家建议电锁由专用电源接出）上电前必需确认电源电压（DC12V）和电源正负极性说明：防撬报警开关在电路板右下角，闭合禁声，弹开蜂鸣器连续短鸣报警。

注意：使用前请仔细阅读操作说明！操作说明：一、门禁控制器初始化方法：1、关闭电源，S16的第2脚和第3脚相接。

2、接通电源，蜂鸣器连续断续鸣响报警，POWER(红)灯、OK(绿)灯、MODE(橙)灯齐闪烁。

3、断电，再接通电源，POWER(红)灯、OK(绿)灯、MODE(橙)灯齐闪烁。

等待S16开关转换。

4、S16的2、3脚断开，1、2脚接通。

5、门禁控制器初始化完成，蜂鸣器鸣响一声，门禁控制器进入用户使用状态。

说明：初始化操作仅修改系统密码为缺省密码12345（出厂默认），其它数据不会被删改。

二、继电器输出设置方法J1的1、2脚连接，“3”“4”常开J1的2、3脚连接，“3”“4”常闭J2为高低电平选择三、门禁控制器编程方法“#”键，功能键，进入编程模式a、按“#”字键，POWER(红)灯、OK(绿)灯、MODE(橙)灯齐亮。

b、输入5位系统密码，蜂鸣器鸣响一声，POWER(红)灯、MODE(橙)灯亮，OK(绿)灯熄灭，门禁控制器进入系统编程模式。

“0”键，加入卡+密码型用户a、按“0”字键，MODE(橙)灯亮、POWER(红)灯、OK(绿)灯熄灭。

ad域还原密码
如果想要重置AD域的密码，可以采用以下几种方法：
1.使用Windows的ntdsutil命令重置密码。

2.通过“活动目录用户和计算机”管理工具，选择“域用户”，找到需要还原密码的用户账户，右键单击并选择“重置密码”。

3.在命令行窗口中输入“ntdsutil”命令，然后输入“set dsrp password”，再在“Reset DSRM Administrator Password（重置DSRM管理员密码）”提示符下输入“reset password on server null”。

4.如果是在Windows 2000服务器中修改目录服务恢复模式的密码，一般习惯于重新启动电脑，然后使用微软管理控制台(MMC)本地用户和组管理单元或者通过命令Netuser administrator来修改管理员的密码。

请注意，这些操作需要相应的权限，如果遇到问题，建议寻求专业人士的帮助。

1 注意：1. LDAP 无法获取window s Active Directory 用户密码2. 系统管理员可以修改其他用户的密码（不需要知道原来的旧密码），或者用户可以修改自己的密码（用户必须知道自己的密码）。

这些密码修改操作必须通过一个安全通道来执行，象SSL、TLS、Kerberos。

3. Windows 2000 域控制器不支持TLS协议。

但是Windows 2000 和Window s Server 2003 域控制器都支持SSL。

对基于SSL或TLS的会话，你的工作站（或指定的JRE）必须信任域控制器认证中心发布的CA证书。

相关资料可到网站在看具体步骤如下：环境要求：一台安装Active Directory 的服务器,域名为security.boco一台安装证书服务(需安装企业根证书)的服务器，此服务器加入security域中一台安装JAVA应用的服务器，此服务器不需要加入security域中安装步骤：1 安装Active Directory 域控制器2 安装证书服务3 以域用户登录到安装了证书服务的服务器中，导出域根证书和计算机证书第一步:进入MMC控制台，添加证书，选择本地计算机d1.jpgdc1.jpg进入MMC 控制台dm1.jpg添加证书管理单元，选择本地计算机个人- 第二步展开刚增加的证书节点，选择证书>证书,选择CA证书，导出证书◊个人◊第三步展开证书节点，选择证书,右击所有任务，申请新证书,证书类型选择计算机类型xz.jpgxz2.jpg4 将从证书中导出的两个证书文件,*.cer 使用java的keytool工具创建或导入证书库文件中导入CA证书D:\Borland\jdk142_05\bin>keytool -import -keystore security51.keystore -file 51A Droot.cer输入keystore密码： lwfmahOwner: CN=securityCA, DC=security, DC=boco发照者：CN=securityCA, DC=security, DC=boco序号：72880fb3005cd7a54efa9c224241008b有效期间：Thu Nov 10 20:48:49 CST 2005 至：Tue Nov 10 20:55:33 CST 2015认证指纹：MD5： 51:3F:C3:B1:C3:A6:EF:24:55:70:2A:25:0D:EB:57:59SHA1：B3:EE:CC:92:E3:D4:87:48:D4:1D:F3:53:5B:0E:99:E1:B7:0F:27:20信任这个认证？[否]： y认证已添加至keystore中导入申请的计算机证书D:\Borland\jdk142_05\bin>keytool -import -keystore security51.keystore -alias comkey -file 51AD.cer输入keystore密码： lwfmah认证已添加至keystore中5 编写如下代码修改Active Direcotry 域用户密码public static void main(String[] args) throws UnknownHostException,IOException {// .Socket sock = new .Socket("10.110.180.50",636);// boolean b = sock.isConnected();Hashtable env = new Hashtable();String adminName = "cn=administrator,cn=users,DC=security,DC=boco";String adminpassword = "123456789";String userName = "CN=iam_lwf_count,OU=网管中心,DC=security,DC=boco";// old password Ab123456String newPassword = "liaowufeng";String keystore = "D:/Borland/jdk142_05/bin/security51.keystore";// String keystore = "E:/project/iam/testADlhj.keystore";System.setProperty(".ssl.trustStore", keystore);System.setProperty(".ssl.trustStorePassword", "lwfmah");env.put(Context.INITIAL_CONTEXT_FACTORY,"com.sun.jndi.ldap.LdapCtxFactory");env.put(Context.SECURITY_AUTHENTICATION, "simple");env.put(Context.SECURITY_PRINCIPAL, adminName);env.put(Context.SECURITY_CREDENTIALS, adminpassword);env.put(Context.SECURITY_PROTOCOL, "ssl");String ldapURL = "ldaps://10.110.180.50:636";env.put(Context.PROV IDER_URL, ldapURL);try {LdapContext ctx = new InitialLdapContext(env, null);ModificationItem[] mods = new ModificationItem[1];String newQuotedPassword = "\"" + newPassword + "\"";byte[] newUnicodePassword = newQuotedPassword.getBytes("UTF-16LE");mods[0] = new ModificationItem(DirContext.REPLACE_ATTRIBUTE,new BasicAttribute("unicodePwd",newUnicodePassword));ctx.modifyAttributes(userName, mods);System.out.println("Reset Password for: " + userName);ctx.close();System.out.println("Problem encoding password222: ");} catch (Exception e) {e.printStackTrace();System.out.println("Problem encoding password222: " + e);}}。

【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验器材】两台PC，一台作为域控制器DC（PC1），另一台客户机（PC2）需要加入到域中。

【实验步骤】一、安装活动目录1、将要作为控制器DC的PC上运行DCPromo。

单击［下一步］。

2、由于所建立的是域中的第一台域控制器，所以选择［新域的域控制器］单击［下一步］。

3、选择［创建一个新域的域目录树］，单击［下一步］。

4、选择［创建一个新域的域目录林］，单击［下一步］。

5、在［新域DNS全名］中输入要创建的域名tlpt+学号后两位.com（如学号2，DNS全名为tlpt02），单击［下一步］。

6、安装向导自动将域名控制器的NetBIOS名设置为“tlpt+学号后两位”，单击［下一步］。

7、显示数据库、目录文件及 Sysvol文件的保存位置，一般不必做做修改，单击［下一步］。

8、配置DNS服务器，单击［下一步］；如果在安装 Active Directory之前未配置DNS 服务器可以在此让安装向导配置DNS，推荐使用这种方法。

9、为用户和组选择默认权限；单击［下一步］10、输入以目录恢复模式下的管理员密码，单击［下一步］。

11、安装向导显示摘要信息，单击［下一步］。

12、安装完成，重新启动计算机。

13、设置DNS。

（由于在AD配置过程中，默认把本机IP作为DNS的IP，所以我们在DNS服务器中要填写上本机IP）。

14、进入系统后，右键单击“我的电脑”，在“计算机名”栏能看到完整的计算机域名。

二、加入和退出域将PC2加入到刚新建的域中1、打开PC2的“本地连接状态”对话框，打开TCP/IP属性设置对话框，在“首选DNS 服务器”输入DNS的IP (域控制器PC1的IP)，单击“确定”完成。

目录管理系统使用说明 (3)1.1产品版本 (3)1.2产品名称 (3)1.3产品描述 (3)1.4前期准备 (4)1.4.1域连接信息的配置 (4)1.4.2配置文件的修改 (4)1.4.3数据库导入 (4)1.4.4修改数据库连接 (7)1.5产品功能 (7)1.5.1功能简介 (7)1.6系统初始化 (8)1.7.1 用户管理 (10)1.7.1.1添加用户...................................................... 错误！未定义书签。

1.7.1.2修改用户 (11)1.7.1.3用户信息 (11)1.7.1.4移除用户 (12)1.7.1.5密码维护 (12)1.7.1.6操作指纹 (12)1.7.1.7删除指纹 (13)1.8日志管理 (13)1.8.1登录日志 (13)1.8.2管理日志 (14)1.8.3系统操作日志 (14)1.8.4指纹管理日志 (14)1.9系统管理 (15)1.9.1权限管理 (15)1.9.1.1角色管理 (15)1.9.2指纹验证设备 (15)1.9.3服务参数设置 (16)1.9.3.1服务管理信息 (16)1.9.3.2指纹识别参数 (17)1.9.4分发管理 (17)1.9.5密码策略 (17)1.10TrustLink应用 (18)1.10.1 SSO设置 (18)1.10.1.1基本设置 (18)1.10.1.2客户端管理 (19)1.11初始化管理 (21)1.11.1系统管理员初始化 (21)管理系统使用说明1.1产品版本TrustLink ADManagement V4.01.2产品名称TrustLink ADManagement V4.01.3产品描述满足企业对域用户登录进行强身份验证的需求,并且增加了角色管理,方便用户根据不同的角色操作管理平台.产品范围：只提供简中语言，满足国内市场销售的需要。

美国动力公司前言2040系统是用于闭路电视监控（CCTV）系统的一种集成矩阵切换及控制系统，最多能控制一个完整的1024路输入和128路输出CCTV系统以及多个控制站（键盘）。

2040系统在与变速云台和接收机配套使用时，具有视频输放循环连接能力，并带有一个方向引导手柄进行变速控制。

此软件/固件属AMERICAN DYNAMICS美国动力公司独家所有，本公司拥有版权。

未经本公司书面明确同意，不得以任何方式予以复制或披露。

软件通过许可证向买方提供，用于单个系统。

由美国动力公司提供的资料，相信是准确和可靠的。

但是，对于该资料的使用或由于使用该资料可能造成的对第三方其它权利的侵犯行为，本公司一概不承担责任。

对于本公司的任何一项专利或专利权限均不发给许可证。

1994年版板，美国动力公司，版权所有目录使用本说明书注意事项第1章产品概况第2章技术指标第3章设备安装第4章操作与编程第5章附录使用本说明书注意事项产品名称 / 图片功能特点本说明书不适用章节2U矩阵全功能无(报警选配)4U矩阵无并行报警输入、输出,需用报警接口箱来实现3.2 中，典型连接图2“矩阵主机后面板并行报警输入、输出端口”部分；4.2.4 中“矩阵主机后面板并行报警输入、输出端口”部分8U矩阵无并行报警输入、输出，需用报警接口箱来实现3.2 中，典型连接图2“矩阵主机后面板并行报警输入、输出端口”部分；4.2.4 中“矩阵主机后面板并行报警输入、输出端口”部分第1章产品概况AD2040矩阵切换 /控制（主机）系统采用了先进的大规模集成电路矩阵切换技术和计算机控制技术，可以为用户提供卓越的整体性能，它具有完备的视音频矩阵切换能力，可以在任意监视器上显示任意摄像机的图像和与之对应的声音。

并对前端设备进行控制，而且这些操作可以通过手动操作和编程自动切换两种方式来实现，系统可使操作者方便地管理电视监控系统。

AD2040矩阵切换控制系统采用总线式控制结构，方便周边设备联结和扩容，通过码转换器可直接控制 ROBOT、SENSORMATIC 等多画面分割录像处理器。

微软ad 验证方法微软AD（Active Directory）验证方法在企业网络中，微软的AD（Active Directory）是一种常用的身份验证和访问控制解决方案。

它提供了一种集中管理用户、计算机和其他设备的方法。

为了确保网络安全，必须正确配置和验证AD。

本文将介绍微软AD的验证方法，以确保系统的安全性和稳定性。

一、用户验证用户验证是AD的基本功能之一。

在用户登录时，AD会验证用户的身份，以确保只有授权用户才能访问系统资源。

用户验证可以通过以下几种方式进行：1. 用户名和密码验证：用户输入用户名和密码后，AD会将其与存储在域控制器中的用户数据库进行比对。

如果匹配成功，则用户被授权访问系统资源。

2. 双因素认证：除了用户名和密码验证外，还可以使用双因素认证提高安全性。

双因素认证通常结合密码和硬件或软件令牌、生物识别等因素，以确保用户身份的准确性。

二、设备验证除了用户验证外，AD还提供了设备验证的功能。

设备验证可以通过以下方式进行：1. MAC地址过滤：可以在AD中配置MAC地址过滤规则，只允许特定MAC地址的设备连接到网络。

这种方式可以限制非授权设备的访问。

2. 证书认证：可以为设备颁发证书，并在AD中配置证书信任链。

只有携带有效证书的设备才能连接到网络。

三、访问控制AD还提供了强大的访问控制功能，可以对用户和设备的访问进行精细化管理。

以下是一些常用的访问控制方法：1. 用户组和权限：可以将用户分组，并为每个用户组分配不同的权限。

这样可以根据用户的职责和需求，将其授权访问特定的系统资源。

2. OU（组织单位）和GPO（组策略对象）：可以通过OU和GPO 来管理用户和计算机的访问控制策略。

通过组织单位的层级结构和组策略对象的配置，可以实现对不同组织单位和计算机的不同访问控制策略。

四、监控和审计为了确保AD的安全性，需要对其进行监控和审计。

以下是一些常用的监控和审计方法：1. 安全日志记录：AD会记录用户登录、权限修改、访问拒绝等安全事件，并将其记录在安全日志中。

给使用AD认证的用户提供密码修改功能用户需求：用户以前使用SPX的LocalDB认证，并使用LocalDB提供的密码修改功能。

后来改为Win2003 Server AD认证，用户也要求提供密码修改功能。

由于微软IIS6.0提供一个密码修改的页面，将这个页面链接放在welcome页面上，用户登陆到SPX后，就可以点击这个链接，访问密码修改页面，进行密码修改。

具体实现：AD所在的Win2003 Server 要求SP1或更高的Service Pack。

1、检查目录windows\system32\inetsrv\iisadmpwd和下面的文件是否存在，如不存在，应该是补丁问题2、点击开始—程序—管理工具，运行Internet Information Service（IIS）manager，在IIS下，选择一个web site，点右键新建一个Virtual Directory名字为iisadmpwd3、确定iisadmpwd Virtual Directory的路径为windows\system32\inetsrv\iisadmpwd，并且有read和run scripts的权限4、 安装完成后，在虚拟目录iisadmpwd 下能看到从路径windows\system32\inetsrv\iisadmpwd映射过来的文件5、确定iisadmpwd Virtual Directory运行在发布iisadmpwd目录的web site所在的DefaultAppPool里这样，通过IIS提供的web 功能，就能访问到windows\system32\inetsrv\iisadmpwd下修改密码文件，其中：http://ip /iisadmpwd/aexp3.asp提供过期密码修改功能可以将上面的url放在客户定制化的welcome页面上，提供给登陆用户修改密码的功能。

后续要求：1、能否提供强制初次登陆要求修改密码的功能？如何把我们的force password change功能能否重定向到用户的系统？2、能否设定密码的有效期？。

中国石化统一账号密码修改手册二○一六年七月1.用户自助修改密码第一步：通过系统首页链接进入修改密码向导用户登录自助服务系统，地址：https:// 进入下图。

输入用户名，密码，验证码后，点击【登录】按钮。

点击页面上方的【修改密码】第二步：修改密码选择统一账号密码修改，修改密码需要提供原始密码，新密码与确认密码需符合密码策略。

密码策略为：长度至少8位大写字母、小写字母、数字、其他字符(不含?!)四选三组合不能含统一账号或应用账号(如邮箱)不能与最近5次密码相同。

第三步：修改AD业务账号密码（如果没有AD业务账号请跳过此步骤。

）如果有AD业务账号，可以选择AD业务账号密码修改，然后选择需要修改密码的AD业务账号。

修改密码需要提供原始AD业务账号密码，新密码与确认密码需符合密码策略。

2.常见问题2.1 统一账号找回指用户已注册了统一账号，但是忘记了账号，需要用户自行找回账号。

第一步：通过打开系统首页进入找回账号向导用户登录自助服务系统，地址：https://，点击页面上的【忘记账号】第二步：验证用户信息输入姓名和身份证号码后，点击【确定】按钮，信息校验成功后，页面会显示统一账号和人员类型（如HR人员、其他人员）。

2.3 用户修改密码（在忘记密码情况下）第一步：通过登录首页链接进入重置密码向导用户登录自助服务系统，地址：https://，进入下图。

此操作是在用户忘记密码的时候为用户提供重置密码功能。

点击【忘记密码】按钮，重置密码向导完成修改密码。

第二步：输入账号可以选择“统一账号”或者“AD普通账号”，然后输入需要重置密码的账号，点击【下一步】按钮。

第三步：选择校验方式目前系统提供了四种验证方式，见下图：1. 通过手机验证码验证通过预留的手机号码接收验证码，进行校验。

如下图注：验证码的有效时间为15分钟。

点击【获取验证码】发送验证码到预留的手机，将接收到验证码输入到指定位置，点击【下一步】按钮进入重置密码界面。

AD2000-M单门门禁控制器(密码键盘)用户手册(产品使用前请仔细阅读本手册)产品特性：工作电压：DC12V开锁电流：≤1000Ma静态电流：≤40mA储存容量：500张用户卡工作温度：-10℃~70℃工作湿度：10%~90%尺寸：117×117×21mm安装说明：卸下固定面板与底板的十字螺丝，取下底板，使用随机配备的胶塞和螺钉将底板安装在欲控制出入口的入口侧墙壁。

注意上下方向。

按照电路板上的接线标记将电线接好.如下图:接电源 接电锁 接内部开关 接门铃J1跳线 J6跳线注意:1.上电前必需确认电源电压（DC12V）和电源正负极性2.防撬报警开关在电路板右下角，闭合禁声，弹开蜂鸣器连续短鸣报警。

操作说明：一. 门禁控制器初始化方法：1.关闭电源，J6跳线的第1脚和第2脚相接2.接通电源，蜂鸣器连续断续鸣响报警POWER(红)灯、OK(绿)灯、MODE(橙)灯齐闪烁。

3.断电，再接通电源，POWER（红）灯、OK（绿）灯、MODE（橙）灯齐闪烁。

等待J6开关转换。

4. J6的1、2脚断开，2、3脚接通。

5.门禁控制器初始化完成，蜂鸣器鸣响一声，门禁控制器进入用户使用状态。

说明：初始化操作仅删除用户自行设置之密码，并设为缺省密码12345（出厂密码），其它数据不会被删改。

二.电锁设置方法J1的1、2脚连接，输出常开信号（开路）；2、3 脚连接，输出常闭信号（+12V）。

三.门禁控制器系统编程设置方法“#”字键：功能键，进入系统编程模式1.按“#”字键6次，POWER（红）灯、OK（绿）灯、MODE（橙）灯齐亮。

2.输入5位用户系统密码，蜂鸣器鸣响一声，OK（绿）灯熄灭，门禁控制器进入系统编程模式。

“1”字键：修改用户系统密码1.按“1”字键，MODE（橙）灯亮、POWER（红）灯、OK（绿）灯熄灭。

2.用户输入5位数字密码（如：23456），输入完毕，蜂鸣器短鸣一声，OK（绿）灯闪亮一次后熄灭，POWER（红）灯、OK（绿）灯亮，密码修改成功。

A D A d m i n i s t r a t i v e S n a p-i n s A n d T o o l s常用A D管理组件和工具一、活动目录的管理插件有如下：Active Directory Users and ComputersActive Directory Domains and TrustsActive Directory Sites and ServicesActive Directory SchemaActive Directory Service Interfaces (ADSI)二、活动目录修改及查询命令dsadd命令（创建活动目录对象）：用于在AD中创建OU、用户、组、联系人等对象，但是不能对AD中的对象进行修改，下面逐一进行介绍。

1、创建组织单位：命令格式：dsadd ou <OUDN> [-desc 描述] [{-s 服务器|-d 域}] [-u 用户名] [-p {密码|*}] [-q] [{-uc|-uoc|-uci}]注意：OU名称应为要创建的OU的LDAP绝对路径（DN，Distinguished Name），如果DN中包含空格，应该在路径两端使用双引号。

例如要在域中建立一个名为finance的OU，可以执行以下命令：C:\>dsadd ou ou=finance,dc=yjx,dc=com -desc "财务部"2、创建域用户帐户命令格式：dsadd user <UserDN> [-samid <SAMName>] -pwd {<Password>|*} –upn UPN例如要在域中建立一个名为mike的用户帐户，该用户将位于sales OU中，其显示名称为“mike yang”，则可以执行以下命令：C:\>dsadd user cn=mike,ou=sales,dc=yjx,dc=com -samid mike -pwd benet3.0 -display “mike yang”3、创建计算机帐户命令格式：dsadd computer <ComputerDN>要在域中的sales OU中建立一个名为client-2的计算机帐户，可以执行以下命令：C:\>dsadd computer cn=client-2,ou=sales,dc=yjx,dc=com要在域中的sales OU中建立一个名为client-3的计算机帐户，并设置计算机账户的描述信息为“测试工作站”，可以执行以下命令：C:\>dsadd computer cn=client-3,ou=sales,dc=yjx,dc=com -desc 测试工作站4、创建联系人命令格式：dsadd contact <ContactDN> [-fn <FirstName>] [-mi <Initial>] [-ln <LastName>] [-display <DisplayName>] [-desc <Description>]要在域中的sales OU中建立一个名为杨建新的联系人，执行以下命令：C:\>dsadd contact cn=杨建新,ou=sales,dc=yjx,dc=com -fn jianxin -ln yang -display 杨建新dsmod命令（修改活动目录对象）：用于修改AD对象的属性，可以对OU、用户、组、联系人等对象进行修改。

A1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。

”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。

注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC 的 IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。