域用户权限

合集下载

域用户本地权限设置

域用户本地权限设置文档一、情况说明本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。

在AD上建立域用户的时候，默认是隶属于Domain Uses用户组我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。

但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。

为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法1、通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中，然后通过大通的权限获取机制安装大通windows服务。

2、通过组策略把Domain Users加入到每个客户端的本地administrators组中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。

下一章节就是解决步骤。

二、解决步骤方法1：创建datong.vbs，内容如下：Set ws = WScript.CreateObject ( "WScript.Shell" )compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )在AD中右键点击“域（例如）”——>属性——>组策略“新建”——“组策略名称随便取”——“编辑”计算机配置——windows设置——脚本——启动点击“显示文件”，把datong.vbs拷贝到目录中回到策略界面，点击添加，把datong.vbs加入启动策略。

域中3种组作用域的类型、授权范围、成员、权限分配

A：账户；DL：本地域组；G：全局组；P：赋权限；
作用域类型
授权范围
成员
权限分配
说明
本地作用域
本域
森林中的任何域的域用户和全局组、通用组
ADLP规则
全局作用域
整个林以及信任域
本域的域用户和组
AGDLP规则
多域环境中，成员身份信息存储在每个域中
通用作用域
整个林以及信任域
森林中任何域的域用户和全局组、通用组
通用组只能创建在通讯组下，而通讯组只能作电子邮件的通讯，没有安全方面的功能。
域功能级别是windows 2000混合模式，不能创建通用安全组；多域环境中，通用组成员身份信息在全局编录中
注意：具有通用组成员身份不应频繁改动，因这些成员身份的任何改动都将引起整个组的Βιβλιοθήκη 员身份复制到森林中的每个全局编录中。

电脑加入域的操作方法

电脑加入域的操作方法电脑加入域是指将一台个人电脑加入到企业的域中，以便于统一管理和控制。

在企业中，电脑加入域可以实现用户集中管理、共享资源、安全策略统一等好处。

下面是电脑加入域的操作方法：1. 检查网络连接：首先，确保电脑与域控制器所在的网络正常连接。

可以通过ping命令或使用其他网络工具来测试网络连通性。

2. 配置IP地址：电脑需要配置一个与域控制器相同子网的IP地址，以便于进行通信。

打开网络和共享中心，点击“更改适配器设置”，右键点击网络适配器，选择“属性”，在“Internet 协议版本4（TCP/IPv4）”中配置IP地址。

3. 修改计算机名称：电脑的计算机名称必须是唯一的，不与域中其他计算机重复。

打开“控制面板”，点击“系统和安全”，选择“系统”，点击“更改设置”，在“计算机名称”选项卡中，点击“更改”，修改计算机名称。

4. 重启电脑：修改计算机名称后，会提示需要重启电脑才能生效。

点击“确定”后，电脑会重启。

5. 登录域管理员账户：电脑重启后，选择以管理员身份登录。

在登录界面，点击“其他用户”，输入域管理员账户名和密码，点击“登录”。

6. 加入域操作：在登录成功后，右键点击“计算机”图标，选择“属性”。

在系统属性中，点击“更改设置”，在“计算机名、域和工作组设置”中，点击“更改”按钮。

在弹出的对话框中，选择“域”，输入域名称，点击“确定”。

7. 接受域管理员权限确认：加入域后，会弹出需要域管理员确认的对话框。

输入域管理员账户名和密码，点击“确定”。

8. 完成加入域：加入域后，会自动进行电脑的重新启动，以使域设置生效。

电脑重启后，会显示一个输出欢迎信息的屏幕，此时表示电脑已成功加入域。

9. 登录域账户：电脑加入域后，可以通过选择“其他用户”登录域账户进行使用。

输入域账户名和密码，点击“登录”。

注意：加入域后，原有的本地账户将不能进行登录。

10. 配置域用户权限：在电脑加入域后，可以通过域控制器对用户的权限进行管理。

给域账户设置管理员权限

针对Windows Server2003给域账户设置管理员权限【也适用XP】针对袁绪军写的【如何加入域】第5步，在server中没找到用户账户，故用一下步骤取代1、如图，在【我的电脑】上右键，点击【管理】2、如图，在弹出的【计算机管理】页面：选中【本地用户和组】->【组】中，在Administrators 上右键，点击【添加到组】3、如图，点击【添加】4、如图，在弹出的对话框中，点击【高级】5、如图，此时会弹出域服务器的验证。

输入域服务器192.168.0.173的用户名和密码。

点击【确定】6、上一步确定后，如图，点击【立即查找】7、找到刚才加入域的用户“XXX”，选中后，点击【确定】8、如图，再次点击【确定】9、如图，再次点击【确定】，至此，给域账户设置管理员权限完毕。

出师表两汉：诸葛亮先帝创业未半而中道崩殂，今天下三分，益州疲弊，此诚危急存亡之秋也。

然侍卫之臣不懈于内，忠志之士忘身于外者，盖追先帝之殊遇，欲报之于陛下也。

诚宜开张圣听，以光先帝遗德，恢弘志士之气，不宜妄自菲薄，引喻失义，以塞忠谏之路也。

宫中府中，俱为一体；陟罚臧否，不宜异同。

若有作奸犯科及为忠善者，宜付有司论其刑赏，以昭陛下平明之理；不宜偏私，使内外异法也。

侍中、侍郎郭攸之、费祎、董允等，此皆良实，志虑忠纯，是以先帝简拔以遗陛下：愚以为宫中之事，事无大小，悉以咨之，然后施行，必能裨补阙漏，有所广益。

将军向宠，性行淑均，晓畅军事，试用于昔日，先帝称之曰“能”，是以众议举宠为督：愚以为营中之事，悉以咨之，必能使行阵和睦，优劣得所。

亲贤臣，远小人，此先汉所以兴隆也；亲小人，远贤臣，此后汉所以倾颓也。

先帝在时，每与臣论此事，未尝不叹息痛恨于桓、灵也。

侍中、尚书、长史、参军，此悉贞良死节之臣，愿陛下亲之、信之，则汉室之隆，可计日而待也。

臣本布衣，躬耕于南阳，苟全性命于乱世，不求闻达于诸侯。

先帝不以臣卑鄙，猥自枉屈，三顾臣于草庐之中，咨臣以当世之事，由是感激，遂许先帝以驱驰。

AD域权限设置

安全组：
在组名的命名约定中合并作用域名称能够反映所属关系（部门或小组名称）在组名的开头添上域名或其缩写使用描述符来标识一个组所拥有的最大权限，例如：DL IT London OU Admins
通讯组：
使用短的别名显示名称里不应包含用户的别名一个通讯组最多由五个合作者管理
管理组成员
“成员”和“隶属于”属性演示 “成员”和“隶属于” 确定用户账户的从属组在组中添加和删除成员
在自己和所有信任的域里可见林中所有域
通用组
成员
可作为右边表格中所示组的成员作用域权限
通用组规则混合模式：不适用本机模式：用户账户、全局组和森林中任何域的其他通用组
混合模式：不适用本机模式：任何域中的域本地组和通用组
森林中所有域都可见森林中所有域
域本地组
成员
可作为右边表格中所示组的成员作用域权限
创建本地和域服务账户创建新的本地账户（不在本地登录）
DSADD
DSADD 是 Windows Server 2003 Server 新提供的工具 DSADD 用于将计算机、联系人、组、组织单位或用户添加到目录中可通过输入 DSADD /? 获取如何使用该命令的详细信息
用户账户的属性
用户账户的属性对话框
全局、本地域、通用
Windows Server 2003
Windows Server 2003
全局、本地域、通用
全局组
成员
可作为右边表格中所示组的成员
作用域权限
全局组规则混合模式：同一个域中的用户账户本机模式：同一个域的用户账户和全局组混合模式：域本地组本机模式：任何域里的通用和域本地组，以及相同域的全局组

2-1-1 域用户、用户组的权限安全配置

THANK YOU
感谢观看
操作步骤
2.鼠标右键单击窗口左侧的【ADSI 编辑器】，然后点击【连接到】。
操作步骤
3.使用默认配置点击【确定】。连接域控制器。
操作步骤
4.找到域下的密码设置容器（CN=System->CN=Password Settings Container）。然后右键选择【新建】-->【对象】。
操作步骤
5.在【创建对象】界面中使用默认，点击【下一步】。
操作步骤
6.为对象设置一个名称，这里使用与用户组相同的名称，应用服务器管理员设置名称，为“server admin”。点击【下一步】。
操作步骤
7.设置优先级属性为1，值越小优先级越高。点击【下一步】继续。
操作步骤
8.设置“是否用可还原的加密来存储密码”属性，设置为否，输入“false”，点击【下一步】。
操作步骤
19.找到“msDS-PSOAppliesTo”属性双击，点击【添加Windows账户】添加相应的用户组或用户。
操作步骤
20.在【对象属性界面】点击【应用】后点击【确定】，至此配置完成。可以从新设置一下不同组内的用户密码看看来验证你的策略。
拓展练习
使用ADSI编辑器，在密码设置容器中新建对象（server admins）,设置最小密码长度为 6；密码使用期限从最短的0天到最长的60天；密码锁定阈值为5；密码锁定时间设定为20分钟。
操作步骤
16.设置“密码锁定时间”属性，我们也设置20分钟，即20分钟后解锁。输入值 “0:00:20:00”点击【下一步】。
操作步骤
17.最后如果点击【完成】一个对象就建立完成了。再根据其他组要求将来相应组的密码策略对象。

域用户权限设置 (改变及装软件)

建议:
====
如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择.
1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能.
2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限.
关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装:
1.需要修改服务,驱动,系统文件的.(例如控制权限.
分析:
=====
您说到的这些情况,windows域就是设计为这样的.
默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行.
而域管理员是自动加入到了本机的“administrator”组的.
http:
域用户权限设置
公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员，无法升级”。不知道怎么解决？
回答：
根据您的描述，我对这个问题的理解是：
普通的域用户的权限问题。
3.安装前先检查用户的组身份,不属于管理员直接拒绝.
由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序.

公司域管理方案

-域控制器采用高可用性配置，避免单点故障。
2.域用户管理：
-建立严格的用户账户管理流程，确保用户账户的合法合规；
-对离职员工的账户进行及时禁用或删除，防止未授权访问。
3.域策略设置：
-制定统一的密码策略，包括密码长度、复杂度、更换周期等；
-实施登录失败处理策略，防止暴力破解；
-设置合理的登录权限，对敏感操作进行审计。
2.权限管理流程：
-建立权限申请、审批、变更及回收的标准化流程，提高管理效率；
-定期进行权限审计，及时调整异常权限，保证权限管理的有效性。
3.访问控制策略：
-推行基于角色的访问控制（RBAC），简化权限管理；
-针对重要数据和文件实施严格的访问控制，防止数据泄露。
四、数据安全与保护
1.数据加密策略：
-对关键数据实施加密存储，保障数据的机密性；
-制定加密传输标准，确保敏感信息在传输过程中的安全。
2.数据备份与恢复：
-设计数据备份计划，确保关键数据免受意外损失；
-定期执行数据备份测试，验证备份数据的完整性与可用性。
3.数据泄露预防：
-实施数据泄露防护措施，监控并防止敏感数据的外泄；
-开展员工数据安全培训，提升整体数据保护意识。
五、运维管理
1.运维团队管理：
公司域管理方案
第1篇
公司域管理方案
一、概述
本文档旨在制定一套合法合规的公司域管理方案，以确保公司网络环境的安全、高效与稳定。本方案主要涉及域管理策略、用户权限控制、数据安全防护等方面，旨在规范公司内部员工的行为，提高工作效率，降低运营风险。
二、域管理策略
1.域控制器部署：
-在公司网络环境中部署至少两台域控制器，实现负载均衡，确保域服务的稳定运行；

ldap ad域用户规则

ldap ad域用户规则LDAP AD域用户规则是指在使用LDAP（轻量级目录访问协议）和AD（活动目录）的环境中，管理和控制用户的规则和要求。

下面是关于LDAP AD域用户规则的相关内容。

1. 用户命名规则：- 每个用户在AD域中都有一个唯一的用户名，通常是一个用户账号或信箱名。

- 用户名要符合组织的命名规则，通常包含字母、数字和特殊字符，并且长度限制在一定范围内（例如，5-20个字符）。

- 用户名不应包含空格、斜杠和其他特殊字符，以确保系统正常运行。

2. 密码策略：- AD域要求用户设置强密码，以防止未经授权的访问。

- 密码通常需要包含至少8个字符，包括大写字母、小写字母、数字和特殊字符。

- 密码还应定期更换，例如每90天更换一次，以增加安全性。

3. 用户权限管理：- 每个用户在AD域中被分配一定的权限，这些权限决定了用户可以使用和访问的资源。

- 根据组织的要求，用户权限可以分为不同的级别，例如管理员、普通用户等。

- 用户权限应根据需要进行定期审查和更新。

4. 组织单元（OU）规划：- AD域中的用户可以根据组织结构和职能进行分组和组织。

- 使用OU的目的是帮助管理员更好地管理和控制用户访问权限。

- 根据组织的要求，可以创建不同的OU，例如部门、地理位置等。

5. 用户锁定策略：- 为了保护用户账号免受暴力破解和未经授权的访问，AD域可以设置用户锁定策略。

- 当用户多次输错密码时，账号可以自动锁定一段时间，以阻止进一步的登录尝试。

- 锁定策略的设置可以根据组织的需求进行调整。

总结：LDAP AD域用户规则是管理和控制用户在LDAP和AD环境中的规定和要求。

这些规则包括用户命名规则、密码策略、用户权限管理、组织单元规划和用户锁定策略等。

通过合理设置这些规则，可以增强AD域的安全性，并确保用户在系统中的合法访问和使用。

windows域的权限管理方法

windows域的权限管理方法Windows域的权限管理方法一、Windows域的基本概念1.1 Windows域的定义Windows域是指在Windows操作系统中，由一组计算机和用户组成的逻辑集合，这些计算机和用户可以共享同一组策略和安全设置，实现集中管理。

1.2 Windows域的优点a) 集中管理：管理员可以在域控制器上统一管理所有计算机和用户。

b) 统一认证：用户只需要在域控制器上登录一次，就可以访问所有资源。

c) 安全性高：管理员可以通过集中管理实现对用户和计算机的权限控制。

二、Windows域的权限管理原则2.1 最小权限原则最小权限原则是指给予用户或计算机最少必要的权限，在保证正常工作的前提下，尽量减少安全风险。

2.2 分层次授权原则分层次授权原则是指将权限按照不同的层次进行划分，并对每个层次进行不同程度的授权。

这样可以避免出现过多冗余或重叠的权限。

2.3 审核与监管原则审核与监管原则是指对于所有权限变更都应该有记录，并且需要定期进行审核。

同时需要建立相应监管机制，确保管理员行使职权时合法合规。

三、Windows域的权限管理方法3.1 用户权限管理用户权限管理是指对于域中的用户进行权限控制。

管理员可以通过以下步骤实现：a) 创建用户账号：在域控制器上创建用户账号，并分配相应的组。

b) 分配权限：根据最小权限原则和分层次授权原则，对每个组进行不同程度的权限授权。

c) 审核与监管：对于所有权限变更都应该有记录，并且需要定期进行审核。

3.2 计算机权限管理计算机权限管理是指对于域中的计算机进行权限控制。

管理员可以通过以下步骤实现：a) 创建计算机账号：在域控制器上创建计算机账号，并将其加入到相应的组中。

b) 分配权限：根据最小权限原则和分层次授权原则，对每个组进行不同程度的权限授权。

c) 审核与监管：对于所有权限变更都应该有记录，并且需要定期进行审核。

3.3 策略设置策略设置是指在域控制器上设置安全策略，包括密码策略、账户锁定策略、审计策略等。

ad域用户限定登录计算机的原理

ad域用户限定登录计算机的原理AD（Active Directory）域是在Windows Server操作系统上部署的一种目录服务，它提供了对网络中的资源和用户进行集中管理的能力。

AD域用户限定登录计算机是指通过AD域控制器对用户进行身份验证和授权，限定用户只能在指定的计算机上登录的一种安全措施。

AD域用户限定登录计算机的原理是基于AD域控制器的用户登录控制策略。

当用户在计算机上输入用户名和密码进行登录时，计算机会向AD域控制器发送登录请求。

AD域控制器会对用户进行身份验证，验证通过后会返回一个访问令牌给用户。

在这个过程中，AD域控制器会根据用户的登录限制策略来判断用户是否允许登录该计算机。

在AD域中，管理员可以通过组策略（Group Policy）来配置用户的登录限制策略。

登录限制策略包括限定用户可以登录的计算机列表、限定用户可以登录的时间段、限定用户可以同时登录的计算机数等。

管理员可以将用户分组，并为每个组配置不同的登录限制策略，从而实现对不同用户的灵活控制。

在配置登录限制策略时，管理员首先需要创建一个组策略对象，并将其链接到域或组织单位上。

然后，在组策略对象中配置计算机登录限制策略。

可以通过“计算机配置”-“Windows设置”-“安全设置”-“本地策略”-“用户权限分配”来配置“允许登录本地计算机”的用户列表。

管理员可以通过添加或删除用户来限定用户可以登录的计算机。

管理员还可以通过配置登录时间限制策略来限定用户可以登录的时间段。

可以通过“计算机配置”-“Windows设置”-“安全设置”-“本地策略”-“用户权限分配”来配置“拒绝登录本地计算机的用户”的列表，从而限定用户在指定的时间段内无法登录计算机。

管理员还可以通过配置会话限制策略来限制用户可以同时登录的计算机数。

可以通过“计算机配置”-“Windows设置”-“安全设置”-“本地策略”-“用户权限分配”来配置“拒绝从网络和终端服务登录的用户”的列表，从而限定用户在同一时间内只能登录指定数量的计算机。

域用户WIN2003客户机的关机权限

安装好了一台域控制器，添加了一个普通帐户为，并为之设置了密码。
用一台做客户端，加入域。结果没有关机权限，只有注销权限。如何修改，使其具有关机权限？步骤如下：
打开域控制器服务器（就是）的域安全策略，打开默认域安全设置，如下图所示：
展开安全设置乳房权限分配
右键单击“关闭系统”－－属性
勾选定义这些策略设置－－－点击添加用户或组
出现下图点浏览
在下图中确定查找用户的位Biblioteka （在哪个域里进行查找），然后点高级
在搜索结果中选定用户，点确定
此时策略设置中就出现了中的就有了关机权限
客户端默认是具有关机权限的。

权限管理模型

权限管理模型
权限管理模型是在计算机安全中，用于控制访问控制的一种抽象概念。

它描述了一个系统如何根据用户的身份、访问对象上存储的信息以及用户对操作的请求来确定用户是否具有访问某对象的权限。

它是一种静态访问控制机制，它负责处理访问资源时的权限检查。

常见的权限管理模型有角色权限模型、域权限模型、会话权限模型和动态权限模型等。

角色权限模型：将用户的角色作为访问控制的依据，根据用户所属的角色分配不同的权限，角色之间可以相互继承和覆盖，即一个用户可以有多个角色，每个角色都有自己的权限，而用户的权限就是他所拥有的角色的权限的总和。

域权限模型：是用户权限控制的一种方法，它将系统中的访问对象划分为不同的域，然后根据用户对某个域的权限，决定用户是否可以访问该域内的资源。

会话权限模型：是指在安全会话期间，服务器端存储用户的访问权限，并在用户登录时将其传送给客户端，用户只能在获得权限的情况下才能访问资源。

动态权限模型：是用户权限控制的一种方法，它根据用户的行为动态调整用户的权限，以便更好地控制用户的访问。

取消、修改普通域用户将计算机加入域的权限

简介普通用户加入域后默认是在Domain Users 组里，该组中用户具有将10台计算机加入域的权限，在一些安全要求极高的企业是绝对不允许的，存在较高的风险，所以需要禁止普通domain users 组中用户加域权限；但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域，但是不能将超管的密码外泄所以需要专门用来加域的用户；Windows server 2003 禁用普通domain users组的加域权限（管理员账号不受此限制）1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台，在控制台中添加adsiedit（如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI）2. 打开后依次展开图中指示，右击dc=accp,dc=com选择属性，找到ms-DC-MachineAccountQuota，其默认值为10，将此值改为0，并单击OK；Windows server 2008 禁用普通domain users组的加域权限（管理员账号不受此限制）1. 使用管理员的账号登陆域控制器，开始>管理工具>ADSIEdit；3. 右键ADSI编辑器，点击连接到，保持默认点击确定；4. 在DC=benet,DC=com处右击属性（域级别），选择ms-DS-MachineAccountQuota属性，双击，修改其值为0，并单击ＯＫ；微软指南1. 微软帮助文档：/kb/243327/zh-cnWindows server 2003授权特定普通域用户将计算机加入域1. 打开AD管理工具，选择（域级别），右击属性，选择委派控制2. 点击下一步，添加需要提升为具有将计算机加入域的账号（普通域账号账号）3. 在委派页面选择将计算机加如到域，并单击下一步，完成4. 在下面的页面，单击确定退出就完成了对普通用户的权限提升。

AD域权限设置

成员 Denver Admins, Vancouver Admins 隶属于无
Sam、 Sam、Scott 和 Amy
成员无隶属于 Vancouver Admins
Vancouver Admins
成员 Sam, Scott, Amy 隶属于 Vancouver OU Admins
在组中添加和删除成员
Power Users
Print Operators Users
组的创建位置
在森林的根域、森林的任何其他域、在森林的根域、森林的任何其他域、组织单位创建组根据管理需要选择域或组织单位来创建组例：目录有多个组织单位，每个拥有不同的管理员，可以为这些组织单位创建全局组
组命名规则
安全组：安全组：
A AA
AP G
G L
用户账户管理
用户账户域用户账户名称用户账户命名约定的制定准则用户账户在 Active Directory 层次结构中的位置用户账户的密码选项要求或限制更改密码
用户账户
本地用户账户
（存储在本地计算机）
域用户账户
Directory）（存储在 Active Directory）
Windows Server 2003 域
成员可作为右边表格中所示组的成员作用域权限
通用组
通用组规则混合模式：不适用混合模式：
成员
本机模式：本机模式：用户账户、全局组和森林中任何域的其他通用组混合模式：混合模式：不适用本机模式：本机模式：任何域中的域本地组和通用组森林中所有域都可见森林中所有域
可作为右边表格中所示组的成员作用域权限
Sales Users
用户账户的密码选项

域用户迁移引发文档访问权限故障

域用户迁移引发文档访问权限故障作者：帷幄来源：《电脑知识与技术·经验技巧》2012年第03期在局域网域工作环境中，经常会要用到域用户账户和本机用户账户进行操作，不过这两个用户账号由于操作权限不同，用户如果不能准确选用合适账号进行操作，就可能会引发一些奇怪的故障现象。

这不，本文下面的一则故障，就是因为用户没有弄清楚上述两个账号的权限造成的；为了帮助大家积累经验，现在本文就将该故障的详细排查过程还原出来，与大家共享交流!故障现象为了加强控制与管理，单位局域网管理员将所有客户端系统都强制加入了域工作环境，平时每台客户端系统工作状态都很正常。

不过，最近由于工作原因，笔者换到了其他岗位，单位特地新增加了一台客户端系统；当笔者尝试将旧客户端系统中的文件拷贝到新客户端系统中后，又将新客户端系统加入了局域网特定域。

不过，笔者在新系统中运行Word程序，编辑处理文档材料时，发现打开之前经过加密了的文件，不需要输入加密密码，就能访问到具体的文档内容，但是弹出的文档编辑窗口显示，目标文档只能读取不能修改。

追踪原因出现上面的故障现象后，笔者在第一时间就怀疑操作权限有问题。

于是，立即注销本地系统，重新以系统管理员账号登录系统，之后尝试打开先前的Word加密文档时，发现这次打开时系统弹出了身份验证对话框，正确输入访问密码后，可以正常访问文档内容，而且也能对其中的内容进行自由修改，显然上述问题真的是登录账号的权限引起的。

为了弄清楚故障产生的真正原因，笔者打开系统资源管理器窗口，找到目标Word加密文档，用鼠标右键单击该文档图标，点选右键菜单中的“属性”命令，弹出目标文档的属性对话框，选择“安全”标签，切换到标签设置页面，在这里笔者只看到了user、system、administrator这几个用户账号，而且后面两个用户账号的访问权限被设置为了完全访问，iiser用户账号的访问权限被设置为了读取以及读取运行。

经过仔细分析，笔者认为可能是自己使用了域用户账号登录了系统，而该用户账号在默认状态下是没有修改目标文档权限的，而只有读取权限和读取运行权限。

域服务器概念及作用

引言概述：域服务器是指在大型网络环境中扮演重要角色的服务器。

它们通过存储和管理用户、计算机和其他网络资源的配置和权限信息，为网络中的用户提供集中的身份验证和访问控制。

在上一篇文章中，我们已经介绍了域服务器的基本概念和作用。

在本文中，我们将进一步探讨域服务器的相关概念和作用，并将详细论述五个重要方面。

正文内容：一、用户身份管理1. 用户账号管理：域服务器提供用户账号的集中管理，包括创建、删除、禁用和启用用户账号等功能。

2. 用户权限管理：域服务器可以定义用户的访问权限，包括文件和文件夹访问权限、网络资源访问权限等。

3. 用户身份验证：域服务器可通过用户名和密码等方式验证用户的身份，确保只有经过授权的用户可以访问网络资源。

二、设备管理1. 计算机加入域：域服务器允许管理员将计算机加入域，并提供集中的管理和控制。

2. 设备配置管理：域服务器提供设备配置管理功能，包括软件安装、更新、远程打印机管理等。

3. 设备策略管理：域服务器允许管理员定义设备策略，包括密码策略、防火墙策略等，确保网络安全和合规性。

三、资源共享和访问控制1. 文件和文件夹共享：域服务器允许管理员在网络中共享文件和文件夹，并控制用户的访问权限。

2. 打印机共享：域服务器提供打印机共享功能，允许用户在网络中共享打印资源。

3. 网络资源访问控制：域服务器可以定义用户对网络资源的访问权限，包括共享文件夹、打印机等。

四、集中管理和维护1. 用户账号集中管理：域服务器允许管理员在一个集中的地方管理所有用户账号的配置和权限信息。

2. 设备集中管理：域服务器允许管理员在一个集中的地方管理所有计算机和其他设备的配置和策略。

3. 安全性管理：域服务器提供安全性管理功能，包括身份验证、访问控制、安全审计等，确保网络安全。

五、灾难恢复和备份1. 域控制器备份：域服务器允许管理员对域控制器进行备份，以确保灾难发生时的数据恢复。

2. 应用程序备份和恢复：域服务器还可以支持应用程序的备份和恢复，以防止数据丢失和业务中断。

域用户权限设置(改变及装软件)

http:域用户权限设置公司为了安全加入域后，发现有一些问题，就是有的用户需要重新启动一些服务但是提示没有权限，如何才能把指定的服务器的管理权限给普通域用户。

还有像google 输入法之类的升级的时候提示“不是管理员，无法升级”。

不知道怎么解决？回答：根据您的描述，我对这个问题的理解是：普通的域用户的权限问题。

分析:您说到的这些情况,windows 域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“ use组,这个组只有一些基本的使用功能•而您提到的重启服务，安装程序这样的操作,是需要本机管理员权限来进行.而域管理员是自动加入到了本机的“ admi ni strator组的.建议:如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“ administrator权限］这里您可以有两种选择.1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能.2•把域用户加入到本机的“ admi ni strator组使得用户始终有本机的完全控制权限. a .右键“我的电脑”选,择“管理b. 选择本地用户和组”c. 选择组”，d. 选择其中的“ administrators并双击c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了.另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现.我们假定这些server在一个名叫“server oi的”0U中.您需要赋予权限的服务是“ DNSsever”1. 在“ server o上添加一个组策略.给它定义一个名字.2. 编辑这个组策略,展开“计算机配置\windows 设置安全设置系统服务”3. 从右面栏中找到“ dns serve服务,双击.4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置”5 .在弹出窗口中,选择添加.6.输入您需要的用户（组）,然后在下面的权限栏中,赋予那个用户（组）启“动,停止和暂停”权限.关于安装程序，您可以还可以把用户加入到本地的“power use组，这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装:1. 需要修改服务，驱动，系统文件的.（例如Google输入法）2. 一些老程序会要求系统的控制权限.3. 安装前先检查用户的组身份,不属于管理员直接拒绝.由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序.来自:http:200.html。