转移域控角色的两种方式(如果废弃DC删除后还提示用户名唯一性的话执行此步操作)
转移域控角色的两种方式
如果删除废弃DC后,还提示AD windows 无法验证账户的唯一性的时候,按如下检查一次。
当网域崩溃后或者我们买了新服务器,需要将新机器作为主域控制器那么我们需要转移角色,在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方式,5 大角色相信地球人都知道,HOHO.
PS:转移角色需要注意的是:额外域设置为 GC,这样才能将额外域升级为主域,设置 GC 方法如下:打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称,找到额外域服务器,双击打开服务器,下面有个 NTDS Settings 右键单击属性,在弹出的属性页面勾选“全
局编录”然后确定就 OKl 了,等待 5-10 分钟整个网域复写完成刚才的动作。
PS:部分步骤来源于网络,此文为综合以及描述注意点
一.使用图形化界面 MMC 来转移域控角色
一.转移架构主机角色
使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll
文件,然后才能使用此管理单元。注册 Schmmgmt.dll
单击开始,然后单击运行。在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。
收到操作成功的消息时,单击确定。
1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。
2. 在文件菜单上,单击“添加/删除管理单元”。
3. 单击添加。
4. 依次单击 Active Directory 架构、添加、关闭和确定。
5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。
6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
7. 在控制台树中,右键单击 Active Directory 架构,然后单击操作主机。
8. 单击更改。
9. 单击确定以确认您要转移该角色,然后单击关闭。
二.转移域命名主机角色
1. 单击开始,指向管理工具,然后单击“Active D irectory 域和信任关系”。
2. 右键单击“Active Directory 域和信任关系”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: ? 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
- “或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 域和信任关系”,然后单击操作主机。
5. 单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭。
三.转移 RID 主机角色、PDC 模拟器角色和结构主机角色
1. 单击开始,指向管理工具,然后单击“Active Directory 用户和计算机”。
2. 右键单击“Active Directory 用户和计算机”,然后单击“连接到域控制器”。
注意:如果您不在要将角色转移到其上的域控制器上,则必须执行此步骤。如果您已经连接到要转移其角色的域控制器,则不必执行此步骤。
3. 执行下列操作之一: ? 在“输入其他域控制器名称”框中,键入将成为新的角色持有者的域控制器的名称,然后单击确定。
“或者,选择一个可用的域控制器”列表中,单击将成为新角色持有者的域控制器,然后单击确定。
4. 在控制台树中,右键单击“Active Directory 用户和计算机”,指向所有任务,然后单击操作主机。
5. 单击要转移角色(RID、PDC 或结构)的相应选项卡,然后单击更改。
6. 单击确定以确认您要转移该角色,然后单击关闭
二.使用 ntdsutil 工具转移域控角色和清除不存在的域控制器
1.用 ntdsutil 来清除无效的 DC 信息
假如你的备份域为 https://www.360docs.net/doc/6617997222.html, 主域为 https://www.360docs.net/doc/6617997222.html,,现在备份域坏了。那么你在装有super tools 的主控域上执行如下命令:
C:\>ntdsutil
ntdsutil: metadata cleanup - 清理不使用的服务器的对象
metadata cleanup: select operation target - 选择的站点,服务器,域,角色和命名上下文
select operation target: connections - 连接到一个特定域控制器
server connections: connect to server https://www.360docs.net/doc/6617997222.html, --绑定到 ctu.
用本登录的用户的凭证连接 ctu。
server connections: quit - 返回上一层目录
select operation target: list site - 在企业中列出站点(找到 1 个站点,标识为 0)
找到 1 站点
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com select operation target: select site 0 - 将标识为 0 的站点定为所选站点
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=mstc,DC=com
没有当前域没有当前服务器当前的命名上下文
select operation target: list domains - 列出所有包含交叉引用的域找到 1 域
0 - DC= mstc,DC=com
select operation target: select domain 0 - 将标识为 0 的域定为所选域
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC= mstc,DC=com
域 - DC= mstc,DC=com 没有当前服务器当前的命名上下文
select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个:https://www.360docs.net/doc/6617997222.html,;1-ctu. https://www.360docs.net/doc/6617997222.html,)
找到 2 服务器
0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
mstc,DC=com
1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
mstc,DC=com
select operation target: select server 0 - 将标识为 0 的服务器(abc)定为所选服务器
——也就是要删除的 DC
站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com
域 - DC= mstc,DC=com
服务器 -
CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
mstc,DC=com
DSA 对象 - CN=NTDS
Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur
DNS 主机名称 - https://www.360docs.net/doc/6617997222.html,
计算机对象 - CN=ABC,OU=Domain Controllers,DC=mstc,DC=com
当前的命名上下文
select operation target: quit - 返回上一层目录
metadata cleanup: remove select server - 从所选服务器上删除 DS 对象在弹出的对话提示框上选择“是”,
“CN=abc,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=
mstc,DC=com”删除了,从服务器“ctu”
现在,https://www.360docs.net/doc/6617997222.html, 这个 Dc 对象就在你的 AD 里消失了.
2.用 ntdsutil 来转移 fsmo 五种角色。
当您运行 Dcpromo.exe 程序并安装 AD 时,将向目录林中的第一个域控制器授予五个 FSMO 角色。其中有两个 FSMO 角色是目录林范围的,另外三个是域范围的。如果创建了子域,两个目录林范
围的角色将不会更改。一个具有两个域的目录林将有八个 FSMO;其中两个是目录林范围的角色,每个域各有三个特定于域的 FSMO 角色。这五个角色是 schema master-架构主机,Domain naming
master-域命名主机,Rid master-rid 主机,pdc master-pdc 防真器,Infrastructure Master-结构主机。想要把这几种角色移动到另一台计算机上有 2 种方法,一种是转移,但必须 2 台计算机处于正常运行状态。如果有其中某台处于离线状态只能用第二种方法,使用 ntdsutil 工具来强制获取这些角色。现在如果你的主控坏了这些角色也都在主控上,请在装有 support tools 工具新的域控或备份域控上执行如下命令:首先在 CMD 下运行
netdom query /d:域名 fsmo
查看一下当前哪些角色在哪台服务器上,然后在 CMD 下运行
"ntdsutil"如果不知道命令怎么写,可以输入?得到帮助提示,
"roles"
"connections"
"connect to server 服务器名" 绑定一台当前在线的 DC 当连接成功后输入 q 退出回到上一层(roles)准备做角色迁移
"Seize schema master"
"Seize domain naming master"
"Seize RID master"
"Seize PDC"
"Seize infrastructure master"
以上五个命令,分别用作迁移上面所提到的 5 个角色到我们之前绑定的服务器上。完成后再次回到 CMD 下执行"netdom query /d:域名 fsmo",检查角色是否已被迁移
在“常规”选项卡上,找到全局编录复选框以查看其是否选中。如果正常就说明角色转换已成功。
3.对 AD 数据文件进行下线碎片整理操作. 由于微软已经提供了这整个操作过程的说明,所以在这里我只稍微重复一下,再加上一些额外的说明以避免大家犯一些不必要的灾难性错误, 因为这是一个很关键的操作,一旦出错将是灾难性的.
域用户无法登录域故障处理(AD问题)
域用户无法登录域故障处理(AD 问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP:FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服 务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。 使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
分区 DC=xm,DC=xingfa,DC=cn 的一个部分复制集被主持在站点 CN=Foshan,CN =Sites,CN=Configuration,DC=xingfa,DC=cn 上,但是找不到此站点的可写的源。 2、 Active Directory 无法建立与全局编录的连接。 额外数据 错误值: 1355 指定的域不存在,或无法联系。 内部 ID: 3200c89 用户操作: 请确定在林中有可用的全局编录,并且可以从此域控制器访问。您可以使用 n ltest 实用工具来诊断此问题。 3、尝试用下列参数建立与只读目录分区的复制链接时失败。 目录分区: DC=xm,DC=xingfa,DC=cn 源域控制器: CN=NTDS Settings,CN=FS03,CN=Servers,CN=Foshan,CN=Sites,CN=Configurat ion,DC=xingfa,DC=cn 源域控制器地址: bfd75c1f-13e3-4a63-aeda-9cda328158de._https://www.360docs.net/doc/6617997222.html, 站点间传输(如果有): 其他数据 错误值: 1753 终结点映射器中没有更多的终结点可用。 [此帖子已被 ekin.liu 在 2010-01-14 20:29:55 编辑过]当前状态为[] ekin.liu
runas应用,普通域用户的管理员权限
Runas的使用方法 域用户没有管理员权限,但是很多的软件却必须有管理员权限才能运行,不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略,不运行就是不运行。 XP虽然停止更新,但仍然是公司的主力。最近装了几台win7的系统,这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手,像我这样半路出家来当IT的人,将自己的经验分享也是无上的光荣啊。 Runas命令简介: Runas允许用户使用其他权限运行指定的工具和程序,而不是当前用户登录提供的权限。 是不是很拗口,不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好,控制面板—用户—选项下面多了个—凭据管理功能,让你不再每次运行的时候输入密码,一次输入永久使用。 以域用户要运行QQ软件为例: 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是:admin,本机名称为:dell-PC,系统域名为:dellserver 2、在电脑桌面的空白处,右击鼠标---新建---快捷方式----输入一下命令: Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”
3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中,设置当前用户的权限为“读取”,运行,不允许修改。 5、将快捷方式,复制到没有权限的域用户桌面双击运行弹出命令窗口: 输入管理员密码一次。以后便不用再输入了,系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2./user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。
域用户无法登录域故障处理(AD问题)
(AD 域用户无法登录域故障处理 问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP :FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003 系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致 2.246 无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory 数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin 用户登陆FSBDC,打开运行,输入“ CMD”进入命令行状态使用Ntdsutil 工具,将FSMO中PDC角色抢夺过来。
ntdsutil ROIeS COnneCtions COnneCt to SerVer FSBDC q SeiZe domain naming master SeiZe infrastructwre master SeiZe PDC SeiZe RlD master SeiZe SChema master q 步骤2: 升级FSBDC为GC 在管理工具中,打开“Active DireCtOry站点和服务” 点击"Sites-FOShan-SerVerS-FSBDC-NTDS Settings*右键点击选择属性, 选中“全局编目” [此帖子已被ekin. Iiu在2010-01-14 20:13:56编辑过]当前状态为[已登记]ekin?IiU 2010-01-14 20:18:51其他问题: 在升级GC的时候,碰到一个问题,因原有Xin. Xingfa. Cn的域信息没有完全清除,需要要清除后GC才能升级成功。 错误提示信息为: 1、
域用户权限
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
为一个域用户设置登陆脚本
为一个域用户设置登陆脚本 订阅 字号2010-03-28 16:29:41| 分类:AD相关| 如何为一个域用户设置登陆脚本? - BA T可否作为登陆脚本? - 在域用户“属性”中,应如何指定登陆脚本名?"D:\x.bat"还是"\\srv\x.bat"?还是其它? - 脚本应该放在何处? - 还有没有其它要注意的问题?” 回答: 1、bat可以作为登陆脚本执行,确切说一切可以在windows平台执行的东西都可以作为登陆脚本来用。 2、应该指定以\\server\……这样格式开头的路径。因为client在登陆的时候执行脚本,其实是从服务器上下载到本地,然后执行。这样的话,如果指定c:\这样的路径,client只会在本地的c盘查找,而不是到server上的路径去查找。 3、脚本可以放在一切client能够读取的位置。通常这个位置处于\\server\netlogon的share下(在服务器上的位置 是%systemroot%\sysvol\sysvol\domainname\scripts),但是如果你制订了策略,那么脚本默认的存放路径应该在%systemroot% \sysvol\sysvol\domainname\policies\guid\user(machine)\scripts下,如果你放在别的位置,需要在脚本执行栏的位置输入绝对路径,格式同样需要以\\server\……开头。 4、其他的问题也很多了,一般来说就是脚本适用于策略的时候,客户端可能会执行不到。 一般来说可能会有一下的几个原因: a、脚本从名称到内容都尽可能的不要用特殊字符、长文件名(超过8个字符)、空格,比如&等。这样的脚本在不同的os上可能执行会有问题。 b、脚本存放的位置和路径,请遵照上面的原则来做。 c、脚本的编写方面。特别是适用net use 来map一个fileserver上的路径。有可能在登陆之前,client上已经有网络盘的映射,如果恰好和你map的盘符一样,将有可能导致脚本执行失败,你可以在脚本的最前面加一句net use * /d /y来解决这个问题。 不过这个命令要慎用,在实际生产环境中,如果你的fileserver是非wintel平台的storage,响应时间较长,那么可能导致用户重新登陆时,无法连接fileserver上的sharefolder,可以用一句if exist来判断网络盘是否存在。 另外一个方面,如果远程设备是一些跨平台的存储设备,比如一些nas、san等,map到windows平台的时候可能会提示“网络路径无法连接”等问题,可以相互更换map \\server_netbios_name或者map \\server_ipaddress两种方式来尝试连接。 如果遇到权限问题,那么按照共享权限和安全权限冲突时取最小值的原则,一般来讲可以将共享权限设置为full control,然后安全权限做严格设定的办法来解决。 d、“配置文件路经”和“登陆脚本路径”、“主文件夹” 朋友们在初次设置域账户脚本的时候,可能对于这三个概念有些模糊,难以区分,这里说明一下: ①使用组策略,在用户登录脚本的的地方编辑一个cmd等,使用诸如net use的方式就可以map一个网络盘符了。 ②“配制文件路径”是指用户profile所处的位置,通常在%userprofile% “登录脚本路径”是指用户登录到服务器时,执行的脚本所处的位置,通常默认路径位于 服务器上的netlogon下,如果制定策略中使用脚本,默认的路径应该在gpo 的guid下的user或者computer下的scripts,如果置于其他位置,需要手动指定完全路径。 ③“主文件夹”是指用户在fileserver上的个人主目录,这个概念没有绝对的位置。需要你手动指定路径,不过在这里写入和在脚本中写入的不同,在于系统会根据你写入的路径,自动创建文件夹,并为该用户分配权限,该文件夹的owner属于该用户。这里可以使用%username%的变量,让系统自行完成。当然在指定了主目录后,你仍然可以访问其他有权限使用的资源。 e、关于策略的执行顺序是本机、站点、域、ou、子ou。如果有设置上的重复,按照执行的顺序,后面的设置将会覆盖前面的设置。 如果在ou上设置“block policy inheritance”,那么上层的策略将不会在这一层获得执行。 如果在ou上设置“No override”,那么这一层将不会被后面的策略设置覆盖,也就是说即使后面有相同的设置,仍然以这一层的设置为准。 如果在ou上设置“disabled”,那么这个策略将会被禁止执行。 如果在策略的properties security上取消了对应的组的read和apply group policy,那么对应的组将会无法应用到策略。通常默认被应用的组有authenticated user。
域用户权限设置 (改变及装软件)
https://www.360docs.net/doc/6617997222.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
域用户无法登录域故障处理(AD问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP:FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服 务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
ntdsutil Roles Connections connect to server FSBDC q seize domain naming master seize infrastructure master seize PDC seize RID master seize schema master q 步骤2: 升级FSBDC为GC 在管理工具中,打开“Active Directory站点和服务” 点击“Sites-Foshan-Servers-FSBDC-NTDS Settings"右键点击选择属性,选中“全局编目” [此帖子已被 ekin.liu 在 2010-01-14 20:13:56 编辑过]当前状态为[已登记] ekin.liu 2010-01-14 20:18:51 其他问题: 在升级GC的时候,碰到一个问题,因原有https://www.360docs.net/doc/6617997222.html,的域信息没有完全清除,需要要清除后GC才能升级成功。 错误提示信息为: 1、
域控中的用户配置
原文地址:如何将本地用户配置文件更改为域用户漫游作者:kevin 1.先讲讲直接新建域用户,在DC中设置用户漫游; 2.再讲,如果原来用户是本地用户,如何将原有的本地用户的配置文件让她成为漫游用户,配置文件也漫游; 3.跟大家讲讲如何让本地用户配置文件迁移为域用户配置文件,即本来有一用户abc为本地用户,现在该电脑加入了域,域中有一用户abc,然后电脑要用abc 用户登陆到域,而用户配置文件使用本地的abc配置文件; 一,在DC中设置用户漫游 实验环境使用VMW虚拟机,客户端为Windows XP SP2,服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图 2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。
3、进一步权限设置,如图
这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。 现在配置基本完成,我们从客户端登录一下试试看 初次登陆之后,我们注销,这样,本地的配置文件,就会自动保存到服务器上对应的文件夹。 回到服务器上我们会看到生成好多文件,刚才这里面还是空的
深入理解AD域登录过程
深入理解AD域登录过程 “域帐号登录”属于“交互式登录”(即用户通过相应的用户帐号(User Account)和密码进行登录)的一种(另外一种为“本地登录”)。采用域用户帐号登录计算机,系统通过存储在域控制器的活动目录中的数据进行验证。如果该用户帐号有效,则登录后可以访问到整个域中具有访问权限的资源。 交互式登录,系统需要以下组件: 1、winlogon.exe winlogon.exe是“交互式登录”时最重要的组件,它是一个安全进程,负责如下工作: ◇加载其他登录组件。 ◇提供同安全相关的用户操作图形界面,以便用户能进行登录或注销等相关操作。 ◇根据需要,同GINA发送必要信息。 2、GINA GINA的全称为“Graphical Identification and Authentication”——图形化识别和验证。它是几个动态数据库文件,被winlogon.exe所调用,为其提供能够对用户身份进行识别和验证的函数,并将用户的帐号和密码反馈给winlogon.exe。在登录过程中,“欢迎屏幕”和“登录对话框”就是GINA显示的。 3、LSA服务 LSA的全称为“Local Security Authority”——本地安全授权,Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。它从winlogon.exe中获取用户的帐号和密码,然后经过密钥机制处理,并和存储在帐号数据库中的密钥进行对比,如果对比的结果匹配,LSA就认为用户的身份有效,允许用户登录计算机。如果对比的结果不匹配,LSA就认为用户的身份无效。这时用户就无法登录计算机。 4、SAM数据库 SAM的全称为“Security Account Manager”——安全帐号管理器,是一个被保护的子系统,它通过存储在计算机注册表中的安全帐号来管理和用户和用户组的信息。我们可以把SAM看成一个帐号数据库。对于没有加入到域的计算机来说,它存储在本地,而对于加入到域的计算机,它存储在域控制器上。 如果用户试图登录本机,那么系统会使用存储在本机上的SAM数据库中的帐号信息同用户提供的信息进行比较;如果用户试图登录到域,那么系统会使用存储在域控制器中上的SAM数据库中的帐号信息同用户提供的信息进行比较。 5、Net Logon服务 Net Logon服务主要和NTLM(NT LAN Manager,Windows NT 4.0 的默认验证协议)协同使用,用户验证Windows NT域控制器上的SAM数据库上的信息同用户提供的信息是否匹配。NTLM协议主要用于实现同Windows NT的兼容性而保留的。 6、KDC服务 KDC(Kerberos Key Distribution Center——Kerberos密钥发布中心)服务主要同Kerberos认证协议协同使用,用于在整个活动目录范围内对用户的登录进
让域用户直接开机登录到域
实验的目的及缘由: 在公司中一般都是使用AD,用户都用自己的账号或者公共账号登陆到域中。有些出差过来就不记得那些账号密码,同时又要在域中使用部分系统。所以就要将电脑设置为以域用户自动登陆到域中。 很简单修改一下注册表: 进注册表: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlog on 将AutoAdminLogon值改为1 将DefaultUserName改为你想让某用户自动登录的帐号 将DefaultPassword值改为该帐号的密码。重启电脑即可 如果没有以上的值,由自己创建即可,全部都是“字符串值” 有人说既然自动登陆的域中,就违反了域的安全性,造成一定的危险性 但也没有办法,电脑是为人服务的! 实验的配置步骤: 第一步:进入注册表的以下位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Wi nlogon 具体如下图所示:
第二步:将AutoAdminLogon值改为1 。具体如下图所示:
第三步:将DefaultUserName改为你想让某用户自动登录的帐号。具体如下图所示: 第四步:将DefaultPassword值改为该帐号的密码。具体如下图所示:
第五步:重启计算机,具体如下图所示: 第六步:这是重启后的一个画面,由于重启速度很快,所以有许多过程的图片无法抓到,只能抓到部分的图片。具体如下: 第七步:如下图所示,重启后就自动进入系统了而且用我们之前设置的域用户帐户u1登录的,且不需要输入密码。下图是登录后的画面截图:
域用户帐户和组的管理
域用户帐户和组的管理
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
允许普通用户登录域控.
域控制器默认不允许普通域用户登录,如果你想修改此默认设置,需要编辑链接在“Domain Controllers”组织单元上的“Default Domain Controllers Policy”。 1. 如图3-163所示,在DCServer上,切换用户,点击“其他用户”。 2. 如图3-164所示,输入域用户和密码,点击“”登录。
图 3-163 切换用户图 3-164 普通用户登录 3. 如图3-165所示,出现提示:您无法登录,因为你使用的登录方法在此计算机上不允许。点击“确定”。可见默认域控制器的安全策略不允许普通域用户登录。 4. 如图3-166所示,以域管理员登录,打开“组策略管理”。右击“Domain Controllers”组织单元下的“Default Domain Controller Policy”,点击“编辑”。 提示:“Default Domain Controller Policy”组策略设置域控制器的本地安全策略。
图 3-165 不允许交互式登录图 3-166 编辑组策略 5. 如图3-167所示,在打开的组策略管理编辑器对话框,点中“计算机配置”à“策略”à“Windows设置”à“安全设置”à“本地策略”à“用户权限分配”,可以看到在详细窗口有“允许在本地登录”设置,双击“允许在本地登录”。 6. 如图3-168所示,在出现的允许在本地登录属性对话框,可以看到没有“Domain Users”组,因此普通域用户不能登录,点击“添加用户或组”。 7. 如图3-168所示,在出现的添加用户或组对话框,输入“essDomain Users”,点击“确定”。
取消普通域用户帐号加域权限
通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码。所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险。其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。估计很多人都没有试过吧。 加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一致。而退域,用任何帐号都可以。 下面错误只在本文范畴内,不讨论其他情况。 加域可能的报错A: 就是第二种情况时,加域帐号(权限)不一致。
可能的报错B: 超过普通用户将电脑加域的数值。 取消普通域用户帐号将计算机加入域的权限 域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是Domain Users组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限 方法/步骤 1、在PDC上单击“开始”-“所有程序”- “管理工具”打开“ADSI 编辑器”
2、在打开的ADSI编辑器右击-“连接到”-点击确定。 右键“DC=xxx DC="com" 单击“属性”
3 、找到“ms-DS-MachineAccountQuota”,将其数值由默认的10改成0
这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B(见文章开始部分)。 修改完毕不需要重新启动。即刻生效。 授权特定普通域用户将计算机加入域 进全局组策略修改。 这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新
如何禁止域用户登录到本机
如何禁止域用户登录到本机 关于如何禁止域用户登录到本机的问题,在网上找到很多资料,发现内容雷同,都是复制粘贴过来的,具体内容如下: 1、用策略禁止本地登陆。可以建立一个ou,然后将需要控制的计算机账户放置其中,然后在此ou上设置策略,在计算机安全策略中直接指定某个用户或用户组,禁止本地登陆。但默认的管理员不能被禁止;解决方法:将该管理员帐户禁用即可; 2、限制本地群组。通常来说,最好的做法就是这个方法。可以手动删除所有本地账户(内置的账户常规方法是不能删除的);然后清理本地管理员群组中的账户,至少保留内置系统管理员及Domain admins;最后统一修改本地管理员账户密码。这样用户没有本地账户,就只能登陆到域。当然这个方法不适合大规模部署,那么可以通过策略的方式限制允许本地登陆的账户或群组,也可以限制本地群组中的账户; 3、修改注册表自动登陆。具体的参数修改情参考 https://www.360docs.net/doc/6617997222.html,/kb/315231/zh-cn,不过记得用户名要用username@https://www.360docs.net/doc/6617997222.html, 的格式啊。这种做法呢,只是表面上的解决;) 1)用户登陆或者注销的时候按住shift键就可以使用其他账户了。2)任何能接触计算机的人都可以登陆了,不安全。所以这种方法不推荐。 4、屏蔽登陆对话框中本地登录选项。Windows Registry Editor Version 5.00 REG ADD "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /V NoDomainUI /T REG_DWORD /D 1 /F 前三点经过实验,能够成功,但在尝试第四点时,发现:第四点中的修改注册表项其实是屏蔽登录对话框中的域登录选项的; 感想:在网上找到资料后,自己一定要再做下实验,这样才能进行验证,同时自己掌握的更加牢固;
域用户登陆配置与注意事项
注:加入域后,系统会在C:\Users目录下新建用户文件夹,所有用户配置(桌面、收藏夹等)会初始化。之前本地用户的桌面文件,浏览器收藏夹,用户配置信息等会存在于C:\User\“用户名”下,资料并没有丢失。可以加入域配置好后重新拷贝到桌面或者提前进行备份。 加入域步骤: 1.修改DNS 加入域之前需要修改DNS服务器地址为192.168.1.13,加入域步骤完成后修改为192.168.1.12。如图所示:右键本地连接,双击Internet协议版本4,修改DNS。 图1-1 修改DNS 2.计算机命名 命名规则:部门名称简写(拼音首字母)+使用者开机用户名(姓全拼+名拼音首字母)的方式对电脑进行命名,中间用横杆隔开,比如:信息化:程健,则计算机名为:xxh-chengj (若有重名后面采用全拼的方式)。 在计算机系统属性中,点击更改,按规定要求更改计算机名。如图1-2所示。 3.加入域 在计算机名下方,隶属于,点选“域”,文本框中输入“https://www.360docs.net/doc/6617997222.html,”,点击确定,如图1-2所示。 4.域登陆方法 加入域后需要使用域账号登陆,在用户名输入SMSX\工号,初始密码为123456。
图1-2 修改计算机名、加入域 5.加入本地管理员账号权限 右键计算机,点击管理,进入计算机管理界面。在本地用户和组,点击组文件夹。双击Administrator,在添加中输入自己的工号。如图1-3所示。 加入本地管理器后请注销后再登陆系统,即可进行安装软件修改IP等操作。 图1-3 添加本地管理员权限
6.问题与解决方法: 1)加入域后会有DNS相关错误提示,请忽略即可。 2)Ghost操作系统用户加入域后,会有IE访问网络缓慢问题,可以更换浏览器解决。若必须使用IE浏览器,则可以先谢切换回本地账户待后续解决。 3)加入域后可能出现软件编码问题,研发人员所部署的开发环境等可能会改变,请注意。4)安装过程中遇到问题可能是部分服务没有启动,建议安装之前启动。双击附件中“services.bat”会启动相应服务。 5)在本地连接属性中注意“microsoft网络客户端”是否勾选 6)建议:尽量在弹出“欢迎加入https://www.360docs.net/doc/6617997222.html,域”后,马上为域账号添加管理员权限,然后重启计算机。避免在登陆域账号后添加管理员权限,出现各种权限问题。 7)对于“GZ联盟ghost纯净版xp”用户,如以上步骤或其他方法尝试后仍然无法添加域,则需进行沟通进行文件备份,后续在不影响对方工作情况下更换操作系统加入域。
取消、修改普通域用户将计算机加入域的权限
简介 普通用户加入域后默认是在Domain Users 组里,该组中用户具有将10台计算机加入域的权限,在一些安全要求极高的企业是绝对不允许的,存在较高的风险,所以需要禁止普通domain users 组中用户加域权限;但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域,但是不能将超管的密码外泄所以需要专门用来加域的用户; Windows server 2003 禁用普通domain users组的加域权限(管理员账号不受此限制) 1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台,在控制台中添加adsiedit(如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI) 2. 打开后依次展开图中指示,右击dc=accp,dc=com选择属性,找到ms-DC-MachineAccountQuota,其默认值为10,将此值改为0,并单击OK; Windows server 2008 禁用普通domain users组的加域权限(管理员账号不受此限制) 1. 使用管理员的账号登陆域控制器,开始>管理工具>ADSIEdit; 3. 右键ADSI编辑器,点击连接到,保持默认点击确定;
4. 在DC=benet,DC=com处右击属性(域级别),选择ms-DS-MachineAccountQuota属性,双击,修改其值为0,并单击OK; 微软指南 1. 微软帮助文档:https://www.360docs.net/doc/6617997222.html,/kb/243327/zh-cn Windows server 2003授权特定普通域用户将计算机加入域 1. 打开AD管理工具,选择https://www.360docs.net/doc/6617997222.html,(域级别),右击属性,选择委派控制
域用户帐户和组的管理
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
AD域用户账户控制管理
AD域用户账户控制管理 首先要在计算机上安装域控制器,登陆域控计算机。 1、打开Active Directory用户和计算机。 (路径:开始–>管理工具–> Active Directory用户和计算机) 2、打开AD用户和计算机控制台后,首先选择被添加人的部门的组织单元(OU)。如果是开发人员择需要添加到Developer内,其他部门请添加到“市场部和人力部”,如不确定其部门可添加到“Egensource”内。 *每个OU对应着独立的组策略设置((GPMO),确认被添加人加入正确的部门OU内。
3、仔细填写用户信息用户登录名一般为员工姓名的汉语拼音。 4、为该员工设定初始密码,并告知员工该密码。 当员工有过登陆记录后,可将其密码设置成“用户下次登录时必须更改密码”,由员工自行设定密码。 密码复杂度要求:必须6位以上,包含数字和字母的组合。
可根据公司要求设定其他用户密码策略。 5、打开新建的员工信息。 在“常规”页面上,填写真实的员工信息,特别是邮件地址务必确认其正确无误。
6、再“单位”标签内,仔细填写员工的注册信息。包括职务、部门和公司。 再经理栏内,确认其上级领导。项目成员是项目经理,产品组成员为产品组经理,不确定的列为部门总监。 7、再“隶属于”标签,将用户归入正确的组内,首先该用户必须属于“公司全体”。 如该员工属于开发人员、技术人员则属于“软件研发部”,如该员工属于市场人员属于“市场部”,如该员工属于人力及行政人与那属于“人力资源部”
8、如需要更改某个员工的密码,则需要登录到域控制器上,查看该员工属性信息,选择“重置密码”即可。
实现普通用户通过远程桌面连线登陆域控制器
网络中的域控制器服务器由于其角色的重要性,是不充许普通用户通过远程桌面连线登陆的。默认设置(开启远程桌面后)只充许enterprise admins、domain admins及域administrators 组成员登陆。 日常工作中,也许会用到普通用户远程桌面连线登陆域制器,应如何做呢?下面就通过图文的方式来与大家分享下配置及使用的过程。 此次测试的环境是: DC:windows server 2008 RDP:windows vista with sp1、rdp6.1 且vista非域成员。 注意:在windows 2k8以及vista with sp1中,RDP的版本均为6.1,可以支持网络级别的身份验证! 一、确认DC角色,并赋于新建用户rickyfang的拨入网络访问权限 1、下图显示了这台服务器是域https://www.360docs.net/doc/6617997222.html,的域控制器角色:
2、打开开始—管理工具---Active Directory用户和计算机控制台,并选择USERS项,右键新建普通用户rickyfang。如下图所示:
3、右键rickyfang属性,指向拨入,确保“网络访问权限”为“充许访问”。注意,如果是管理员组成员,这个操作后就应当可以使用远程桌面连线至此DC上了。接下来的操作将验证普通用户登陆将会是一个怎样的情况:
4、在vista with sp1此台机器上,使用远程桌面连接至DC,可以看到出现下图的提示界面,这说明此账号并没有远程登录的授权访问!但可以确定的是如果此账号隶属性于开篇所说的管理员组成员时,是肯定可以的,各位可以试下。但为何此处不行呢。这就是DC负责用户验证的角色决定了普通用户是不能登录DC的。那将如何才能做到可以登录呢?