域用户管理

域用户本地权限设置文档一、情况说明本章节内容将会对域环境中的本地权限进行一些说明，并且会说明为什么域用户登陆本地机器后不能安装服务的原因，下一章节将会给出具体解决步骤，如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。

在AD上建立域用户的时候，默认是隶属于Domain Uses用户组我们登陆到加入域的客户端机器上，打开用户管理模块，我们可以发现，Domain Users组只隶属于本地的Users组，在本地的administrators组中没有Doamin Users组；然而安装windows服务必须是本地administrators组中的用户才可以安装。

从上图中可以看到，Domain Admins组默认就是在本地的administratos组中的，这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。

但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除，后果就导致了只有本地管理员能安装windows服务，域管理员不能安装windows服务。

为了能使加入域的客户端电脑能够安装windows服务，就需要获得本地的administrators组的权限，有如下几种方法1、通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中，然后通过大通的权限获取机制安装大通windows服务。

2、通过组策略把Domain Users加入到每个客户端的本地administrators组中，这样所有登陆的域用户都可以安装服务，全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。

下一章节就是解决步骤。

二、解决步骤方法1：创建datong.vbs，内容如下：Set ws = WScript.CreateObject ( "WScript.Shell" )compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )在AD中右键点击“域（例如）”——>属性——>组策略“新建”——“组策略名称随便取”——“编辑”计算机配置——windows设置——脚本——启动点击“显示文件”，把datong.vbs拷贝到目录中回到策略界面，点击添加，把datong.vbs加入启动策略。

AD域域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

AD：活动目录(Active Directory)主要提供以下功能：①基础网络服务：包括DNS、WINS、DHCP、证书服务等。

②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

④资源管理：管理打印机、文件共享服务等网络资源。

⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

【AD域控制器在Windows Server 2003安装及简单应用实验指导书】实验日期：2011年8月2日处别：Commercial DT组别：DT103撰写人：王敦培【实验名称】：AD域控制器在Windows Server 2003安装实验指导书【实验目的】：了解域的作用以及安装方法【实验任务】：搭建一个新域、配置额外域控制器、设置漫游用户配置文件【需要设备】：Windows Server 2003安装版本光盘一张、正常运行台式机一台一、将Windows Server 2003安装至PC上二、将服务器安装AD控制器先设置AD域：1.依次打开：开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示2.下一步，选择自定义3.选中域控制器(Active Directory)下一步4.然后会让你安装dns和配置网络,5.把网卡的网线接好，处于已经连接状态，下一步6.安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但是我建议还是采用默认的好，省得以后麻烦。

ldap ad域用户规则LDAP AD域用户规则是指在使用LDAP（轻量级目录访问协议）和AD（活动目录）的环境中，管理和控制用户的规则和要求。

下面是关于LDAP AD域用户规则的相关内容。

1. 用户命名规则：- 每个用户在AD域中都有一个唯一的用户名，通常是一个用户账号或信箱名。

- 用户名要符合组织的命名规则，通常包含字母、数字和特殊字符，并且长度限制在一定范围内（例如，5-20个字符）。

- 用户名不应包含空格、斜杠和其他特殊字符，以确保系统正常运行。

2. 密码策略：- AD域要求用户设置强密码，以防止未经授权的访问。

- 密码通常需要包含至少8个字符，包括大写字母、小写字母、数字和特殊字符。

- 密码还应定期更换，例如每90天更换一次，以增加安全性。

3. 用户权限管理：- 每个用户在AD域中被分配一定的权限，这些权限决定了用户可以使用和访问的资源。

- 根据组织的要求，用户权限可以分为不同的级别，例如管理员、普通用户等。

- 用户权限应根据需要进行定期审查和更新。

4. 组织单元（OU）规划：- AD域中的用户可以根据组织结构和职能进行分组和组织。

- 使用OU的目的是帮助管理员更好地管理和控制用户访问权限。

- 根据组织的要求，可以创建不同的OU，例如部门、地理位置等。

5. 用户锁定策略：- 为了保护用户账号免受暴力破解和未经授权的访问，AD域可以设置用户锁定策略。

- 当用户多次输错密码时，账号可以自动锁定一段时间，以阻止进一步的登录尝试。

- 锁定策略的设置可以根据组织的需求进行调整。

总结：LDAP AD域用户规则是管理和控制用户在LDAP和AD环境中的规定和要求。

这些规则包括用户命名规则、密码策略、用户权限管理、组织单元规划和用户锁定策略等。

通过合理设置这些规则，可以增强AD域的安全性，并确保用户在系统中的合法访问和使用。

域管理的优点1、权限管理比较集中，管理成本大大下降。

1.1：域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理。

所有用户只要登入到域，在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低。

1.2：防止公司员工在客户端乱装软件, 能够增强客户端安全性、减少客户端故障，降低维护成本。

2、安全性加强。

2.1有利于企业的一些保密资料的管理,比如说某个盘某个人可以进，但另一个人就不可以进；哪一个文件只让哪个人看；或者让某些人可以看,但不可以删/改/移等。

2.2可以封掉客户端的USB端口，防止公司机密资料的外泄。

3、使用漫游账户和文件夹重定向技术，个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。

当客户机故障时，只需使用其他客户机安装相应软件以用户帐号登录即可，用户会发现自己的文件仍然在“原来的位置”（比如，我的文档），没有丢失，从而可以更快地进行故障修复。

卷影副本技术可以让用户自行找回文件以前的版本或者误删除的文件（限保存过的32个版本）。

在服务器离线时（故障或其他情况），“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作，并在注销或登录系统时与服务器上的文件同步，保证用户的工作不会被打断。

4、方便用户使用各种资源。

可由管理员指派登录脚本映射分布式文件系统根目录，统一管理。

用户登录后就可以像使用本地盘符一样，使用网络上的资源，且不需再次输入密码，用户也只需记住一对用户名/密码即可。

并且各种资源的访问、读取、修改权限均可设置，不同的账户可以有不同的访问权限。

即使资源位置改变，用户也不需任何操作，只需管理员修改链接指向并设置相关权限即可，用户甚至不会意识到资源位置的改变，不用像从前那样，必须记住哪些资源在哪台服务器上。

5、SMS（System Management Server）能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置）【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验步骤】一、安装活动目录1）新建DC的角色。

在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如: 或者或者之类的DNS全名。

按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。

NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。

LDAP AD域用户规则介绍LDAP（Lightweight Directory Access Protocol）是一种用于访问和维护分布式目录服务的协议。

AD域（Active Directory Domain）是一种由微软公司开发的用于管理和组织网络中用户、计算机和其他资源的目录服务。

在组织中，使用LDAP AD域用户规则可以帮助管理员定义和管理用户的权限、访问控制和其他相关规则。

本文将深入探讨LDAP AD域用户规则的相关内容，包括规则的定义、常见规则示例以及规则的管理和维护等。

规则的定义LDAP AD域用户规则是一组用于定义用户属性、权限和访问控制的规则。

这些规则可以指定用户的登录名、密码策略、账户锁定策略、密码重置策略等。

规则的定义通常是通过LDAP目录中的对象类和属性来实现的。

常见规则示例以下是一些常见的LDAP AD域用户规则示例：1. 用户登录名规则•登录名必须以字母开头，并且只能包含字母、数字和特殊字符（如点号、下划线等）。

•登录名的长度不能超过20个字符。

•登录名在整个AD域中必须唯一。

2. 密码策略规则•密码必须包含至少一个大写字母、一个小写字母和一个数字。

•密码的长度不能少于8个字符。

•密码在一定时间内必须更改一次。

3. 账户锁定策略规则•当用户连续多次输入错误密码时，账户将被锁定一定时间。

•锁定时间的长度可以根据安全要求进行调整。

4. 密码重置策略规则•用户可以通过特定的流程或验证方式来重置密码。

•重置后的密码必须符合密码策略规则。

规则的管理和维护LDAP AD域用户规则的管理和维护是确保规则始终有效和符合组织要求的重要任务。

以下是一些管理和维护规则的建议：1. 定期审查规则定期审查规则可以确保规则与组织的需求和安全标准保持一致。

审查包括检查规则的有效性、适用性和安全性。

2. 更新规则随着组织需求的变化和安全标准的更新，规则可能需要进行调整和更新。

管理员应及时更新规则，以确保其与最新的需求和标准保持一致。

域知识深⼊学习三：域⽤户与组账户的管理3.1 管理域⽤户账户域⽤户单点登录的概念第⼀台域控的本地账户会被存到AD DS数据库的Users容器内，同时这台计算机会被放到组织单位Domain Controller 其他加⼊域的计算机末⽇呢会放到Computer容器3.1.1 创建组织单位与域⽤户账户组织单位，防⽌意外删除选项域⽤户的密码默认需要⾄少七个字符，还⾄少包含⼤写字母，⼩写字母，数字，⾮数字字母等4组字符中的三组。

3.1.2 ⽤户登录账户域⽤户有两种账户名登录1 ⽤户UPN登录 mary@sayms.local2 ⽤户SamAccountName登录 sayms\mary普通域⽤户默认是⽆法登录域控的UPN不会随着账户被移动到其他域⽽改变3.1.3 创建UPN后缀可以在 Windows 管理⼯具 - Active Directory域和信任关系中添加其他UPN后缀3.1.4 账户的常规管理⼯作新建⽤户账户后，系统会建⽴⼀个唯⼀的安全标识符SID，权限设置都是通过SID记录3.1.5 域⽤户账户的属性设置1 组织信息的设置2 账户过期的设置默认是从不过期3 登录时间的设置默认是任何时段都可以登录4 限制⽤户只能通过某些计算机登录默认是普通域⽤户可以登录任何⼀台域成员计算机3.1.6 搜索⽤户账户除了在域内搜索外，还可以指定在全局编录搜索整个林的对象在没有安装Active Directory管理中⼼的成员服务器上也可以搜索，⽐如win10⽂件资源管理器 - ⽹络 - 搜索Active Directory3.1.7 域控制器之间数据的复制查看当前所连接的其他域控制器Active Directory管理中⼼ - 更改域控制器3.2 ⼀次同时新建多个⽤户账户需要指明⽤户的存储路径DN需要指定类型需要包含⽤户SamAccountName登录账户应该包含⽤户UPN登录账户可以包含其他⽤户信息⽆法设置密码由于建⽴的⽤户都没有密码，最好禁⽤账户3.2.1 利⽤csvde.exe来新建⽤户账户可以⽤来新建账户或其他类型的对象，事先将数据输⼊到纯⽂本⽂件，然后⼀次导⼊到AD DS数据库csvde -i -f c:\test\users1.txt514 表⽰禁⽤，512表⽰启⽤3.2.2 利⽤ldifde.exe来新建，修改与删除⽤户账户可以新建，删除，修改可以指定导⼊到指定域ldifde -s dc1.sayms.local -i -f c:\test\users2.txt3.2.3 利⽤dsadd.exe等程序添加，修改与删除⽤户账户dsadd.exe 新建dsmod.exe 修改dsrm.exe 删除这⾥需要建⽴批处理⽂件⾥⾯会有明⽂密码3.3 域组账户组账户也有唯⼀的安全标识符（security identifier SID）3.3.1 域内的组类型安全组 security group 可以被⽤来分配权限，例如指定安全组对⽂件具备读取的权限，也可以⽤在和安全⽆关的⼯作上发布组 distribution group 被⽤在与安全（权限设置）⽆关的⼯作上3.3.2 组的作⽤域组的范围1 本地域组 domain local group主要是被⽤来分配对其所属域内资源的访问权限2 全局组 global group主要是⽤来组织多个即将被赋予相同权限的⽤户3 通⽤组 universal group可以在所有域内被设置访问权限，以便访问所有域内的资源3.3.3 域组的创建与管理1 组的新建，删除，重命名2 添加组的成员3.3.4 AD DS内置的组1 内置的本地域组Account Operators默认可以在普通容器和组织单位内新建/删除/修改⽤户，组，计算机Administrators对所有域控有最⼤控制权，包含Administrator，全局组Domain Admins 通⽤组 Enterprise AdminsBackup Operators可以通过Windows Server Backup⼯具备份和还原域控内的⽂件，也可以将域控关机Guests默认为Guest和全局组Domain GuestsNetwork Configuration Operators可在域控执⾏常规⽹络配置⼯作，例如改ipPerformance Monitor Users可监控域控的⼯作性能Pre-Windows 2000 Compatible Access可读取AD DS域内所有⽤户和组账户，默认成员为特殊组Authenticated UsersPrint Operators可以管理域控上的打印机，也可以将域控关机Remote Desktop UsersServer Operators可以备份或还原域控内的⽂件，锁定与解锁域控，格式化域控硬盘，更改域控时间，将域控关机Users只有基本权限，例如执⾏应⽤程序，默认成员为全局组Domain Users2 内置的全局组内置的全局组本⾝没有权限，可以将其加⼊到具备权限的本地域组或另外分配权限，这些内置全局组位于Users容器内Domain Admins域成员计算机会⾃动将此组加⼊其本地组Administrators内Domain ComputersDomain ControllerDomain Users域成员计算机会⾃动将此组加⼊其本地组Users内Domain Guests3 内置的通⽤组Enterprise Admins只存在于林根域，有权管理林内所有域Schema Admins只存在于林根域，具备管理架构的权限3.3.5 特殊组账户Everyone任何⽤户都属于这个组Authenticated Users任何利⽤有效⽤户账户登录此计算机的⽤户Interactive任何在本地登录的⽤户⾼Network任何通过⽹络登录的⽤户Anonymous Logon任何未利⽤有效普通⽤户账户登录的⽤户Dialup任何eying拨接⽅式连接的⽤户3.4 组的使⽤原则A user AccountG Global groupDL Domain Local groupU Universal groupP Permission3.4.1 A G DL P原则3.4.2 A G G DL P原则3.4.3 A G U DL P原则3.4.4 A G G U DL P原则。

在WINDOWS 2003 SERVER上利用域服务器设置管理域用户与计算机的相关操作第一步：安装WINDOWS 2003 SERVER，打补丁，安装防病毒软件，并设置IP地址第二步：在WINDOWS 2003 SERVER添加域服务器1、打开“管理您的服务器” ，选择“添加或删除角色”2、在弹出的“预备步骤”中单击“下一步”3、在“服务器角色”中选择“域控制器（Active Directory）”4、在“选择总结”中单击“下一步”5、在“Active Directory安装向导”中单击“下一步”6、“在操作系统兼容性”中单击“下一步”7、在“域控制器类型”中选择“新域的域控制器”8、在“创建一个新域”中选择“在新林中的域”9、在“新域名”中输入你所建域的名称，也可以是“teacher”“Stu”等等。

10、在“NetBIOS域名”中自己命名NetBIOS域名11、“在数据库和日志文件文件夹”中单击“下一步”12、在“共享系统卷”中单击“下一步”13、在“DNS注册诊断”中单击“下一步”14、在“权限”中单击“下一步”15、在“目录服务还原模式的管理员密码”中输入自行设置的还原密码16、在“摘要”中单击“下一步”17、这时出现下面的界面，系统开始配置Active Directory，并提示插入WINDOWS2003 SERVER安装盘，需要一点时间18、安装完成后显示出下，单击“完成”19、显示“此服务器现在是域控制器”，单击“完成”20、这时，重启计算机。

回到“配置您的服务器向导”，你会发现其中多了“域控制器（Active Directory）”至此，第二步工作完成。

第三步：在域控制器中批量生成用户1、在EXCEL中为每个学生生成一个用户名和密码。

说明：a) WINDOWS 2003 SERVER默认密码要求比较高，如果要给学生设置比较容易记的密码，需要事先更改WINDOWS 2003 SERVER中的设置，具体办法如下：“开始”—“程序”—“管理工具”—“域安全策略”，打开“安全设置”选择“账户策略”—“密码策略”，将其中的“密码必须符合复杂性要求”禁用；并修改“密码长度最小值”。

域用户及组账户的管理域系统管理员需要为每一个用户分别建立一个用户账户，让用户可以利用这个账户来登录域、访问网络上的资源。

系统管理员同时也需要了解如何巧用组，以便有效的管理资源的访问。

本章的主要内容包括：》域用户账户》一次同时添加多个用户账户》域组账户》提升域功能级别》组的使用准则３.１域用户账户作为域系统管理员，可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。

当用户利用域用户账户登录域后，便可以直接连接域内的所有计算机、访问资源。

换句话说，域用户在域内的一台计算机上登录成功后，当他们要连接域内的其他计算机时，并不需要再次登录到其他计算机上。

这个只需要登录一次的功能，被制为“单一登录”（single sign-on ）”。

本机用户账户并不具备“单一登录和”的功能，也就是说利用本机用户账户登录后，当要连接其他计算机时，必须再次登录。

非域控制器的Wdindows Server2003、Ｗindows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具，不过，可以通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具，也就是运行位于Windows Server 2003安装光盘中的Ｉ386文件夹内的ADMINPAD.MSI程序。

３.１.１组织单位组织单位内可以容纳其他的对象，如用户账户、组账户、计算机账户等，以便更容易的管理资源，并可以通过组策略来集中管理域的用户工作环境与计算机环境。

你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。

应设置有意义的组织单位名称，如”业务部“、”研发部“等，而且不要经常改变名称。