Active Directory 环境中使用组策略管理控制台 9468915501
Windows XP 客户端的软件限制策略
安全指南Windows XP 客户端的软件限制策略更新日期: 2004年03月01日本页内容本模块内容目标适用范围如何使用本模块软件限制策略软件限制策略体系结构软件限制策略选项软件限制策略的设计和部署摘要本模块内容Microsoft® Windows® XP Professional 和 Microsoft Windows Server™ 2003 提供了“软件限制策略”功能,管理员可用来控制软件在本地计算机上运行的能力。
通过此功能,管理员可以防止用户运行未经授权的软件,并提供了其他保护措施以防病毒和特洛伊木马程序的攻击。
由于软件限制策略已集成到组策略中,因此可将其部署在 Microsoft Active Directory® 目录服务域中。
此外,还可将软件限制策略部署在独立计算机中。
返回页首目标使用本模块可以实现下列目标:•设计和部署软件限制策略•选择正确的规则类型并使用它来标识软件•控制软件限制策略使用的检查级别•将软件限制策略配置为始终允许管理员运行软件返回页首适用范围本模块适用于下列产品和技术:•Windows Server 2003 域中的 Windows XP Professional Service Pack (SP) 1 客户端•独立的 Windows XP Professional SP1 客户端返回页首如何使用本模块此模块详细描述了软件限制策略以及如何使用它们来控制软件在本地计算机上运行的能力。
为了充分理解本模块内容,请返回页首软件限制策略软件限制策略为管理员提供了一套策略驱动机制,用于标识软件并控制该软件在本地计算机上运行的能力。
这些策略可以确保环境中运行 Windows XP Professional 的计算机之间不存在已知冲突,并保护计算机免受恶意病毒和特洛伊木马程序的攻击。
软件限制策略与 Active Directory 和组策略完全集成。
Windows Server活动目录企业应用Windows Server使用组策略管理用户工作环境
Windows Server活动目录企业应用项目四 使用组策略管理用户地工作环境四.一有关知识识组策略是一种能够让系统管理员充分管理与控制用户工作环境地功能通过它来确保用户拥有符合组织要求地工作环境,也通过它来限制用户,这样不但可以让用户拥有适当地环境,也可以减轻系统管理员地管理负担。
本节介绍如何使用组策略来简化在Active Directory环境管理计算机与用户。
将了解组策略对象(GPO)结构以及如何应用GPO,还有应用GPO时地某些例外情况。
本节还将讨论Windows Server 二零一二提供地组策略功能,这些功能也有助于简化计算机与用户管理。
四.一.一组策略组策略是一种技术,它支持Active Directory环境计算机与用户地一对多管理,特点如图六-一所示。
图六-一组策略通过编辑组策略设置,并针对目地用户或计算机设计组策略对象(GPO),可以集管理具体地配置参数。
这样,只更改一个GPO,就能管理成千上万地计算机或用户。
组策略对象是应用于选定用户与计算机地设置地集合。
组策略可控制目地对象地环境地很多方面,包括注册表,NTFS文件系统安全,审核与安全策略,软件安装与限制,桌面环境,登录/注销脚本等。
通过链接,一个GPO可与AD DS地多个容器关联。
反过来,多个GPO也可链接到一个容器。
一.域策略域级策略只影响属于该域地用户与计算机。
默认情况下存在两个域级策略,如表六-一所示。
表六-一默认域级策略(域策略,域控制器策略)可以创建其它域级策略,然后将其链接到AD DS地各种容器,以将具体配置应用于选定对象。
例如,提供额外安全设置地GPO可应用于包含应用程序服务器计算机账户地组织单位。
又如,GPO可限制某个组织单位用户地桌面环境。
二.本地策略运行Windows 二零零零 Server或更高版本操作系统地每台计算机都有本地组策略。
此策略影响本地计算机以及登录到该计算机地任何用户,包括从该本地计算机登录到域地域用户。
管理员操作手册-AD域控及组策略管理51CTO下载
四川省烟草专卖局(公司) 效能协同平台管理员操作手册AD域控及组策略管理版本号1.0日期:2011年6月山东浪潮齐鲁软件产业股份有限公司文档修订记录ﻬ目录一、ActiveDirectory(AD)活动目录简介4ﻬ1、工作组与域的区别 (4)2、公司采用域管理的好处 (4)3、ActiveDirectory(AD)活动目录的功能ﻬ6二、AD域控(DC)基本操作 (6)1、登陆AD域控.................................................................................................................. 62、新建组织单位(OU)8ﻬ3、新建用户10ﻬ4、调整用户11ﻬ5、调整计算机14ﻬ三、AD域控常用命令15ﻬ1、创建组织单位:(dsadd)15ﻬ2、创建域用户帐户(dsadd)............................................................................................ 153、创建计算机帐户(dsadd)ﻬ154、创建联系人(dsadd)16ﻬ5、修改活动目录对象(dsmod)16ﻬ6、其他命令(dsquery、dsmove、dsrm)17ﻬ四、组策略管理................................................................................................................... 191、打开组策略管理器19ﻬ2、受信任的根证书办法机构组策略设置ﻬ203、IE安全及隐私组策略设置ﻬ254、注册表项推送30ﻬ五、ﻬ设置DNS转发33ﻬ一、Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于:1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。
Windows Server 2008中Active Directory域的配置管理
Windows Server 2008中Active Directory域的配置管理摘要:随着计算机技术的发展,利用域管理网内计算机的新技术得到广泛应用,本文图例介绍了windows平台的active directory 域及配置管理方法关键词:windows server active directory域配置管理中图分类号:tp316 文献标识码:a 文章编号:1007-9416(2012)02-0155-02活动目录(active directory)是windows server 2008操作系统提供的一种新的目录服务。
所谓目录服务其实就是提供了一种按层次结构组织的信息,然后按名称关联检索信息的服务方式。
这种服务提供了一个存储在目录中的各种资源的统一管理视图,从而减轻了企业的管理负担。
另外,它还为用户和应用程序提供了对其所包含信息的安全访问。
活动目录作为用户、计算机和网络服务相关信息的中心,支持现有的行业标准ldap(lightweight directory access protocal,轻量目录访问协议)第8版,使任何兼容ldap 的客户端都能与之相互协作,可访问存储在活动目录中的信息,如linux、novell系统等。
创建域之前需验证windows server 2008系统具备以下条件:(1)在安装windows server 2008的计算机上至少有一个ntfs分区,至少有250m的空间。
(2)计算机上必须配置好ip地址和dns服务器地址。
(3)具须具备管理员权限。
dns服务可以在安装活动目录前安装,也可以在活动目录集成安装,即在安装活动目录过程中安装。
1、安装active directory域一般情况下,在新安装系统时,系统会提示是否选择安装【活动目录】选项,通常不安装活动目录,以便用户有时间来规划与活动目录有关的协议和系统结构。
活动目录服务一般需要在安装windows server 2008后进行安装,可以使用“dcpromo”命令,“dcpromo”是一个图形化的向导程序,它将引导用户一步一步地建立域控制器。
如何使用ActiveDirectory管理Windows用户和组
如何使用ActiveDirectory管理Windows用户和组Active Directory(AD)是Windows操作系统中最常用的目录服务,它允许管理员集中管理用户账户、安全策略、组织单位等,为组织提供基于角色的访问控制和身份认证。
本文将介绍如何使用Active Directory管理Windows用户和组。
第一章:Active Directory简介Active Directory是Windows Server操作系统的一项功能,用于集中管理用户、计算机、服务和其他资源。
它提供了分层的目录结构,按照域的概念组织,每个域包含一个或多个域控制器(Domain Controller)。
域控制器负责存储、验证和复制目录信息。
第二章:创建AD域和域控制器首先,我们需要创建一个自己的AD域。
在开始之前,请确保你有一台安装了Windows Server操作系统的计算机,并且以管理员身份登录。
打开“服务器管理器”,选择“添加角色和功能”,在向导中选择“Active Directory域服务”。
按照向导的提示完成安装,安装过程中会要求你创建一个新的域或加入现有域。
第三章:添加用户账户在Active Directory中,用户账户用来标识和验证用户。
为了添加新的用户账户,我们可以打开“Active Directory用户和计算机”,在合适的组织单位(OU)下右键选择“新建用户”并按照向导的提示填写相关信息。
一般来说,我们需要设置账户名称、用户名、密码、描述等信息。
新建用户账户后,可以通过选中该用户账户,右键选择“重置密码”来更改用户密码。
第四章:创建和管理组在Active Directory中,组用于将用户账户和计算机账户进行逻辑分组,以便于管理。
创建新组的方法与添加用户账户类似,只需在“Active Directory用户和计算机”中选择合适的OU,右键选择“新建组”。
在组属性中,我们可以设置组名称、描述、成员等信息。
Active Directory和组策略教材
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 以前的Active Directory实现中,只能对域中的所有用户应 用一个密码和帐户锁定策略。
存放一个可写的DC和一个管理员,浪费太大。 存放一个可写的DC,让管理员远程管理,带宽低,费时
又棘手。 存放一个可写的DC不如WAN安全。
❖ RODC解决方案:
RODC提供了增强的安全性; 使登录更快速,并且允许更有效地访问本地资源; 路漫漫其悠远 RODC管理可以委派给一个没有管理权限的用户或组。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
4.委派RODC安装
❖ 在总公司DC中,可以委派合适的权限给一个用户或组。 ❖ 分支办公室的用户接受了委派权限后,就可以执行RODC
的安装,并可以管理RODC,但不需要域管理员权限。 ❖ 过程:
首先创建RODC账户; 安装过程中就可以关联/委派。
影子组(全局安全组),然后应用PSO。
路漫漫其悠远
3.1.1介绍Windows Server 2008 目录服务器角色
6.规划多元密码和帐户锁定策略
❖ 将PSO应用于组而不是OU,可以不用修改OU层次结构,组 为管理各用户集提供了更好的灵活性。
❖ 使用多元密码,需要具有2008域功能级别。 ❖ 只有域管理组的成员才可以创建PSO,以及将一个PSO应
❖ 因此,在用户相对较少,物理安全性差,网络带宽较低, IT 知识贫乏的环境下,可以采用RODC。 提供了只读AD DS数据库、单向复制、凭证缓存、管理 员角色分离、只读DNS(不支持客户更新)等功能。
一.手动安装ActiveDirectory:1.单击“开始”按钮,单击“运行”,键..
一.手动安装Active Directory:1.单击“开始”按钮,单击“运行”,键入“DCPROMO”,然后单击“确定”。
2.在出现“Active Directory 安装向导”时,单击“下一步”开始安装。
3.阅读“操作系统兼容性”信息后,单击“下一步”。
4.选择“新域的域控制器”(默认),然后单击“下一步”。
5.选择“在新林中的域”(默认),然后单击“下一步”。
6.对于“DNS 全名”,键入“”,然后单击“下一步”。
(这表示一个完全限定的名称。
)7.单击“下一步”,接受将“test”作为默认“域NetBIOS 名”。
(NetBIOS 名称提供向下兼容性。
)8.在“数据库和日志文件文件夹”屏幕上,将Active Directory“日志文件文件夹”指向“L:\Windows\NTDS”,然后单击“下一步”继续。
9.保留“共享的系统卷”的默认文件夹位置,然后单击“下一步”。
10.在“DNS 注册诊断”屏幕上,单击“在这台计算机上安装并配置DNS 服务器”。
单击“下一步”继续。
11.选择“只与Windows 2000 或 Windows Server 2003 操作系统兼容的权限”(默认),然后单击“下一步”。
12.在“还原模式密码”和“确认密码”中,键入密码,然后单击“下一步”继续。
13.单击“下一步”开始安装Active Directory。
14.在“Active Directory 安装向导”完成后,单击“完成”。
15.单击“立即重新启动”以重新启动计算机。
二.创建组织单位和组,创建OU 和安全组1.单击“开始”按钮,指向“所有程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
2.单击“”旁边的“+”号将其展开。
单击“”本身,显示其在右窗格中的内容。
3.在左窗格中,右键单击“”,指向“新建”,然后单击“组织单位”。
4.在名称框中键入“testou1”,然后单击“确定”。
如何管理Active_Directory用户和计算机
管理Active Directory用户和计算机服务器技术2010-01-26 21:36:55 阅读133 评论0 字号:大中小在使用Windows Server 2003 所包括的Active Directory服务的网络上,每个用户都必须由目录中的一个用户对象来表示。
用户对象由包含用户信息的属性和用户在网络上的权利组成。
创建和管理用户对象是网络管理员执行的常见任务。
一、用户账号简介用户账号可为用户提供登录到域以访问网络资源或登录到计算机以访问该机资源的能力。
定期使用网络的每个人都应有一个惟一的用户账号。
Windows Server 2003提供两种主要类型的用户账号:本地用户账号和域用户账号。
除此之外,Windows Server 2003系统中还有内置的用户账号。
1.本地用户账号(Local User Account)本地用户账号只能登录到账号所在计算机并获得对该资源的访问。
当创建本地用户账号后,Windows Server 2003将在该机的本地安全性数据库中创建该账号,本地账号信息仍为本地,不会被复制到其他计算机或域控制器。
当创建一个本地用户账号后,计算机使用本地安全性数据库验证本地用户账号,以便让用户登录到该计算机。
注意不要在需要访问域资源的计算机上创建本地用户账号,因为域不能识别本地用户账号,也不允许本地用户访问域资源。
而且,域管理员也不能管理本地用户账号,除非他们用计算机管理控制台中的操作菜单连接到本地计算机。
2.域用户账号(Domain User Account)域用户账号可让用户登录到域并获得对网络上其他地方资源的访问。
域用户账号是在域控制器上建立的,作为AD的一个对象保存在域的AD数据库中。
用户在从域中的任何一台计算机登录到域中的时候必须提供一个合法的域用户账号,该账号将被域的域控制器所验证。
当在一个域控制器上新建一个用户账号后,该用户账号被复制到域中所有其他计算机上,复制过程完成后,域树中的所有域控制器就都可以在登录过程中对用户进行身份验证。
管理activedirectory组对象和组策略培训课件
• 权利(right)是指可以让用户执行的
系统任务,如更改计算机上的时间、备份、 恢复文件或本地登录等。
•3. 安全组和通讯组之间的转换
• 组都可以从安全组转换为通讯组,反 之亦然。
管理activedirectory组对象和组策略
15
3. 安全组和通讯组之间的转换
• 当域功能级别设置为Windows 2000本机 或更高模式的情况下,安全组和通迅组 之间可以相互转换。
• 本机模式是指域中的所有域控制器都是基于 Windows 2000 或 Windows Server 2003 时, 该模式支持所有的组类型。
• 混合模式是指域中的域控制器包含非 Windows 2000和Windows Server 2003的计算 机。在该模式下不可创建通用组。
管理activedirectory组对象和组策略
•Performance Monitor Users成员可在本地或从 远程客户端监视该域中域控制器上的性能计数器
管理activedirectory组对象和组策略
32
•Performance Log Users成员可在本地或从远 程客户端管理该域中域控制器上的性能计数器、 日志和警报
•Pre-Windows 2000 Compatible Access成员 具有对该域中所有用户和组的读取访问权。
管理activedirectory组对象和组策略
22
四、 更改组作用域
• 创建新组时,在默认情况下,新组配置为具有 全局作用域的安全组,而与当前域功能级别无关。
•全局到通用:只有当要更改的组不是另一个全局 作用域组的成员时,允许进行该转换。
•本地域到通用:只有当要更配到 Active Directory 中的安全组 •给安全组指派对资源的权限
组策略管理控制台使用指南
关于组策略管理控制台使用的逐步式指南要确定在以前搜索中找到的“Domain Password Policy”GPO 的作用域,请按照以下步骤操作:1. 在“搜索组策略对象”搜索结果窗格中,双击“Domain Password Policy”,然后单击“关闭”。
注意:在关闭“搜索组策略对象”对话框后,以前选择的 GPO 在 GPMC 中具有焦点。
此时将出现“GPO 作用域”页,如图 5 所示。
图 5. 确定 GPO 的作用域要检查 GPO 将应用的策略,请按照以下步骤操作:1. 在“Domain Password Policy”结果窗格中,单击“设置”选项卡,然后单击“全部显示”。
此时将显示所有已定义策略设置的摘要(如图 6 所示),但不显示未定义的设置。
图 6. 检查 GPO 设置GPO 策略继承和链接顺序特定容器的“组策略继承”选项卡显示从父容器继承的所有 GPO(链接到站点上的 GPO 除外)。
该选项卡中的“优先”列显示所有链接的总体优先级(这些链接将应用于该容器中的对象),并考虑“链接顺序”和每个链接的“强制”属性以及“阻止继承”。
要查看容器中的策略继承,请按照以下步骤操作:1. 在“组策略管理”窗口的“”树下面,展开“Accounts”OU,然后单击“Headquarters”OU,如图 7 所示。
图 7. 组策略继承查看大图如果将多个 GPO 链接到相同的容器,并且这些 GPO 具有相同的设置,则必须有一个协调这些设置的机制。
这种行为是由链接顺序控制的。
链接顺序编号越小,优先级越高。
特定容器链接的相关信息显示在该容器的“链接的组策略对象”选项卡中。
该窗格显示是否强制进行链接,是否启用链接,GPO 状态,是否应用 WMI 筛选器,其修改时间以及存储它的域容器。
委派了“将 GPO 链接到容器”权限的管理员或用户可以使用以下方法更改链接顺序:突出显示 GPO 链接,然后使用向上和向下箭头,在链接顺序列表中向上或向下移动链接。
activedirectory活动目录教程
Active Directory教程Active Directory教程活动目录(Active Directory)是面向Windows Standard Server、Windows Enterprise Server以及 Windows Datacenter Server的目录服务。
Microsoft Active Directory服务是Windows平台的核心组件,它为用户管理网络环境各个组成要素的标识和关系提供了一种有力的手段。
在本期技术教程中,我们将介绍Active Directory在虚拟化方面的使用技巧。
使用Active Directory追踪VM随着很多企业部署越来越多的虚拟化平台,如何区分物理服务器和虚拟服务器也变得越来越难。
有一种标识服务器对象(无论是虚拟环境还是物理环境)的方法是使用每一台计算机对象Active Directory中的Description属性。
那么具体该如何操作呢?使用Active Directory标识和追踪虚拟机使用脚本进行Description查询添加自定义Active Directory计算对象属性定位虚拟机Active Directory快照Windows Server 2008允许管理员对Active Directory进行快照。
在作出任何主要的Active Directory修改之前创建快照,以便在需要的时候使用副本数据库恢复。
如何使用Windows Server 2008里的Active Directory快照?使用Windows Server 2008里的Active Directory快照Active Directory实用技巧如何创建一个Windows AD组?如何在vSpere中使用这个组控制虚拟基础架构的管理人员?在Active Directory环境里,如何诊断和解决登录性能缓慢的难题?taskpad是什么?对Active Directory数据库有何作用?使用Windows Active Directory组控制vSpere管理权限解决在Active Directory环境里Windows登录性能问题在Active Directory管理里创建taskpad view使用Active Directory标识和追踪虚拟机在本系列文章的第一篇文章中,TechTarget中国的虚拟化专家Chris Wolf将介绍如何使用Active Directory跟踪虚拟化资源。
网管员必读——网络管理(第2版)第七章
7.2 组策略管理控制台
在安装了Windows Server 2003 SP1和GPMC后,打开 "组策略管理控制台"的方法是直接执行【开始】→【管 理工具】→【组策略管理】菜单操作,控制台窗口如下图 所示.
7.2.1 新,旧组策略相关操作比较 安装了GPMC后,组策略的管理就不再依靠"Active Directory用户和计算机"和"Active Directory站点和服务" 了,而可以直接通过GPMC来进行全面的管理了.组策略 相关操作的新,旧方法比较参见书中表7-2所示.
第七章 组策略管理
本章将以新的GPMC工具为例介绍组策略的管理. 本章重点如下: 组策略的主要用途 组策略的执行顺序 GPMC的基本使用方法 域组策略的基本管理 域组策略安全筛选器的创建与配置 组策略的备份,还原和导入方法
7.1 组策略基础
组策略是Active Directory目录服务中的结构,可用于定 义将自动应用到Active Directory中的用户和计算机账户的 默认设置.策略设置可用于管理桌面显示,指派脚本,将 文件夹从本地计算机重新定向到网络位置,确定安全选项, 以及控制特定计算机上可安装的软件和特定用户组可用的 软件. 7.1.1 组策略概述 组策略设置定义了系统管理员需要管理的用户桌面环境 的各种组件.要为特定用户组创建特殊的桌面配置,请使 用组策略对象编辑器. 组策略不仅应用于用户和客户端计算机,还应用于成员 服务器,域控制器及管理范围内的任何其他Windows 2000 计算机.默认情况下,应用于域(即在域级别应用,刚好 在Active Directory用户和计算机的根目录之上)的组策略 (也就是"域组策略")会影响域中的所有计算机和用户.
配置Active Directory组策略
允许 拒绝
域 销售部
GPO 设置
Sales salemanager
受GPO影响
不受GPO影响
13
组策略应用时机
• 组策略自动刷新间隔为90~120分钟 • 计算机配置
重启客户端计算机后,系统会应用计算机配置
• 用户配置
注销客户端用户并再次登录后,系统会应用用户配置
14
管理用户桌面环境
• 用户配置 管理模板 桌面
15
15
利用GPO实现软件分发
• 软件分发的好处
自动安装 自动修复 自动升级 远程删除
发布给用户 指派给用户 指派给计算机
• 软件分发的方式
16
部署软件的组策略
• 在服务器上创建共享文件夹并放入要部署的软件
17
发布(指派)软件
18
本章总结
• 组策略的功能 • 组策略应用规则 • 组策略常用实例
4
组策略(Group Policy)
管理计算机和用户 管理用户的工作环境、执行的脚本、软件安装等 应用于 域(Domain)和组织单位(OU) 只对Windows 2000以后的操作系统有效
5
组策略的作用
• 方便地管理AD中的计算机和用户
用户桌面环境 软件分发 安全设置
组策略
活 动 目 录 域控制器
域
6
组策略结构
• 组策略的设置数据保存在组策略对象(GPO)中 • GPO链接至SDOU
Site、Domain、Organized Unit
• GPO管理SDOU中的计算机和用户
GP O
SDO U 用户
Active+Directory用户和计算机
Active Directory用户和计算机随着网络的快速发展,网络管理人员需要一种强大且与系统紧密结合的目录服务系统,而普通的目录服务无法满足用户需求。
在Windows Server 2003中提出了Active Directory的方案。
它扩展了以前的基于Windows的目录服务功能并增加了新的特性。
Active Directory 服务是安全的、分布式的、分区的和可复制的。
Active Directory服务更容易管理和定位网络上的大量信息,为管理员和最终用户解决了时间。
Active Directory是一种可伸缩的目录服务,如用户管理、打印机管理和安全信息维护。
它还记录了每个对象的各种类型信息,许多工具使用这个目录来集成他们的服务,以便提供更全面的和更统一的网络环境。
今天我主要介绍的是Active Directory用户和计算机。
创建Active Directory在独立服务器上装了Server 2003 之后,运行“Active Directory 向导”以创建新的Active Directory 目录林或域,然后将Server 2003 计算机转换为目录林中的第一个域控制器。
若要将Windows Server 2003 计算机转换为目录林中的第一个域控制器,请按照下列步骤操作:在光驱里面放入server 2003 系统盘(也可用虚拟光驱若是在虚拟机上也可用镜像文件)1. 点击开始-管理工具-管理您的服务器—添加删除角色-域控制器Active Directory(也可以单击开始-运行,然后键入dcpromo 。
)2. 单击确定以启动“Active Directory 安装向导”,然后单击下一步。
3. 单击“新域的域控制器”,然后单击下一步。
4. 单击“在新目录林中的域”,然后单击下一步。
5. 为新域指定完整的DNS 名称。
请注意,因为该过程用于实现实验室环境,而不是将该环境集成到现有的DNS 基础结构中,因此可以在该设置中使用诸如mycompany.local 之类的一般名称。
解决active directory域服务问题的方法
解决active directory域服务问题的方法全文共四篇示例,供读者参考第一篇示例:Active Directory(AD)是微软Windows操作系统中常用的目录服务,用于管理网络中的用户、计算机和其他资源。
在使用过程中,有时候会碰到一些问题,如用户无法登录、组策略无效等。
本文将介绍解决这些问题的方法,帮助管理员更好地管理和维护AD域服务。
一、用户无法登录1. 检查网络连接:首先要确保网络连接正常,AD域控制器可以被访问。
可以通过ping命令测试AD服务器的可达性。
2. 检查用户名和密码:确认用户输入的用户名和密码是否正确,如果忘记密码可以重置密码或设置密码策略允许用户自行更改密码。
3. 检查用户帐户是否被锁定:如果用户连续多次输入错误密码,有可能触发帐户锁定策略,解锁用户帐户即可解决登录问题。
4. 检查域控制器日志:查看域控制器的事件日志,可能会有相关登录失败的日志记录,从而找到问题的原因。
二、组策略无效1. 强制更新组策略:可以使用gpupdate /force命令强制更新组策略,使其立即生效。
2. 检查组策略设置:确保组策略设置正确,没有重复或冲突的设置。
可以通过组策略管理工具查看和修改组策略设置。
3. 检查组策略范围:确认组策略应用范围是否覆盖了需要生效的用户或计算机,有时候由于配置错误导致组策略无法正确应用。
4. 重启计算机:有时候组策略更新后需要重新启动计算机才能生效,尝试重启计算机查看是否问题解决。
三、AD域服务异常1. 检查AD域控制器状态:确保AD域控制器正常运行,未出现硬件故障或软件故障,可以通过性能监视器监控AD域控制器的运行状态。
2. 检查AD域服务配置:查看AD域服务的配置是否正确,包括DNS设置、时间同步、网络设置等,这些配置对AD域服务的正常运行至关重要。
3. 检查AD域数据库:如果出现用户丢失或其他异常情况,可能是AD域数据库损坏或存储空间不足,可以尝试修复数据库或清理存储空间。
15第十五章 活动目录(Active Directory)Microsoft Windows Server 2003 Enterprise Edition
3
大连希望教育专修学校 网络部
Microsoft Windows Server 2003 Enterprise Edition
第十五章 活动目录(Active Directory) 活动目录(Active Directory)
三,AD介绍:顶级OU AD介绍 顶级OU 介绍: AD用户和组作用及管理 四,AD用户和组作用及管理
i. 主域控制器(PDC,可修改用户数据库) 主域控制器(PDC,可修改用户数据库) ii. ii. 现有域的额外域( PDC的备份 的备份, 现有域的额外域 ( 是 PDC 的备份 , 可有多 定期与PDC同步 同步, 台,定期与PDC同步,只能用于认证不能修改用户数据 安装时要有PDC的管理员帐号和密码 并且DNS要 的管理员帐号和密码, 库.安装时要有PDC的管理员帐号和密码,并且DNS要 指明能解析该域,NT中为备份域控制器 中为备份域控制器) 指明能解析该域,NT中为备份域控制器) iii. iii. 成员服务器:不存储帐户数据库副本, 成员服务器 : 不存储帐户数据库副本 , 只 处理专项功能. 如打印,文件服务器) 处理专项功能.(如打印,文件服务器) iv. iv. 独立域控制器
注意:服务器名必须是NetBIOS名或IP 名或IP 注意:服务器名必须是NetBIOS名或
4. 以Tom用户登录到域; Tom用户登录到域 用户登录到域; 5. 注销Tom ,再以administrator登录,在profiles文 注销Tom 再以administrator登录 登录, profiles文 件夹中有Tom 文件夹产生 文件夹产生—— 打开 打开Tom 文件夹 文件夹——打 件夹中有 Tom文件夹产生——打开Tom文件夹——打 桌面"文件夹——新建一个文本文件 开"桌面"文件夹——新建一个文本文件 Tom用户登录 用户登录, 6. 以Tom用户登录,桌面上会有一个新建 注意整个过程的权限问题
Active Directory 环境中使用组策略管理控制台 (GPMC)9468915501
关于组策略管理控制台使用的逐步式指南该逐步式指南提供了在Active Directory 环境中使用组策略管理控制台(GPMC) 来支持组策略对象(GPO) 的一般性指导。
该指南并不提供GPO 实施指导。
本页内容简介概述安装和配置GPMC管理组策略对象GPO 备份、还原、复制以及导入GPO 建模其他资源简介逐步式指南Windows Server 2003 部署逐步式指南提供了很多常见操作系统配置的实际操作经验。
本指南首先介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory®;安装Windows XP Professional 工作站并最后将此工作站添加到域中。
后续逐步式指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
•第一部分:将Windows Server 2003 安装为域控制器•第二部分:安装Windows XP Professional 工作站并将其连接到域上在配置通用网络结构后,可以使用任何其他的逐步式指南。
注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的逐步式指南中。
Microsoft Virtual PC可以在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003 部署逐步式指南。
借助于虚拟机技术,客户可以同时在一台物理服务器上运行多个操作系统。
Virtual PC 2004 和Virtual Server 2005 就是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提高工作效率而设计的。
Windows Server 2003 部署逐步式指南假定所有配置都是在物理实验室环境中完成的,但大多数配置不经修改就可以应用于虚拟环境。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Active Directory 环境中使用组策略管理控制台9468915501该逐步式指南提供了在Active Directory 环境中使用组策略治理操纵台(GPMC) 来支持组策略对象(GPO) 的一样性指导。
该指南并不提供G PO 实施指导。
本页内容简介逐步式指南Windows Server 2003 部署逐步式指南提供了专门多常见操作系统配置的实际操作体会。
本指南第一介绍通过以下过程来建立通用网络结构:安装Windows Server 2003;配置Active Directory®;安装Windows XP Professional 工作站并最后将此工作站添加到域中。
后续逐步式指南假定您已建立了此通用网络结构。
如果您不想遵循此通用网络结构,则需要在使用这些指南时进行适当的修改。
通用网络结构要求完成以下指南。
••在配置通用网络结构后,能够使用任何其他的逐步式指南。
注意,某些逐步式指南除具备通用网络结构要求外,可能还需要满足额外的先决条件。
任何额外的要求都将列在特定的逐步式指南中。
Microsoft Virtual PC能够在物理实验室环境中或通过虚拟化技术(如Microsoft Virtual PC 2004 或Microsoft Virtual Server 2005)来实施Windows Server 2003部署逐步式指南。
借助于虚拟机技术,客户能够同时在一台物理服务器上运行多个操作系统。
Virtual PC 2004 和Virtual Server 2005 确实是为了在软件测试和开发、旧版应用程序迁移以及服务器整合方案中提升工作效率而设计的。
Windows Server 2003 部署逐步式指南假定所有配置差不多上在物理实验室环境中完成的,但大多数配置不经修改就能够应用于虚拟环境。
将这些逐步式指南中提供的概念应用于虚拟环境超出了本文的讨论范畴。
重要讲明此处作为例子提到的公司、组织、产品、域名、电子邮件地址、徽标、个人、地点和事件纯属虚构,决不意指,也不应由此臆测任何公司、组织、产品、域名、电子邮件地址、徽标、个人、地点或事件。
此通用基础结构是为在专用网络上使用而设计的。
此通用结构中使用的虚拟公司名称和域名系统(DNS) 名称并未注册以便在Internet 上使用。
您不应在公共网络或Internet 上使用此名称。
此通用结构的Active Directory 服务结构用于讲明“Windows Server 2003 更换和配置治理”如何与Active Directory 配合使用。
不能将其作为任何组织进行Active Directory 配置的模型。
概述Microsoft 组策略治理操纵台(GPMC) 是一个用于组策略治理的新工具,它通过改进易治理性和提升效率关心治理员更经济有效地治理企业。
它包含一个新的Microsoft 治理操纵台(MMC) 治理单元和一组可编程接口。
GPMC 提供单一位置来治理组策略核心内容,从而简化了组策略的治理。
它能够按照用户需要提供以下功能来满足最高的组策略部署要求。
•使组策略更易于使用的用户界面(UI)。
•组策略对象(GPO) 备份/还原。
•GPO 导入/导出和复制/粘贴以及Windows Management Instrumentation (WMI) 选择器。
•简化了对组策略有关安全功能的治理。
•GPO 设置和策略的结果集(RSoP) 数据的超文本标记语言(HTML) 报告。
•将此工具中提供的策略有关任务编制成脚本(而不是将GPO 设置编制成脚本)。
过去,治理员需要使用几个Microsoft 工具来治理组策略,如“Active Directory 用户和运算机”、“Active Directory 站点和服务”以及“策略的结果集”治理单元。
GPMC 将这些工具中提供的现有组策略功能以及一些新功能集成到一个统一的操纵台中。
GPMC 中内置了对多个域和林治理的支持,因此,治理员能够方便地治理整个企业中的组策略。
治理员能够完全操纵在GPMC 中列出哪些林和域,因而能够只显示环境的有关部分。
先决条件••••••安装和配置GPMC安装GPMC要安装组策略治理操纵台,请按照以下步骤操作:1. 在服务器“HQ-CON-DC-01”上,扫瞄到包含“gpmc.msi”的文件夹,双击“gpmc.msi”程序包,然后单击“下一步”。
2. 单击“我同意”,同意最终用户许可协议(EULA),然后单击“下一步”。
3. 单击“完成”以完成GPMC 安装。
在安装完成后,更新Active Directory 治理单元中站点、域和组织单位(OU) 属性页上显示的“组策略”选项卡以提供到GPMC 的直截了当链接。
由于所有组策略治理功能差不多上通过GPMC 提供的,因此,无法再使用先前在原始“组策略”选项卡上提供的功能。
要打开GPMC 治理单元,请按照以下步骤操作:1. 在服务器“HQ-CON-DC-01”上,单击“开始”按钮,单击“运行”,键入“GPMC.msc”,然后单击“确定”。
注意:此外,也能够使用以下两种方法之一启动GPMC。
•在“开始”菜单或“操纵面板”中,单击“治理工具”文件夹中的“组策略治理”快捷方式。
•创建自定义的MMC 操纵台:单击“开始”按钮,单击“运行”,键入“MMC”,然后单击“确定”。
指向“文件”,单击“添加/删除治理单元”,然后单击“添加”。
单击以突出显示“组策略治理”,单击“添加”,单击“关闭”,然后单击“确定”。
为多个林配置GPMC您能够方便地将多个林添加到GPMC 操纵台树中。
默认情形下,只有在某个林与运行GPMC 的用户林之间具有双向信任关系时,才能将其添加到GPMC 中。
您能够有选择地承诺GPMC 使用仅单向信任关系或全然不使用信任关系。
通过突出显示树根名目中的“组策略治理”,从上下文菜单中选择“操作”,然后单击“添加林”,将另一个林添加到GPMC 中。
由于示例环境只包含单个林,因此,执行这些步骤超出了本逐步式指南的讨论范畴。
注意:在添加不受信任的林时,将无法使用某些功能。
例如,不能使用“组策略建模”,同时无法打开“组策略对象编辑器”以编辑不受信任的林中的GPO。
不受信任的林方案要紧用于支持跨林复制GPO。
同时治理多个域GPMC 支持同时治理多个域,同时每个域在操纵台中是按林进行分组的。
默认情形下,GPMC 中只显示一个域。
在第一使用预配置的治理单元(gpmc.msc) 或自定义MMC 操纵台启动GPMC 后,GPMC 将显示包含用于启动GPMC 的用户帐户的域。
通过添加和删除操纵台中显示的域,您能够指定每个林中要使用GPMC 治理的域。
注意:即使您没有整个林的林信任关系,您也可添加外部信任域。
默认情形下,要添加的域和用户对象域之间必须具有双向信任关系。
也能够通过使用“查看”菜单中的“选项”对话框禁用GPMC 的信任检测功能,来添加具有单向信任关系的域。
要添加外部信任域,您必须先使用“添加林”对话框,从包含外部信任域的林中添加一个域。
在添加该林后,您可通过右键单击该林的“域”节点,然后单击“显示域”,在该受信任的林中添加任何域。
1.2. 右键单击“域”,然后单击“显示域”。
3.图 1. 显示域在GPMC 的每个可用域中,可使用相同的域操纵器来完成该域中的所有操作。
这包括位于该域中的GPO、OU、安全主体以及WMI 选择器上的所有操作。
另外,在从GPMC 中打开“组策略对象编辑器”时,它始终将GPMC 中的目标域操纵器用于GPO 所在的域。
GPMC 承诺您为每个域选择使用哪个域操纵器。
您能够选择四个选项之一。
•使用主域操纵器(PDC) 模拟器(默认选项)。
•使用任何可用的域操纵器。
•使用运行Windows Server 2003 家族操作系统的任何可用域操纵器。
如果您要还原包含组策略软件安装设置的已删除GPO,该选项是专门有用的。
•使用指定的特定域操纵器。
1.2.3. 单击“确定”连续。
图 2. 更换域操纵器治理组策略对象查看域GPO在每个域中,GPMC 都提供了一个基于策略的Active Directory 视图以及与组策略关联的组件,如GPO、WMI 选择器以及GPO 链接。
GPM C 中的视图与“Active Directory 用户和运算机”MMC 治理单元中的视图类似,它们都显示OU 分层结构。
然而,GPMC 与该治理单元不同之处在于,它不显示OU 中的用户、运算机和组,而显示链接到每个容器的GP O 以及链接到这些GPO 本身的GPO。
GPMC 中的每个域节点都显示以下项目。
•链接到该域的所有GPO。
•所有顶级OU、嵌套OU 树状视图以及链接到每个OU 的GPO。
•显示域中所有GPO 的“组策略对象”容器。
•显示域中所有WMI 选择器的“WMI 选择器”容器。
要查看与特定容器关联的GPO,请按照以下步骤操作:1.要查看与特定域关联的所有GPO,请按照以下步骤操作:1.搜索GPO能够在林或域级不进行GPO 搜索。
通过使用单个或多个搜索参数,有助于在大量的GPO 中缩小搜索结果的范畴。
1.2. 在“搜索项”框中,选择“GPO 名称”,键入“Password”作为“值”,然后单击“添加”。
3. 在“搜索项”框中,选择“运算机配置”,选择“Security”作为“值”,然后单击“添加”。
4. 单击“搜索”。
结果应该如图4 所示。
图 4. 基于条件的GPO 搜索5. 在返回搜索结果后,您能够执行以下操作之一:•要打开GPO 进行编辑,请单击“编辑”。
•要储存搜索结果,请单击“储存结果”。
在“储存GPO 搜索结果”对话框中,指定储存结果的文件名称,然后单击“储存”。
•要扫瞄到在搜索中找到的某个GPO,请在搜索结果列表中双击该GPO。
•要清除搜索结果,请单击“清除”。
•要关闭“搜索组策略对象”对话框,请单击“关闭”。
确定GPO 的作用域只能通过正确地将GPO 应用于要治理的Active Directory 容器来实现组策略值。
确定哪些用户和运算机接收GPO 中的设置的过程称为“确定GPO 的作用域”。
确定GPO 作用域的过程基于三个因素。
•GPO 链接到的站点、域或OU 将GPO 中的设置应用于用户和运算机的要紧机制是,将GPO 链接到Active Directory 中的站点、域或OU。
链接GPO 的位置称为“治理作用域”或SOM(在前面的白皮书中也将其视为SDOU)。
SOM 共有三种类型:站点、域和OU。
可将一个GPO 链接到多个SOM,也能够将一个SOM 链接到多个GPO。
要应用某个GPO,您必须将其链接到SOM。
•GPO 上的安全选择默认情形下,位于链接了GPO 的SOM 及其子对象中的所有Authenticated Users(已授权用户)将应用GPO 中的设置。