删除AD过期账户

如何使用dsquery命令删除AD过期计算机对象?当使用以下命令删除AD中testOU下的过期计算机对象时，会将testOU下的子OU也删除，请问加什么参数可以避免此问题？

dsquery computer -inactive 4 | dsrm -subtree -exclude -noprompt

ou=test,dc=exc,dc=com

回答：根据您的描述，我了解到你想知道如何通过dsquery结合dsrm删除testOU 下的过期计算机对象，而不删除子OU。

根据我的研究，这个命令是无法实现您的需求的。

建议您通过脚本导出过期的计算机到CSV文件，再遍历这个CSV文件进行删除。

下面的链接供您参考：

Get Inactive Computer in Domain based on Last Logon Time Stamp

https://https://www.360docs.net/doc/042786093.html,/scriptcenter/Get-Inactive-Compu ter-in-54feafde

根据您的需要修改相应的参数，脚本中DaysInactive = 90 即90天未和域控通信。

Bulk Delete computers in Active Directory

https://https://www.360docs.net/doc/042786093.html,/scriptcenter/Bulk-Delete-comput ers-in-24819345

我的需求是指针对testOU进行筛选和删除，而不是扫描整个域。

您提供的脚本貌似是针对整个域进行筛选的。

并且，当我使用这个脚本将过期用户导出来后，能达到自动删除这些对象么？还是对着csv文件手动删除？

我们可以修改脚本，添加参数-SearchBase 指定OU, 进行导出。

Get-ADComputer -SearchBase

“OU=testOU,DC=exc,DC=com” -Filter {LastLogonTimeStamp -lt $time} -P roperties LastLogonTimeStamp

上面回复中，已给出遍历CSV文件批量删除计算机账号的脚本链接

https://https://www.360docs.net/doc/042786093.html,/scriptcenter/Bulk-Delete-comput ers-in-24819345

您需要根据需要做相应的调整，以及CSV文件内容的格式。

对于脚本的编写，我们在线技术支持论坛无法给您提供脚本的服务，请您理解。脚本的大体思路为：

导出testOU下过期的计算机账号到CSV文件，再遍历这个CSV文件进行删除。

Jessica Zhu

删除AD过期账户的相关文章请参看

ad域过期用户删除

查询没有登录的域用户

查询过期域账户

域账户有效期

域账户登录审核

域账户有效期

—gnaw0725

域用户无法登录域故障处理(AD问题)

域用户无法登录域故障处理(AD 问题)

系统故障记录 1. 故障记录日期：2010-01-14 2. 主机名及IP：FS03(192.168.2.246) 3. 主机系统及应用：DC、FileServer 4. 系统状态及错误信息：Win2003系统启动到登陆界面时出现以下错误提示：“由于下列错误，安全帐户管理器初始化失败，目录服务无法启动。错误状态：0xc00002e1." 5. 检查过程及解决步骤：原因：经微软KB及网上资料信息显示该提示为病毒（用户上传的文件）可能破坏了系统文件，导致2.246无法正常启动目录服务，所以客户端的域用户无法正常登陆。解决方案1：准备进入目录还原模式，修复Active Directory数据库。备注：由于系统安装时间比较已久，还原密码未知，解决方案2：升级其他BDC为PDC，解决用户登陆问题。备注：现已将FSBDC升级为PDC，用户已可正常登陆。步骤1：用Domain Admin用户登陆FSBDC，打开运行，输入“CMD”进入命令行状态。使用Ntdsutil工具，将FSMO中PDC角色抢夺过来。

分区 DC=xm,DC=xingfa,DC=cn 的一个部分复制集被主持在站点 CN=Foshan,CN =Sites,CN=Configuration,DC=xingfa,DC=cn 上，但是找不到此站点的可写的源。 2、 Active Directory 无法建立与全局编录的连接。额外数据错误值: 1355 指定的域不存在，或无法联系。内部 ID: 3200c89 用户操作: 请确定在林中有可用的全局编录，并且可以从此域控制器访问。您可以使用 n ltest 实用工具来诊断此问题。 3、尝试用下列参数建立与只读目录分区的复制链接时失败。目录分区: DC=xm,DC=xingfa,DC=cn 源域控制器: CN=NTDS Settings,CN=FS03,CN=Servers,CN=Foshan,CN=Sites,CN=Configurat ion,DC=xingfa,DC=cn 源域控制器地址: bfd75c1f-13e3-4a63-aeda-9cda328158de._https://www.360docs.net/doc/042786093.html, 站点间传输(如果有): 其他数据错误值: 1753 终结点映射器中没有更多的终结点可用。［此帖子已被 ekin.liu 在 2010-01-14 20:29:55 编辑过］当前状态为[] ekin.liu

关于windows7域帐户不能重新生成配置文件解决方法

关于windows7域帐户不能重新生成配置文件解决方法我的情况是这样的：我的帐户是加了公司域的，我怀疑自己的帐户有问题，于是就把此帐户(暂把有问题帐户a)置为olda.我重新以a帐户登录域，不能在C盘users下面产生a用户文件。是加载的临时配置文件，如下图1。XP应该是可以重新产生a用户文件的。图1 我在网上捣腾了半天，最终在微软官网上找到解决办法。下面说说解决方法吧 1.右击-计算机属性-高级系统设置-用户配置文件-设置-选择要删除的帐户-确定 2.开始-运行-regedit-展开到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ProfileList 图2 单击注册表左边窗口如上图2标示①，通过右边标示②可以看出①对应的是哪个用户。依次单击左边选择你要删除的帐户，右键选择删除。到此，所有准备工作完毕，再登录域用户a。即可产生用户配置文件，在C:/users/。图1报错提示消失。我的问题解决，希望对大家有用。

将一台win7系统的电脑退出域并将其域用户的配置文件删除，重新加入域后，用该域账号登陆后，提示“您已经使用临时配置文件登陆*****logoff或restart后保存在桌面的文件将丢失”。解决方法：1.右击-计算机属性-高级系统设置-用户配置文件-设置-选择要删除的帐户-确定 2开始-运行-regedit-展开到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList找到S-1-*****.bak项将其删除。 3.重启计算机，用域账号登陆

win7_您已使用临时配置文件登陆以及恢复的解决办法

win7 您已使用临时配置文件登陆以及恢复的解决办法登陆win7系统总是提示您已使用临时配置文件登陆在网上搜了很多的相关帖子，几乎没有能说在点子上正确解决此问题的，最后在微软才搜到了解决方案。 win7 您已使用临时配置文件登陆的解决办法 https://www.360docs.net/doc/042786093.html,/kb/947215/zh-cn 若要解决此问题，请按照下列步骤操作： 1、单击开始，右键单击计算机，然后单击属性。 2、单击更改设置。 3、系统属性对话框中单击高级选项卡。 4、在用户配置文件，下单击设置。 5、用户配置文件对话框中选择若要删除，请单击删除，然后单击确定所需的配置文件。 ====================================================================== ============================ 用户配置文件的修复方法但当不小心将该用户的信息删除，之后再重新建立。那么再一次用该登陆名登陆的时候，系统会自动建立一个新的文件夹，此时新创建的文件夹名字为以域用户名.域名（NetBios)的形式来命令。比如，在Windows Server 2008 R2的域环境下用Win7来作为域的客户端，当在AD里建立一个叫Jack的账户，第一次登陆Win7的时候系统自动在%SystemDrive%\Users 下创建一个叫jack的用户配置文件文件夹，但当将此用户在域控上删除之后重新创建一个小jack的用户名，再一次在客户端登陆时，则系统自动在%SystemDrive%\Users下建一个名为jack.JACK-TEST(这里的域名是JACK-TEST)的用户配置文件文件夹。如下图：

域用户无法登录域故障处理(AD问题)

(AD 域用户无法登录域故障处理问题）

系统故障记录 1. 故障记录日期：2010-01-14 2. 主机名及IP ：FS03(192.168.2.246) 3. 主机系统及应用：DC、FileServer 4. 系统状态及错误信息：Win2003 系统启动到登陆界面时出现以下错误提示：“由于下列错误，安全帐户管理器初始化失败，目录服务无法启动。错误状态：0xc00002e1." 5. 检查过程及解决步骤：原因：经微软KB及网上资料信息显示该提示为病毒（用户上传的文件）可能破坏了系统文件，导致 2.246 无法正常启动目录服务，所以客户端的域用户无法正常登陆。解决方案1：准备进入目录还原模式，修复Active Directory 数据库。备注：由于系统安装时间比较已久，还原密码未知，解决方案2：升级其他BDC为PDC，解决用户登陆问题。备注：现已将FSBDC升级为PDC，用户已可正常登陆。步骤1：用Domain Admin 用户登陆FSBDC，打开运行，输入“ CMD”进入命令行状态使用Ntdsutil 工具，将FSMO中PDC角色抢夺过来。

ntdsutil ROIeS COnneCtions COnneCt to SerVer FSBDC q SeiZe domain naming master SeiZe infrastructwre master SeiZe PDC SeiZe RlD master SeiZe SChema master q 步骤2：升级FSBDC为GC 在管理工具中，打开“Active DireCtOry站点和服务” 点击"Sites-FOShan-SerVerS-FSBDC-NTDS Settings*右键点击选择属性, 选中“全局编目” ［此帖子已被ekin. Iiu在2010-01-14 20:13:56编辑过］当前状态为［已登记］ekin?IiU 2010-01-14 20:18:51其他问题：在升级GC的时候，碰到一个问题，因原有Xin. Xingfa. Cn的域信息没有完全清除，需要要清除后GC才能升级成功。错误提示信息为： 1、

client掉域现象

WINDOWS无法与此域连接原因是域控制器存在故障或..... 症状: 出错提示：“windows 无法与此域连接，原因是域控制器存在故障或不可用，或者没有找到计算机帐户，请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助” 管理员administrator身份可以进去操作，用自己的帐号就不行，试了几次都这样昨天晚上下班前都好的今早一开机就这样.用GHOST还原后第一次可以登陆到域,以后不能登陆。解决办法我采用的是先退出域，再加入域，OK。原因分析 ghost系统之前是不能入域了。恢复后，和域服务器脱离。以下引自其他文章的解决办法: 加入域后的计算机如果提示“windows 无法与此域连接，原因是域控制器存在故障或不可用，或者没有找到计算机帐户，请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助”目前我碰到得原因就是计算机名同名。退出域，更改计算机名后，再加入域问题解决。 client一旦加入域之后，如果要使用ghost来恢复系统，那么需要这么做： 1、安装好client系统，安装完最新的补丁，也可以考虑安装一些基本软件。 2、针对现有系统开始执行sysprep ，关于操作步骤，请参考 [url]https://www.360docs.net/doc/042786093.html,/default.aspx?scid=kb%3bzh-cn%3b298491[/url] [url]https://www.360docs.net/doc/042786093.html,/default.aspx?scid=kb[/url];zh-cn;302577 做这一步的目的，就是抽取硬件信息。做完之后，系统就会关机了。 3、对这台机器的引导区作ghost，以后恢复就用这个母盘恢复了。 Note：您会注意到上面的动作，并不是将client加入域之后再ghost，为什么呢？ok，下面我说一下您之所以遇到这个问题的原因： ad在设计的时候，为了保证client与dc之间安全的通信，要求client在加入域后，client 的计算机账户需要定期与dc的计算机账户保持同步（这个期限默认是30天），也就是说，当client与dc发生验证动作的时候，其实是先用计算机账户去验证，然后才是用户账户验证（也就是您输入用户名和密码）。那么，为什么要这么做呢？因为，用户名和密码是比较容易伪造的，如果在任何验证发生之前，先校验计算机账户的安全性，校验通过之后，再校验用户账户，那么整体验证的安全性就得到了保证，相对于用户帐户，计算机账户就比较难以伪造。

ad域过期用户删除

ad域过期用户删除我这边有很多ad用户已经不在使用了，但是这些账户还存在于ad用户中，我想问下能不能根据ad账户使用过期来批量删除这些账户？我公司这边是这样的，人员流动量很大，离职人员很多，但是都没有办理统一的离职程序，现在ad中有很多离职人员的账户都是没用的。我密码策略中没有设置密码过期时间，能不能判断这些账户1年没用过，并且删除这些离职人员的账户？回答：要删除过期账户，可以使用dsquery 指定查询AD中多长时间没有活动的账户，然后用dsrm 删除。如下命令指定20个星期没有活动的用户账户都被删除。 dsquery user -inactive 20 -limit 0 | dsrm –noprompt ?-limit 是指定返回满足查询条件的账户的数量，如果指定0则表示返回所有满足查询条件的账户。 ?-nopromt 表示不用确认删除操作，直接进行删除。您也可以单独输入dsquery user -inactive 20 -limit 0 来先查看都有哪些账户被返回，如果确认没有问题，则可以结合dsrm删除这些账户。 Dsquery user （英文） https://www.360docs.net/doc/042786093.html,/en-us/library/cc725702(WS.10).aspx Dsrm （英文） https://www.360docs.net/doc/042786093.html,/en-us/library/cc731865(WS.10).aspx 如果dsrm命令有问题，那我们用下面的脚本来删除。只需要把下面这段脚步拷贝到记事本中，将”c:\stalepwd.txt”更改为您stalepwd.txt文件的实际路径，然后重命名为后缀为.vbs的文件然后双击即可。您看到的文章来自活动目录seo https://www.360docs.net/doc/042786093.html,/category/active-directory/ On Error Resume Next Set objFSO = CreateObject(“Scripting.FileSystemObject”) Set objTextFile = objFSO.OpenTextFile(“c:\stalepwd.txt”,1) Do Until objTextFile.AtEndOfStream

域用户无法登录域故障处理(AD问题)

ntdsutil Roles Connections connect to server FSBDC q seize domain naming master seize infrastructure master seize PDC seize RID master seize schema master q 步骤2：升级FSBDC为GC 在管理工具中，打开“Active Directory站点和服务” 点击“Sites-Foshan-Servers-FSBDC-NTDS Settings"右键点击选择属性，选中“全局编目” ［此帖子已被 ekin.liu 在 2010-01-14 20:13:56 编辑过］当前状态为[已登记] ekin.liu 2010-01-14 20:18:51 其他问题：在升级GC的时候，碰到一个问题，因原有https://www.360docs.net/doc/042786093.html,的域信息没有完全清除，需要要清除后GC才能升级成功。错误提示信息为： 1、

客户端加域问题及处理方案总结

1. 加域后如何退出域？解释: 退域步骤:右键我的电脑→属性→计算机名→更改→在隶属于区域选择”工作组”→输入 WORKGROUP→点击确定→在弹出验证对话框里输入”域账户和密码”→点击确定。以给出的文档里有退域的操作步骤。 2. 提醒：在加域过程中如遇到PC装有SQL,加域后不能正常使用。解决办法：在加域后需要重新设定SQLSERVER服务的身份验证,步骤:开始→运行→services.msc→右键 SQL server→属性→登录→点击此账号输入域用账号和密码→应用。 3. 加域后的客户端操作系统由XP更换WIN7怎么操作？解决办法：建议先退域,更换操作系统后重新加域,退域步骤:右键我的电脑→属性→计算机名→更改→ 在隶属于区域选择”工作组”→输入WORKGROUP→点击确定→在弹出验证对话框里输入”域账户和密码” →点击确定。 4. 新员工需要用到离职人员的计算机,该怎么处理？解决方法：根据新员工的工号,更改相应的计算机名称,把新员工的AD账号加入到本地管理员组中。 5. 文件服务器还存在原来的域环境中,怎么办？解决办法：客户端加入到新的域后,通过IP地址进行访问文件服务器,会弹出相应的对话框并提示输入账号密码,需输入原有域的相应访问账号和密。 6. 公用PC机更改计算机名称失败。解决办法: 经过排查,网络管理员做了限制,打开限制后更改计算机名称完成。 7. 如果用户更换新计算机旧计算机给新用户使用该怎么处理？解决办法：更改计算机名（按照总部命名规则更改）在administrators组中添加对应用户名或重新安装操作系统重新加域。 8. 多人使用同一台计算机应该怎么做？解决办法：将使用同一台计算机的域用账号加入到本地Administrators组里,步骤:选中我的电脑点击鼠标右键→管理→本地用户和组→组→双击administrators→添加→输入使用同一台计算机的域用账号 →点击检查名称→确定。 9. 加域后不能正常打印。解决办法：重新添加打印机.操作步骤:控制面板→双击打印机→点击添加打印机→点击下一步→选择网络打印机或连接到其他计算机的打印机→点击下一步→选择连接到这台打印机→输入”\\IP地址\打印机名称→点击下一步→选择打印机→点击下一步→确定”。 1. 实践加域时出现RPC服务器不可用。解决办法：端口关闭导致,建议开启端口。AD服务器之间无法通信（135、137、42）。管理人员表示,两台服务器并未做端口限制,初步判断是由于AD组件损坏相关服务无法启动导致相关端口无法正常通信。 , 1. 已有DNS服务器,该怎么做？解决办法: 在已有的DNS服务器上做转发。 1. newsid工具在加域之前是否都得使用？解释:如果操作系统是XP并且是ghost则需要运行newsid工具,OEM版则不需要,手动更改计算机名即可。如果操作系统是win7并且是ghost,数量较少则不建议运行newsid,如果是大批量ghost,首先要备份C 盘数据,之后在运行newsid工具,因为newsid只支持到XP操作系统,win7则不保证运行newsid后不会出现各种问题。

转移域控角色的两种方式(如果废弃DC删除后还提示用户名唯一性的话执行此步操作)

转移域控角色的两种方式如果删除废弃DC后，还提示AD windows 无法验证账户的唯一性的时候，按如下检查一次。当网域崩溃后或者我们买了新服务器，需要将新机器作为主域控制器那么我们需要转移角色，在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方式，5 大角色相信地球人都知道，HOHO. PS:转移角色需要注意的是：额外域设置为 GC，这样才能将额外域升级为主域，设置 GC 方法如下：打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称，找到额外域服务器，双击打开服务器，下面有个 NTDS Settings 右键单击属性，在弹出的属性页面勾选“全局编录”然后确定就 OKl 了，等待 5-10 分钟整个网域复写完成刚才的动作。 PS:部分步骤来源于网络,此文为综合以及描述注意点一.使用图形化界面 MMC 来转移域控角色一.转移架构主机角色使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件，然后才能使用此管理单元。注册 Schmmgmt.dll 单击开始，然后单击运行。在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。收到操作成功的消息时，单击确定。 1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。 2. 在文件菜单上，单击“添加/删除管理单元”。 3. 单击添加。 4. 依次单击 Active Directory 架构、添加、关闭和确定。 5. 在控制台树中，右键单击 Active Directory 架构，然后单击更改域控制器。 6. 单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。

AD域账号和Exchange用户的误删除恢复

Ad账号和exchange账号误删除的恢复在一个使用Microsoft Server的企业中，DNS是根本，AD应该就是基础，而Exchange是最常见的应用了。这些都是企业业务的保证，所以为了保证这些最基础和最重要的，很多企业都是花了不少心思。最起码的是做了ntbackup，大型的企业可能要上SAN、磁盘阵列、磁带机等等了。那么如果我们真的不小心删除了一个用户，想要尽快的恢复此用户，该怎么办呢？也许给为想到的就是赶快从备份中恢复吧~！其实不然，微软早就为我们想到了这些东西，将我们的账户信息和邮箱都做了暂时的备份。我们先来介绍下AD 账户的恢复。活动目录对象如果被删除，其实系统并没有直接将其彻底删除，而是放在了一个不可见的CN中，这个CN名字就叫delete object。被删除的账户会在里面待60天（默认）。在这个期限内你都是可以进行对里面的对象进行恢复。这里需要使用到一个工具LDP（当然那还有很多工具，例如ntdsutil 工具还可以对超过60天的用户进行恢复，前提是做了ntbackup）。这个工具可以在windows 2003 自带的support工具里找到。1、打开LDP工具，点击“Connection”-“Connect",在connect对话框中填入”server“，可以是FQDN，也可以是IP地址。点击OK。成功后可以在右边栏看到连入DC的相关信息。 2、点击”Connection“，选择"Bind”，填入用户名、密码、域名，点击OK。右边栏信息会看到验证的信息。 3、选择“Option”-"Controls“，在”Local Predefined“ 下拉列表中选择”Return deleted objects"，然后观察“Active Controls”会出现1.2.840.113556.1.4.417，这个号码是管理信息库所识别的一个ID，代表一个对应的删除对象。点击OK！ 4、选择“View-Tree“，在Tree对话框中，输入BaseDN的值，类似于DC=CONTOSO,DC=NET，点击OK！如果提示你什么enter target path，别管他，ok就好了。 5，在左侧栏双击DC=CONTOSO,DC=NET，会在下面看到一个CN=Deleted Objects项，双击它。此时就会看到被删除的对象了。 6、右击要恢复的对象，选择Modify。在Modify对话框中，先添加一个Attribute值isDeleted，在"Operation"中选择“Deleted”点击“Enter”；然后再在“Attribute”里填入distinguishedName，Values 中填入对应的dn名，例：cn=testa,ou=it,dc=contoso,dc=net。在Operation中选择Replace，最后点击“ENTER"。 7、在对话框底部勾选”Extended“和”Synchronous“，点击run。此时你到ADUC中，展开IT OU，你会发现testa用户。不过此时他是被标注了禁用的标志。如果你想直接对此用户进行enable的话，那么你将会收到一个关于要update此账户密码的错误提示。那么就按照他说的做吧，先reset账户的password。然后就可以，直接enable此账户了~！到此，账户的恢复已经完成了。那么赶快去看看吧~！使用此账户登陆机器后，发现一切正常。但是当我们准备登陆此账户邮箱时，发现此账户邮箱无法登陆！查看账户的excahnge属性，有的啊~！使用exchange task发现还是有点异常。只有一个”remove Exhcange attributes“。很显然我们的邮箱还是没有恢复到了~！我们再来看看用户邮箱的恢复吧~！

客户端不能加入域解决方法

客户端不能加入域解决方法加入域出现以下错误,windows无法找到网络路径，请确认网络路径正确并且目标计算机不忙或已关闭？核心提示：在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。故障现象：单位有一台运行Windows XP系统的办公用计算机，由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。按照正常的操作步骤进行设置，在“系统属性”的“计算机名”选项卡中加入域的时候，系统要求输入有权限将计算机加入域的用户名和密码（这表示已经找到域控制器）。然而，在输入管理账号和密码并点击“确定”按钮后，系统却提示“找不到网络路径”，该计算机无法加入域。解决方法：由于客户端计算机能够找到域控制，因此可以确定网络的物理连接和各种协议没有问题。此外，由于可以在该计算机上找到域控制器，说明DNS解析方面也是正常的。那为什么能找到域控制器却又提示无法找到网络路径呢？这很可能是未安装“Microsoft网络客户端”造成的。在“本地连接属性”窗口的“常规”选项卡中，确保“Microsoft网络客户端”处于选中状态，然后重新执行加入域的操作即可。 “Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一，利用该组件可以使本地计算机访问Microsoft网络上的资源。如果不选中该项，则本地计算机没有访问Microsoft网络的可用工具，从而导致出现找不到网络路径的提示。本例故障的解决方法启示用户，为系统安装常用的组件和协议可以避免很多网络故障的发生，计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信. 服务端（域控制器）：Microsoft网络文件和打印共享和网络负载平衡没选择上去，一定要选择上Microsoft网络文件和打印共享和网络负载平衡。客户端要加入域,相关的服务要开始：

取消、修改普通域用户将计算机加入域的权限

简介普通用户加入域后默认是在Domain Users 组里，该组中用户具有将10台计算机加入域的权限，在一些安全要求极高的企业是绝对不允许的，存在较高的风险，所以需要禁止普通domain users 组中用户加域权限；但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域，但是不能将超管的密码外泄所以需要专门用来加域的用户； Windows server 2003 禁用普通domain users组的加域权限（管理员账号不受此限制） 1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台，在控制台中添加adsiedit（如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI） 2. 打开后依次展开图中指示，右击dc=accp,dc=com选择属性，找到ms-DC-MachineAccountQuota，其默认值为10，将此值改为0，并单击OK； Windows server 2008 禁用普通domain users组的加域权限（管理员账号不受此限制） 1. 使用管理员的账号登陆域控制器，开始>管理工具>ADSIEdit； 3. 右键ADSI编辑器，点击连接到，保持默认点击确定；

4. 在DC=benet,DC=com处右击属性（域级别），选择ms-DS-MachineAccountQuota属性，双击，修改其值为0，并单击ＯＫ；微软指南 1. 微软帮助文档：https://www.360docs.net/doc/042786093.html,/kb/243327/zh-cn Windows server 2003授权特定普通域用户将计算机加入域 1. 打开AD管理工具，选择https://www.360docs.net/doc/042786093.html,（域级别），右击属性，选择委派控制

文件夹重定向,巧妙管理域用户文档

文件夹重定向,巧妙管理域用户文档很多单位会遇到公用机多人使用，和一人使用多台电脑的情况，作为网管员，如何帮助用户安全管理文档呢？作为单位的网络管理员，除了平时的网络维护、配置和管理，还得处理一些特殊的情况。由于我们单位经常遇到一台电脑多人共用和同一人使用不同电脑的情况，这就在数据资料的管理方面造成很多的问题，同时对于用户本身在使用自己的资料时也造成了很多的不便。今天本人就将自己的一些管理域用户文档的心得推荐给大家。文件夹重定向的使用在我们的日常管理和应用中，很多使用者都是有意无意地将自己的重要数据放在文档里，虽然这样方便保存也能确保自己数据的安全，可是这也有很大的管理安全隐患，说不定谁的一个误操作就会导致系统遭到损坏，这样就可能使得保存在系统盘中的文件丢失。组策略中的文件夹重定向功能就能解决这种问题。 1.打开组策略编辑器，点击“用户配置→Windows设置→文件夹重定向”，选择“我的文档”，右键点击选择“属性”（如图1）。

选择“设置”中的“基本-将每个人的文件夹重定向到同一位置”，则域中应用该策略的用户将使用同一服务器的同一共享文件夹保存域用户文档（如图2）。也可以根据具体需要选择“高级-为不同用户组指定位置”，为不同的用户组设置不同的重定向设置，方法和“基本”相同。

注：重定向文件夹保存的位置不一定在服务器上，可以是网络上的任何一台计算机（如IP为192.168.0.1），确保该计算机一直不关机即可。 2.选择“目标文件夹位置”，我们选择“在根目录路径下为每一用户创建一个文件夹”，“根路径”输入所要保存的网络共享文件夹路径\\192.168.0.1document（必须是UNC路径），用户对此共享文件夹Document必须有足够的访问权限。点击“设置”选项卡，设置文件夹的访问权限。 3.组策略刷新后，用户在客户端登录，右击“我的文档”，选择“属性”，可以看到文件夹重定向到\192.168.0.1documentlucy我的文档文件夹位置。此时可以确定域用户文档已经重定向成功。测试对客户端“我的文档”做改动保存后，服务器中文档内信息也能相应改动，但如果在用户改动文档还未保存时，服务器就意外关机，则文档改动内容无法保存到服务器，但仍会在本地客户端保存，等服务器启动后会自动提示一个文件同步处理对话框，但是会提示文件冲突。按要求保存后，所做的改动就会保存到服务器的共享文件夹中。使用Administrator访问该共享文件夹中lucy的文档，提示“拒绝访问”，只有lucy本人能够访问，这样就确保了用户文档的安全性。漫游用户配置文件用户配置文件包括我的文档、桌面配置、开始菜单、注册信息等，

域控制器的删除

域控制器的删除 6.2.3 正常删除域控制器示例【注意】无论是正常删除，还是强制删除，当域控制器上安装了"证书"服务时，不能删除域控制器，必须先卸载证书服务组件。另外，如果域控制器是某个服务器群集的节点之一，也不能删除域控制器，得先通过群集管理器把该服务器从群集中退出。如果群集管理器也不能成功退出，则可使用以下命令从群集中清除该服务器节点： cluster node 节点服务器名称 /forcecleanup 当不再需要某服务器担当域控制器角色，而需要该服务器成为网络中的一台普通成员服务器时，可以通过删除其中的活动目录来降级该域控制器成为成员服务器。这也就是通常所说的域控制器删除。一般来说，可以通过正常运行Active Directory安装向导来删除域控制器。【经验之谈】可以删除域中的任何域控制器，包括第一台域控制器，但是如果要删除全局编录的域控制器，则要确保网络中还有其他域控制器配置为全局编录角色，否则网络中没有一台域控制器是全局编录角色，会影响用户的网络访问性能的。在删除网络中全局编录角色域控制器时会弹出如图6-73所示的警告提示框，提示必须先要确保网络中有足够的全局编录角色域控制器。全局编录中包含的所有域对象的部分副本是用户搜索操作中最常用的部分。在全局编录中存储所有域对象的最常搜索的属性，可以为用户提供高效的搜索，而不需要其他域控制器参考搜索。

配置域控制器为全局编录角色的方法是在"Active Directory站点和服务"管理单元控制台中Default-First-Site下面的Server节点下单击选择相应的域控制器（如图6-74所示），然后在右侧窗格中的NTDS Settings项上右击，在"常规"选项卡中选择"全局编录"复选项，如图6-75所示。

WIN域环境下被组策略拒绝本地登录的解决方法

在win2003的域环境下，组策略的使用让我们能更方便的管理域内的共享资源以及域内用户的使用权限等诸多问题，使管理员的日常维护效率大大提高，但世间万物皆有利弊，同样人也一样会犯错误，在日常的维护工作中，由于管理员的疏忽操作导致的各种问题比比皆是。下面我们就来讨论一种看似比较棘手的情况。在win2003中，当某个域中的用户或本地用户被策略拒绝了本地登陆的权限，当这个用户在域中的计算机登陆时会被提示“此系统的本地策略不允许您采用交互式登录”，使得用户无法登陆本地计算机，同样也不能登陆域，通常遇到这种问题，我们的解决办法是，用管理员账号登陆域控制器，修改一下策略，把此用户从“拒绝本地登录” 列表中删除即可，但如果由于人为的操作失误，管理员把所以用户的本地登陆权限都禁止了，导致了域中所有用户都不能本地登陆域内计算机（包括域管理员以及本地管理员），这种情况就比较棘手了，我们用什么方法能解决这看似不能解决的问题呢通过查询相关资料以及测试，我们知道所有策略的设置都保存在域控制器（DC）的windows文件夹下的sysvol文件夹下，以GUID为文件夹名，其中安全设置部分保存在DC的windows\sysvol\sysvol\域名\policies\策略的GUID\MACHINE\Microsoft\wind ows NT\SecEdit\ 这个文件中，这是一个文本文件，能通过记事本编辑，要解除对所有用户本地登录限制，我们只需修改这个文本文件，把拒绝登陆的相关信息删除就OK 了，而在默认情况下，存放策略设置的sysvol这个文件夹在DC上是被共享的，那我们能不能用一台计算机通过网络连接到DC的sysvol共享文件夹，远程修改文件，从而解除本地登陆限制呢，下面我们就用虚拟机来做个实验，来模拟一下这样的网络环境，看看能不能达到我们预想的效果。通过查询资料得知：默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9 默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9 实验的拓扑环境如下：先部署一个域，用物理机做DNS，IP为域中有两台计算机，Florence为DC，Berlin为加入域的一台成员服务器，Perth为一台工作站。但Perth 不能加入域，因为如果设置了禁止本地登陆，Perth加入域后也不能登陆，我们要用P erth远程登陆到DC来解决这个问题，所以Perth只需把IP设置为与DC同一个网段，DNS都指向即可。因本文主要讨论的是后期修改策略的操作，前期的准备工作我就简单介绍一下，就不贴图了哈~~ 1 创建DNS区域：修改NS记录和SOA记录，IP地址都应解析为 2 在florence创建域控制器，记得要修改Florence网卡的TCP/IP属性，应该使用作为自己的DNS服务器。创建完毕后重启florence并用管理员账号登录到域。 3 修改Berlin 的IP地址以及DNS地址，把其加入到域中，使其成为域的一个成员服务器好，至此前期的准备工作已经完成，我们首先在florence（DC）上打开Active D irectory用户和计算机，先创建一个用户user1 然后可以在DC和Berlin上用管理员和user1登陆试一下，可以看到现在登陆是没有问题的下面我们来修改组策略，使所有用户都不能本地登陆，为了能的达到预期效果，我们需要把域策略和域控制器策略同时做禁止本地登陆的修改，因为如果只是域策略阻止，

AD域管理常见问题

A1、客户机无法加入到域？一、权限问题。要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。普通用户登录进来，更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。注意：域管理员不受10台的限制。三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。四、域xxx不是AD域，或用于域的AD域控制器无法联系上。在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC 的 IP 地址，然后开始进行网络身份验证。DNS不可用时，也可以利用浏览服务，但会比较慢。2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。加入域时，如果输入的域名为FQDN格式，形如https://www.360docs.net/doc/042786093.html,，必须利用DNS中的SRV记录来找到DC，如果客户机的 DNS指的不对，就无法加入到域，出错提示为“域xxx不是AD域，或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网（路由）加入域时，也就是说，加入域的计算机是2000及以上，且与DC不在同一子网时，应该用此方法。加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以利用浏览服务（广播方式）直接找到DC，但浏览服务不是一个完善的服务，经常会不好使。而且这样虽然也可以把计算机加入到域，但在加入域和以后登录时，

windows7域用户登陆时：域用户配置文件变TEMP,无法保存变更解决

今天在一台新建的电脑（windows7系统）上登陆域用户，发现电脑右下角提示以临时配置文件登陆。于是查看了用户的个人文件夹路径，看到个人文件夹名称为：TEMP。于是重新启动电脑，继续以该账号登陆，还时显示以临时配置文件登陆windows，而且重新登陆的时候需要重新配置桌面环境，以及用户的资料会删除掉。原因分析：因为公司之前的域损坏，于是新建了域控及DNS，之前在退出原域后后重启加入新域，接着以域用户账号登陆，这里假设用户账户为：test。由于在加入新域后，直接以test账号登陆该电脑，而后发现原域保留在USER文件夹下的test个人文件夹依然保留这USER文件夹下，于是新域的test用户在登陆该电脑时，自动在USER文件夹下创建了一个名为test.domain(domian为域名)。当看到在USER文件夹下，有该用户的两个个人文件夹，一个为原域的（test），一个为现有域的（test.domain）。于是，怕以后在备份文件的时候出现混乱，于是以本机管理员的账号登陆，直接DELETE掉test及test.domain两个文件夹，重新启动电脑。以新域账号test登陆该电脑，于是出现了上面所说的以临时配置文件登陆账号，在C盘USER文件夹下新建了一个“TEMP”的临时个人文件夹，在重新启动后会消失。因为第一次以新域test账号登陆电脑时，在注册表中已经保存有该账号的信息，由于我们已经删除掉了该账号信息，导致第二次登陆的时候无法定向到test 文件夹，所以就建立了一个临时的文件夹以保存用户账号信息。解决办法：进入注册表，导向到： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList，删除那个带有BAK后缀的注册表项，重新启动电脑，再以test账号登陆域时，发现一切又正常了。