Windows 2008 用AD组策略在桌面显示用户信息

组策略设置系列篇之“安全选项”-2选项, 设置交互式登录：不显示上次的用户名此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。

如果启用此策略设置，不显示上次成功登录的用户的名称。

如果禁用此策略设置，则显示上次登录的用户的名称。

“交互式登录：不显示上次的用户名”设置的可能值为：•已启用•已禁用•没有定义漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。

攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。

对策：将“不显示上次的用户名”设置配置为“已启用”。

潜在影响：用户在登录服务器时，必须始终键入其用户名。

交互式登录：不需要按CTRL+ALT+DEL此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。

如果启用此策略设置，用户登录时无需按此组合键。

如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。

智能卡是一种用来存储安全信息的防篡改设备。

“交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为：•已启用•已禁用•没有定义漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。

如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。

如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。

攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。

攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。

对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

潜在影响：除非用户使用智能卡进行登录，否则他们必须同时按这三个键，才能显示登录对话框。

交互式登录：用户试图登录时消息文字“交互式登录：用户试图登录时消息文字”和“交互式登录：用户试图登录时消息标题”设置密切相关。

•示例准备•知识了解•读取AD域信息示例•DirectorySearcher.Filter属性扩充说明•用户属性扩充说明(含图文属性对照)•常规•地址•帐户•电话•组织•示例下载•新建层次关系如下：•下面我们开始连接域，并读取出示例准备中键好的组织单位和用户首先编写代码用LDAP尝试对域进行访问形式：LDAP://Domain#region## 是否连接到域/// <summary>/// 功能：是否连接到域/// 作者：Wilson/// 时间：2012-12-15////zh-cn/library/system.directoryservices.directoryentry.path(v =vs.90).aspx/// </summary>/// <param name="domainName">域名或IP</param>/// <param name="userName">用户名</param>/// <param name="userPwd">密码</param>/// <param name="entry">域</param>/// <returns></returns>private bool IsConnected(string domainName, string userName, string userPwd, out DirectoryEntry domain){domain = new DirectoryEntry();try{domain.Path = string.Format("LDAP://{0}", domainName);ername = userName;domain.Password = userPwd;domain.AuthenticationType = AuthenticationTypes.Secure;domain.RefreshCache();return true;}catch(Exception ex)LogRecord.WriteLog("[IsConnected方法]错误信息：" + ex.Message); return false;}}#endregion传用参数，调IsConnected方法，结果如下•连接上AD域后，接着我们找到根OU#region## 域中是否存在组织单位/// <summary>/// 功能：域中是否存在组织单位/// 作者：Wilson/// 时间：2012-12-15/// </summary>/// <param name="entry"></param>/// <param name="ou"></param>/// <returns></returns>private bool IsExistOU(DirectoryEntry entry, out DirectoryEntry ou) {ou = new DirectoryEntry();try{ou = entry.Children.Find("OU=" + txtRootOU.Text.Trim());return (ou != null);catch(Exception ex){LogRecord.WriteLog("[IsExistOU方法]错误信息：" + ex.Message);return false;}}#endregion传入以数，调用IsExistOU方法，结果如下•下面来开始读取组织单位及用户的信息。

Windows系统中如何设置用户账户控制和安全策略在Windows系统中，设置用户账户控制和安全策略是保障计算机和数据安全的重要措施之一。

本文将为您介绍Windows系统中如何设置用户账户控制（User Account Control，简称UAC）和安全策略，以帮助您提高系统的安全性和防范潜在的安全威胁。

一、用户账户控制（User Account Control，UAC）设置用户账户控制是一种安全特性，可以帮助您控制在计算机上执行的操作，以防止未经授权的更改或恶意软件的运行。

以下是如何设置用户账户控制的步骤：1. 打开控制面板：点击Windows开始菜单，搜索并选择“控制面板”。

2. 进入用户账户控制设置：在控制面板中，选择“用户账户”选项。

3. 调整用户账户控制设置：在用户账户界面，点击“更改用户账户控制设置”链接。

4. 设置用户账户控制级别：通过移动滑块，选择合适的用户账户控制级别。

可以根据自己的需求选择以下四个级别：从不通知、只在程序尝试更改计划设置时通知、始终通知，以及始终拒绝。

5. 确认设置：点击“确定”按钮保存设置。

二、安全策略设置除了用户账户控制外，您还可以通过设置安全策略来增强系统的安全性。

下面是设置安全策略的步骤：1. 打开本地策略编辑器：按下Win + R键，打开“运行”对话框，在对话框中输入“secpol.msc”，并点击“确定”。

2. 进入安全策略设置：在本地策略编辑器中，依次展开“安全设置”、“本地策略”和“安全选项”。

3. 调整安全策略：在安全选项中，您可以找到各种不同的安全策略设置，例如“帐户访问审计策略”、“帐户锁定策略”、“密码策略”等。

通过双击相应策略，可以进行相应设置。

4. 配置安全策略选项：在每个安全策略的属性窗口中，您可以根据需要进行配置。

例如，在“密码策略”中，您可以设置密码的复杂性要求、密码过期时间等。

5. 保存设置：完成安全策略设置后，记得点击“确定”或“应用”按钮保存设置。

组策略以及来宾用户权限的设置我都是用组策略来实现这个目的的具体用法如下（简单的）Windows 2000/XP/2003 组策略控制台如果是Windows 2000/XP/2003 系统，那么系统默认已经安装了组策略程序，在“开始”菜单中，单击“运行”命令项，输入gpedit.msc 并确定，即可运行程序。

使用上面的方法，打开的组策略对象就是当前的计算机，而如果需要配置其他的计算机组策略对象的话，则需要将组策略作为独立的控制台管理程序来打开，具体步骤如下：1）打开Microsoft 管理控制台（可在“开始”菜单的“运行”对话框中直接输入MMC 并回车，运行控制台程序）。

2）在“文件”菜单上，单击“添加/删除管理单元”。

3）在“独立”选项卡上，单击“添加”。

4）在“可用的独立管理单元”对话框中，单击“组策略”，然后单击“添加”。

5）在“选择组策略对象”对话框中，单击“本地计算机”编辑本地计算机对象，或通过单击“浏览”查找所需的组策略对象。

6）单击“完成”，单击“关闭”，然后单击“确定”。

组策略管理单元即打开要编辑的组策略对象。

对于不包含域的计算机系统来说，在上面第5 步的界面中，只有“计算机”标签，而没有其他标签项目。

通过上面的方法，我们就可以使用Windows 2000/XP/2003 组策略系统强大的网络配置功能，让管理员的工作更轻松和高效。

在上面我们介绍了Windows 9X下的策略编辑器配置项目有“选中、清除、变灰”三种状态，Windows 2000/XP/2003 组策略管理控制台同样也有三种状态，只不过名字变了。

它们分别是：已启用、未配置、已禁用。

四、“桌面”设置Windows的桌面就像我们的办公桌一样，需要经常进行整理和清洁，而组策略就如同我们的贴身秘书，让桌面管理工作变得易如反掌。

下面就让我们来看看几个实用的配置实例：位置：“组策略控制台→用户配置→管理模板→桌面”1．隐藏桌面的系统图标（Windows 2000/XP/2003）虽然通过修改注册表的方式可以实现隐藏桌面上的系统图标的功能，但这样比较麻烦，也有一定的风险。

WindowsServer2008组策略设置详解1、组策略中包含两部分：1 计算机配置：针对计算机的配置，只在计算机上生效。

计算机启动的时候应用，在出现登录界面前。

2 用户配置：针对用户的配置，只在所有用户帐户上生效。

用户登录后应用。

2、根据应用范围将组策略分为三类：1 域的组策略：设置对于整个域都生效。

在“AD用户和计算机”中，右击域名-〉属性-〉组策略。

2 OU的组策略：设置对于这个的OU生效。

在“AD用户和计算机”中，右击OU名-〉属性-〉组策略。

3 站点的组策略：设置对于这个站点生效。

在“AD站点和服务”中，右击站点名-〉属性-〉组策略。

注意：“运行”中键入gpedit.msc，启动的是本地组策略，我们要的是“域组策略”！所以必须右击“AD 用户和计算机”中才能进入。

3、组策略的执行顺序：1 站点-〉域-〉组织单元（OU）2 计算机配置-〉用户配置4、组策略的冲突：1 在不同组策略中的同一项目的设置相反，就是组策略冲突。

如：在站点组策略中，“隐藏桌面上的网上邻居图标”设置为“启用”，而域的组策略上设置的是“禁用”。

再如：在域的组策略中“密码长度”设置为“7”，而OU的组策略中设置的是“6”。

2 冲突的结果：后执行的是结果。

5、组策略中的设置内容：1 软件安装：自动安装应用软件。

计算机配置和用户配置下都有。

准备工作：软件的源安装文件，在安装文件中要有.msi为后缀的可执行文件。

将软件的源安装文件放到一个共享文件夹中。

（网络路径）A、已发行：由用户决定是否安装。

如果软件包是已发行方式，用户登录后，系统会在添加/删除程序-〉添加新程序中显示已发行的软件包。

在计算机配置中不能实现。

B、已指派：强制性安装，自动安装。

2 WINDOWS设置：A、计算机配置：脚本（启动和关机），安全设置。

B、用户配置：IE维护，脚本（登录和注销），安全设置（密钥），远程安装服务（为客户机安装WIN2000 PRO），文件夹重定向（把用户的一些重要文件夹重定向到文件服务器中）。

Windows Server 2008 域控制器中，常用的命令有：1. net user：用于查看本地用户。

2. net localgroup：用于查看本地组。

3. net localgroup administrators：用于查看本地 Administrators 组。

4. net user /domain：用于查看域控制器中所有域用户。

5. net group /domain：用于查看域控制器中所有域组。

6. net user /domain username：用于查看指定域用户在域控制器中的详细信息。

7. net group "domain users" /domain：用于查看域控制器中 Domain Users 组的详细信息。

8. net time /domain：用于查看域控制器的时间。

9. dsquery user：用于查询域控制器中所有域用户的详细信息。

10. dsquery server：用于查询所有域控制器。

11. dsquery subnet：用于查询子域控制器。

12. dsquery ou：用于查询域控制器中的组织单位。

13. dsquery computer：用于查询域控制器中的计算机。

14. netdom query fsmo：用于查询域控制器中的五个FSMO角色。

15. net user username password /add：用于在本地创建新用户，并设置密码。

16. net user username /delete：用于删除本地用户。

17. net user username password /add /domain：用于在域中创建新用户，并设置密码。

A D域控及组策略管理目录一、Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于：1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。

在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。

而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。

这就是两者最大的不同。

2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

而工作组只是进行本地电脑的信息与安全的认证。

2、公司采用域管理的好处1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。

4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

组策略（gpedit.msc）的实际应用：设置大全电脑2010-05-14 20:40:38 阅读253 评论0 字号：大中小组策略（gpedit.msc）的实际应用：设置大全系统2009-01-24 10:46:28 阅读139 评论0 字号：大中小组策略（gpedit.msc）的实际应用：设置大全1、隐藏不必要的桌面图标2、禁止对桌面的改动3、启用或禁止活动桌面4、给“开始”菜单减肥5、保护好“任务栏”和“开始”菜单的设置1. 禁止访问“控制面板”2、隐藏或禁止“添加/删除程序”项3、隐藏或禁止“显示”项1、登录时不显示欢迎屏幕界面2、禁用注册表编辑器3、关闭系统自动播放功能4、关闭Windows自动更新5、删除任务管理器1、删除“文件夹选项”2、隐藏“管理”菜单项1、限制IE浏览器的保存功能2、给工具栏减肥3、在IE工具栏添加快捷方式4、让IE插件不再骚扰你5、保护好你的个人隐私6、禁止修改IE浏览器的主页7、禁用导入和导出收藏夹1、密码策略2、用户权利指派3、文件和文件夹设置审核4、Windows 98访问Windows XP共享目录被拒绝的问题解决5、阻止访问命令提示符6、阻止访问注册表编辑工具一、桌面项目设置在“组策略”的左窗口依次展开“用户配置”→“管理模板”→“桌面”节点，便能看到有关桌面的所有设置。

此节点主要作用在于管理用户使用桌面的权利和隐藏桌面图标。

1、隐藏不必要的桌面图标桌面上的一些快捷方式我们可以轻而易举地删除，但要删除“我的电脑”、“回收站”、“网上邻居”等默认图标，就需要依靠“组策略”了。

例如要删除“我的文档”，只需在“删除桌面上的…我的文档‟图标”一项中设置即可。

若要隐藏桌面上的“网上邻居”和“Internet Explorer”图标，只要在右侧窗格中将“隐藏桌面上…网上邻居‟图标”和“隐藏桌面上的Internet Explorer图标”两个策略选项启用即可；如果隐藏桌面上的所有图标，只要将“隐藏和禁用桌面上的所有项目”启用即可；当启用了“删除桌面上的…我的文档‟图标”和“删除桌面上的…我的电脑‟图标”两个选项以后，“我的电脑”和“我的文档”图标将从你的电脑桌面上消失了；如果在桌面上你不再喜欢“回收站”这个图标，那么也可以把它给删除，具体方法是将“从桌面删除回收站”策略项启用。

如何在windowsserver2008的桌面上显示我的电脑网路上的芳邻等图示如何在windows server 2008的桌面上显示"我的电脑""网路上的芳邻"等图示点选Win2008的开始选单，使用搜索程式和档案。

输入要搜寻的程式或档案关键字“桌面”，可以看到包含与桌面相关的设定：显示或隐藏桌面上的通用图示。

但这个“显示或隐藏桌面上的通用图示”功能在控制面板或其他地方并没有找到按钮之类的设定。

同样是使用“搜寻控制面板”。

在搜寻关键字“桌面”或“图示”都可以搜寻到显示或隐藏桌面上的通用图示这个功能。

点选则可以进入桌面图示设定介面。

将需要的图示勾选上确定即可。

再回到桌面上，就可以看将勾选的桌面通用图示了，若是一般应用软体可以直接传送到桌面，建立桌面快捷图示即可。

如何将桌面上显示的"网路上的芳邻"图示,不让它是快捷方式?在桌面空白地方点选右键属性选择"桌面"找到"自定义桌面"在"桌面图示"选项卡下面把"网路上的芳邻"前面的钩打上确定ok如何找回XP桌面误删除的"我的电脑"和"网路上的芳邻"图示在桌面上右键-->属性-->桌面-->自定义桌面上面的选项打钩桌面无法显示"我的电脑","我的文件","网路上的芳邻"按照这样的步骤试试：在桌面上点右键，选择“属性”——选择“桌面”选项卡——单击下方的自定义桌面——在“常规”选项卡里的“桌面图示”一栏把四个小方块都打上对钩、然后确定应该就可以了。

如果还是不行，建议你继续提问……或者打 *** 给维修中心请问桌面上"我的电脑""网路连线""网路上的芳邻"等英文怎么说我的电脑：My Computer我的文件：My Documents网路上的芳邻：My Neork Places回收站：Recycle Bin桌面图示“我的电脑”、“网路上的芳邻”、“Inter Explorer"、我的文件“被删除后，如何恢复到桌面上在桌面上点选滑鼠右键,然后点属性.在出来的显示属性选择框里点桌面.在点自定义桌面.把里面的“我的电脑”、“网路上的芳邻”、“Inter Explorer我的文件"前的空格里点上对勾,然后点确定.一切就好了.我桌面上的"网路上的芳邻"图示没了，怎么找回来？我说吧,李雯雯,确保正确哦有｀｀桌面无法显示"我的电脑","我的文件","网路上的芳邻" ，自定义桌面没有用，建议下载金山安全卫士，修复你的IE，一般能够解决问题！现在"我的电脑""网路上的芳邻"等等桌面图示双击开启非常的慢,猜问怎么办?一、网路上的芳邻的工作原理网路上的芳邻用的是NetBIOS协议，在Win98第二版系统中可以不单独装NetBIOS协议，只要安装TCP/IP协议就可以了，因为已经预设打开了“通过TCP/IP启用NetBIOS”了。

如何实现AD组策略实现统一桌面和屏保使用 AD 组策略实现统一桌面组策略实现统一桌面和屏保和屏保在企业中为了实现企业形象的统一性, 会要求在企业所有计算机上实现标准的桌面化配置环境。

那么要怎么实现呢?桌面部署桌面部署如下如下如下::1、在域控上建立存放背景图片的文件夹,将其设置为共享文件夹如:share;2、在开始—运行中 gpedit.msc 命令进入组策略编辑器,将“用户配置用户配置用户配置------管理模板管理模板管理模板------桌面桌面 ----Active DesktopActive DesktopActive Desktop” ” 中的“ “ 启用 Active Desktop Active Desktop 选项选项选项” ” 设置为已启用;3、并双击“用户配置用户配置用户配置------管理模板管理模板管理模板------桌面桌面桌面------Active DesktopActive DesktopActive Desktop” ” 中的 Active Active Desktop Desktop Desktop 墙纸墙纸墙纸选项,将其设置为已启用。

4、在墙纸名称路径框中输入存放桌面背景文件的完整路径。

如:\\\server server\\share share\\文件名文件名。

在墙纸样式中任意选择一项,按确定;屏保部署屏保部署过程过程过程::在开始—运行中 gpedit.msc 命令进入组策略编辑器,展开“ “ 用户配置用户配置” ” ---->>“ 管理模板” ---->>“ 控制面板控制面板” ” ---->>“ 显示显示” ”,在右边面板上双击以下策略项并进行设置:a. a. 将将“ 屏幕保护屏幕保护程序程序程序” ” 以及以及“ 可执行屏幕保护可执行屏幕保护程序的名称程序的名称程序的名称” ” 设置为设置为“ 已启用启用” ”b. 在“ 可执行屏幕保护程序的名称” 属性中设置路径为 \\DC服务器名称或者 IP\netlogon\test.scr如 :\\192.168.150.254192.168.150.254\\netlogonnetlogon\\test.scr5、在开始在开始------运行中输入运行中输入 Gpupdate Gpupdate /force /force命令命令, , 刷新组策略刷新组策略。

想把Workstation 加入到DC，作为额外的辅助DC现在用检查网络连接的命令，结果显示passed就是对的此时只需要把windows中增加一条默认域控制器组策略就可以了windows2000中的组策略刷新查看dc完成情况组策略的概念组策略建在站点域OU应用对象用户对象计算机对象组策略功能介绍：设置集中化和分散化策略确保用户处于其所需的工作环境中控制用户和计算机的环境实施公司策略Sysvol 文件夹的重要性：若删除了sysvol 文件夹，会造成AD中组策略不可用，界面呈灰色，网络停用也会出现这样的问题删除sysvol文件夹运行去看组策略出现错误现添加sysvol文件夹刷新后就可以用组策略了windows2000时用Secedit 强制刷新windows2003时用gpupdate 刷新Ad 有关联DNS 有关联网络有关联Gpresult.exe查看组策略的结果重点查看：先安装一个gptools，然后把生成结果存到gp.txt Gpresult.exe 的应用GPOTool.exe 检验组策略文件的“健康情况”以及查看GPO的组策略还在不在如何应用先验证DC 再验证DC上的相关组策略Repadmin.exe 命令工具来做强行复制通过命令行进行强行复制使用NTFRSUtl.exe来检查订阅信息首先安装工具检查NTFS数据库文件FRS数据库文件位于winnt\ntfrs\jeb\ntfrs.jdb下面GPMC不是windows2003内置的工具安装GPMCGPMC的进入方式组策略管理控制台可以实现组策略的备份和还原组策略建模：可以模拟一个用户登录到另外一台计算机上是什么情况GPMC不能装在windows2000上，但是GPMC能够去管理windows2000的域使用第三方工具。

为何不能交互式登陆前一段时间做了一个win2000的终端网，采用win2000 application server终端服务模式+citrix(sp3)，客户机上出现登陆窗口，以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题，开始有点呐闷，这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样，后来查了一查资料，顿时明白过来。

在这里我必须讲一讲NT和win2000的身份验证机制。

NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议，用户通过提供登陆信息（如用户名和密码）,服务器将这些信息发送到服务器上的验证机构，验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性，如果通过，就会向用户发送一个令牌，此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的，不可传递的，所以一个域用户要获得另一个域的资源访问权限，必须手工建立信任关系，授权该用户的访问权限。

而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的，他是由每域的RID主机（相对关系主机）来分配的。

SID在每个域中是独一无二的，但在其他域中也可能出现同样的SID，但是由于域ID的不同，所以二者的GUID就不可能相同。

但这必须建立在Kerberos协议的基础上，kerberos提供了域之间可传递的，双向的信任关系，即A信任B，B信任A；A信任B，B信任C，A信任C。

当然也可手工调整，一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限，而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。

ACL(Access control list)是每个文件及文件夹的用户组及用户访问控制列表，而ACE（Access control entry)是具体的访问类型（如read,write 等等).说了这么多，我再谈一谈针对win2000域环境下本地交互登陆的机制，众所周知，win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器，GINA(Graphical identification and authentication)图形标示符及身份验证Dll收到登陆请求，就会将其转发到LSA（本地权威机构），而在WIN2000下由于Kerberos是默认的验证机制，所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后，便会出现错误信息，因为kerberos是用来验证域用户账号而非本地账号，此时LSA收到错误信息，会将其转发到GINA，GINA在将指定了MSV1_0协议的LSA来验证身份，如果通过则完成本地交互式登陆。

结合组策略和注册表对IE进行安全进阶配置过组策略配置IE* 本文的实现环境为Windows 7 Ultimate + Internet Explorer 8可配置的功能● inPrivate 设置● Internet 控制面板、功能、工具栏及菜单设置● 安全功能、持续行为设置● 控件、加速器、兼容性设置● 脱机页面及浏览记录设置● 企业功能设置不同功能在组策略中的分类示例方法：利用组策略配置 IE此处，不仅左侧目录树中有着丰富的配置功能，在右侧的详细条目窗格中也有很多可供定义的设置。

在配置时，只需双击需要设置的条目，在设置窗口内对选项和设定值进行修改即可。

下文中的配置方法如此例所示，除需要特殊说明外，基本步骤我不再另行截图。

计算机配置管理模板中的IE 配置轻松搞定IE 安全进阶配置对IE 进行安全进阶配置，就让我们一步一步来，步步为营，根据不同的环境要求做灵活配置。

锁定主页设置在此条目中，将策略状态更改为“已启用”，并且填入我们需要的主页地址即可。

如果不希望使用主页，启用该策略并填入主页地址设置完成后，IE 选项中的主页设置框将成为灰色不可用状态，并在会在设置窗口下方出现“某些设置由系统管理员管理”的提示。

IE 主页设置将不可用以及系统提示禁用“另存为”功能在企业或者公司重要部门，为了保证计算机存储资料的安全、保持计算机资料整齐和条理，可能不希望员工使用IE 的“另存为”功能保存网页，在组策略中可以实现此要求。

只需将此条目启用，在IE 的菜单栏“文件”选项下以及网页右键菜单中将不会显示“另存为...”按钮。

禁用下载功能上一条配置虽然禁用了“文件”菜单以及网页右键菜单中的“另存为”功能，但在链接、图片上若点击右键，依然会显示“目标另存为”功能，照样可以实现保存网页、图片，甚至是文件的功能。

因此，我们还需要禁用IE 的下载功能。

只需将此条目启用，当在网页中的图片或其他元素上单击右键，“目标另存为”按钮都会是不可用的状态；而在链接上点击右键，虽然此按钮呈可用状态，但是点击之后会提示该功能不可用。

win2008ad域控搭建⼀、前⾔1.1 AD 域服务什么是⽬录（directory）呢？⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory（电话⽬录）；计算机中的⽂件系统（file system）内记录着⽂件的⽂件名、⼤⼩与⽇期等数据，它就是 file directory（⽂件⽬录）。

如果这些⽬录内的数据能够由系统加以整理，⽤户就能够容易且迅速地查找到所需的数据，⽽ directory service（⽬录服务）提供的服务，就是要达到此⽬的。

在现实⽣活中，查号台也是⼀种⽬录；在 Internet 上，百度和⾕歌提供的搜索功能也是⼀种⽬录服务。

Active Directory 域内的 directory database（⽬录数据库）被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象，⽽提供⽬录服务的组件就是 Active Directory （活动⽬录）域服务（Active Directory Domain Service，AD DS），它负责⽬录数据库的存储、添加、删除、修改与查询等操作。

⼀般适⽤于⼀个局域⽹内。

在 AD 域服务（AD DS）内，AD 就是⼀个命名空间（Namespace）。

利⽤ AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP ⽹络环境内利⽤ Domain Name System（DNS）来解析主机名与 IP 地址的对应关系，也就是利⽤ DNS 来解析来得到主机的 IP 地址。

除此之外，AD 域服务也与 DNS 紧密结合在⼀起，它的域命名空间也是采⽤ DNS 架构，因此域名采⽤ DNS 格式来命名，例如可以将 AD 域的域名命名为 。

1.2 AD域对象与属性AD 域内的资源以对象（Object）的形式存在，例如⽤户、计算机与打印机等都是对象，⽽对象则通过属性（Attriburte）来描述其特征，也就是说对象本⾝是⼀些属性的集合。