1.1.
2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建→用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/0e19161263.html,)处右击,“新建组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”“程序”“管理工具”“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”“帐户策略”“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/0e19161263.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/0e19161263.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
操作如下: 1,Windows server2003系统上安装IIS后复制C:WINDOWSsystem32inetsrviisadmpwd目录,copy iisadmpwd这个目录及子文件。 2,在server2008R2系统上安装好Web服务器(IIS),IIS6脚本工具。 把从server2003上copy的iisadmpwd目录放在系统的C:Windows\sysWOW64\inetsrv目录中 3,注册Iisadmpwd目录下的IISpwchg.dll文件: 以管理员身份运行命令提示符,输入下面的命令,然后回车
regsvr32 C:Windows\SysWOW64\inetsrv\iisadmpwd\iispwchg.dll 4,配置PasswordChangeFlags属性,来确保密码修改这个功能可用:以管理员身份运行命令提示符,切换到cd目录,输入下面命令,然后回车cscript.exe adsutil.vbs set w3svc/passwordchangeflags 0
注:设置PasswordChangeFlags属性的值,你可以组合使用0:默认值,表示用ssl连接来更改密码 1:允许无安全的端口来更改密码,这个对于ssl功能被禁很有用2:禁止更改密码 4:禁止密码过期提示 5、配置IIS7 创建自签名证书,回到主页
6,绑定证书 首先确认默认网站(default web site)的https可用,且绑定好证书; 打开Internet信息服务(IIS)管理器。点击“default web site ”站点,然后点击右侧操作栏的“绑定” , 7,选,“https”协议,然后点击“编辑”,在ssl证书中选择本机服务器的证书
第五单元用户与组的管理 一、填空题 1.根据服务器的工作模式,组分为本地组和域组。 2.账户的类型分为本地用户账户、域用户账户、内置用户账户。 3.工作组模式下,账户存储在服务器的sam文件中;域模式下,账户存储在活动目录数据库中。 4.活动目录中按照能够授权的范围,分为本地域组、全局组、通用组。 5.用户配置文件并不是一个单独的文件,而是由用户配置文件夹、Ntuser.dat文件和ALL User文件夹3部分内容组成。 6.Windows Server 2008服务器有两种工作模式:工作组模式和域模式。 7.本地账户对应对等网的工作组模式,本地账户只能在本地计算机上登录。 8.本地计算机上都有一个管理账户数据的数据库,称为安全账户管理器。 9.用户要访问本地计算机,都需要经过该机SAM中的SID验证。 10.域账户和密码存储在域控制器上Active Directory 数据库中。 11.域数据库的路径为域控制器中的系统盘下\Windows\NTDS\NTDS.DIT。 12.组织单元是域中包含的一类目录对象,它包括域中的一些用户、计算机和组、文件与打印机等资源。 二、选择题
1.在设置域账户属性时,(C )项目不能被设置。 A.账户登录时间 B.账户的个人信息 C.账户的权限 D.指定账户登录域的计算机 2.下列(C )不是合法的账户名 A.abc_123 B.windows book C.dictionar* C.abdkeofFHEKLLOP 3.下面(C )用户不是内置本地域组成员 A.Account Operator B.Administrator C.Domain Admins D.Backup Operators 4.下面(A )不是Windows Server 2008所提供的用户配置文件。 A.默认用户配置文件 B.本地用户配置文件 C.漫游用户配置文件 C.强制性用户配置文件 5.以下那种权限未授予“超级用户”组成员?(B ) A.创建任何用户和组 B.删除任何用户和组 C.创建网络共享 D.创建网络打印机 6.关于内置账户,以下陈述不正确的是:(A ) A.在缺省情况下,“管理员”账户能被删除 B.在缺省情况下,“管理员”账户被启用 C.在缺省情况下,“访客”账户不能被删除 D.在缺省情况下,“访客”账户不被启用 7.以下哪个用户组拥有最低级别的权限?(B ) A.用户 B.访客 C.任何人D复制员
域控中管理计算机和用户帐号 管理计算机和用户帐号 在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。活动目录用户和计算机管理器是安装在域控制器上的目录管理工具,且用户可以在Windows2000 Professional 中安装它的管理工具,以便利用客户机对活动目录进行远程管理。 本章介绍了Active Directory用户和计算机的常用管理工具的使用: 1. 账户、组、组织机构相关的基本概念 2. 用户和计算机账户的配置与管理 3. 组的创建和管理 4. 组织机构的添加与管理 5. 资源的发布和搜索 6. 域和域间信任的管理 7.1 基本概念 活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户,计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。帐号可以用于: 验证计算机或用户的身份 允许访问域中资源 审核用户或计算机帐号的活动 7.1.1 用户帐号 用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。用户帐号也可以作为某些软 件的服务帐号。 7.1.2 计算机帐号 每一个运行Windows 2000 和Windows NT 的计算机在加入到域时都需要一个计算机帐号,就象用户帐号一样,被用来验证和审核计算机的登录过程和访问域资源。 7.1.3 组 组是可包含用户、联系人、计算机和其他组的Active Directory 或本机对象。使用组可以: 管理用户和计算机对Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享 资源的访问。 筛选器组策略设置 创建电子邮件通讯组 有两种类型的组: 安全组 通讯组 安全组用于将用户、计算机和其他组收集到可管理的单位中。为资源(文件共享、打印机等等)指派权限时,管理员应将那些权限指派给安全组而非个别用户。权限可一次分配给这个组,而不是多次分配给单独的用户。使用组而不是单独的用户可简化网络的维护和管理。 通讯组只能用作电子邮件的通讯组。不能用于筛选组策略设置。通讯组无安全功能。 任何时候,组都可以从安全组转换为通讯组,反之亦然,但仅限于域处于本机模式的情况下。域处于
实验项目3 用户和组的管理 一、实验目的 ●熟悉Linux用户的访问权限。 ●掌握在Linux系统中增加、修改、删除用户或用户组的法。 ●掌握用户账户管理及安全管理。 二、项目背景 某公司有60个员工,分别在5个部门工作,每个人工作容不同。需要在服务器上为每个人创建不同的账号,把相同部门的用户放在一个组中,每个用户都有自己的工作目录。并且需要根据工作性质给每个部门和每个用户在服务器上的可用空间进行限制。 三、实验容 ●用户的访问权限。 ●账号的创建、修改、删除。 ●自定义组的创建与删除。 四、实验步骤 子项目1.用户的管理 ●创建一个新用户user01,设置其主目录为/home/user01: ●查看/etc/passwd文件的最后一行,看看是如记录的。 ●查看文件/etc/shadow文件的最后一行,看看是如记录的。
●给用户user01设置密码:#passwd user01。 ●再次查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●使用user01用户登录系统,看能否登录成功。 ●锁定用户user01:#passwd -l user01。 ●查看文件/etc/shadow文件的最后一行,看看有什么变化。 ●再次使用user01用户登录系统,看能否登录成功。
●解除对用户user01的锁定:#passwd -u user01 ●更改用户user01的名为user02:#usermod –l user02 user01。 ●查看/etc/passwd文件的最后一行,看看有什么变化。 ●删除用户user02。 子项目2.组的管理 ●创建一个新组,stuff:#groupadd stuff。 ●查看/etc/group文件的最后一行,看看是如设置的。 ●创建一个新user02,并把他的起始组和附属组都设为stuff:#useradd –g stuff –G stuff user02。
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.doczj.com/doc/0e19161263.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
域用户及组账户的管理 域系统管理员需要为每一个用户分别建立一个用户账户,让用户可以利用这个账户来登录域、访问网络上的资源。系统管理员同时也需要了解如何巧用组,以便有效的管理资源的访问。 本章的主要内容包括: 》域用户账户 》一次同时添加多个用户账户 》域组账户 》提升域功能级别 》组的使用准则 3.1域用户账户 作为域系统管理员,可以利用“Active Directory用户和计算机”控制台来建立并管理域用户账户。当用户利用域用户账户登录域后,便可以直接连接域内的所有计算机、访问资源。换句话说,域用户在域内的一台计算机上登录成功后,当他们要连接域内的其他计算机时,并不需要再次登录到其他计算机上。这个只需要登录一次的功能,被制为“单一登录”(single sign-on )”。 本机用户账户并不具备“单一登录和”的功能,也就是说利用本机用户账户登录后,当要连接其他计算机时,必须再次登录。 非域控制器的Wdindows Server2003、Windows XP Professional等计算机默认没有"Active Directory 用户和计算机”控制台等管理Active Directory的工具,不过,可以
通过安装“Windows Server 2003 Administration Tool Pack”来拥有这些工具,也就是运行位于Windows Server 2003安装光盘中的I386文件夹内的ADMINPAD.MSI程序。 3.1.1组织单位 组织单位内可以容纳其他的对象,如用户账户、组账户、计算机账户等,以便更容易的管理资源,并可以通过组策略来集中管理域的用户工作环境与计算机环境。 你可以利用“开始”-》“管理工具”-》“Active Directory用户和计算机”->"右击域名称“-》”新建“-》”组织单位“的途径来建立组织单位。应设置有意义的组织单位名称,如”业务部“、”研发部“等,而且不要经常改变名称。 3.1.2用户登录账户 在Windows Server 2003或Windows 2000 Server域中,用户可以利用”用户登录名称(Windows 2000以前版本)“来登录域(见图3-1): 》用户登录名称(user principal name, UPN)它的格式与电子邮件账户相同,例如图3-1中的test@yu.local,这个名称只能在Windows Server 2003, Windows XP Professional, Windows 2000计算机上登录域时使用(如图3-2)。在整个林内,这个名称必须是唯一的。 UPN并不会随着账户的转移而改变,举例来说,用户”王乔治“的用户账户位于域https://www.doczj.com/doc/0e19161263.html, 内,若其UPN为test@yu.local,则即使这个用户账户被转移到林中的另一个域,如域https://www.doczj.com/doc/0e19161263.html,,,其UPN仍然是test@yu.local,用户王乔泽仍然可以继续使用原来的UPN登录。
XXXX公司 账号密码及权限管理制度 1总则 1.1 目的 为加强公司信息系统账号和密码管理,通过控制用户密码、权限,实现控制访问权限分配,防止对公司网络的非授权访问,特制订本管理办法。 1.2 范围 所有使用本公司网络信息系统的人员。 1.3 职责 公司所有使用信息系统的人员均需遵守本管理办法规定。行政部网络工程人员负责建立账号和密码管理的规范并推动执行、审核和检查落地执行情况。 1.4 术语和定义 内部网络:是指在本公司内部所有客户端等组成的局域网。包括但不限于OA 系统以及数据库系统等。 2控制内容 1.1 用户注册 ?新用户必须加入域,否则不允许入网。 ?域用户账号由网络管理员在该用户上岗使用公司网络系统前建立,命名 原则为职工工号。
?一自然人对应一个系统账号,以便将用户与其操作联系起来,使用户对 其操作行为负责。 ?用户因工作变更或离开公司时,管理员要及时取消或者锁定该用户所有 账号,对于无法锁定或者删除的用户账号采用更改密码等相应的措施规 避风险。 ?系统管理员应定期检查并取消多余的用户账号。 1.2 权限管理 ?行政部系统管理员负责分配新用户系统权限,负责审批用户权限变更申 请是否与信息安全策略相违背。 ?特权用户必须按授权程序通过系统等部门主管批准,才可给予相应的权 限。 ?系统管理员应保留所有特权用户的授权程序与记录。 ?权限设定要明细化,尽可能减少因拥有的权限化分较粗带来的不正当信 息访问或误操作等现象的发生。若某些权限无法细分,则需加强对用户 的单独监控。 ?只有工作需要的信息访问要求,才可授权。每个人分配的权限以完成本 岗位工作最低标准为准。 ?系统管理员对分配的所有权限记录进行维护。不符合授权程序,则不授 予权限。 ?对于本公司外的用户,需要访问本公司内部资源时,需要由用户的接待 者申请为其办理授审批程序。 1.3 密码的选择 密码的选择应参考以下规则:
?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来
如何实现AD域账户导入导出
如何实现AD域账户导入导出 作为域管理员,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果在图形界面逐个添加、设置,那么需要的时间和人力会超出能够承受范围。一般来说,如果不超过10个,我们可利用AD用户帐户复制来实现。如果再多的话,就应该考虑使用使用命令行工具,实现批量导入导出对象。微软默认提供了两个批量导入导出工具,分别是CSVDE(CSV目录交换)和LDIFDE(LDAP数据互换格式目录交换)。 具体选择上述哪个工具取决于需要完成的任务。如果需要创建对象,那么既可以使用CSVDE,也可以使用LDIFDE,如果需要修改或删除对象,则必须使用LDIFDE。本文不涉及使用CSVDE导入对象。而是换另一种导入导出AD帐户思路:使用CSVDE工具导出AD 帐户到CSV格式的文件中,再使用For语句读取该文件,使用DSADD命令进行批量添加。 具体步骤:
一:使用CSVDE导出帐户 使用CSVDE 导出现有对象的列表相当简单。 最简单的用法是: csvde –f ad.csv 将Active Directory 对象导出到名为ad.csv 的文件。–f 开关表示后面为输出文件的名称。 但是必须注意,上述的用法是很简单,但是导出来的结果可能存在太多你不希望要的记录和信息。 如果要实现更精确的导出记录,可以使用-d 和-r 以及-l 参数。 其中:-d 用来指定特定的搜索位置和范围 -r 用来指定特定的搜索对象类型 -l 用来指定导出对象的具体属性如: csvde –f users.csv –d "ou=Users,dc=contoso,dc=com" –r "(&(objectcategory=person)( objectclass=user))" –l DN,objectClass,description
AD域控及组策略管理 目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。 1、工作组与域的区别...................... 错误!未指定书签。 2、公司采用域管理的好处.................. 错误!未指定书签。 3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。 二、AD域控(DC)基本操作 .............. 错误!未指定书签。 1、登陆AD域控........................... 错误!未指定书签。 2、新建组织单位(OU).................... 错误!未指定书签。 3、新建用户.............................. 错误!未指定书签。 4、调整用户.............................. 错误!未指定书签。 5、调整计算机............................ 错误!未指定书签。 三、AD域控常用命令.................... 错误!未指定书签。 1、创建组织单位:(dsadd)................. 错误!未指定书签。 2、创建域用户帐户(dsadd)................. 错误!未指定书签。 3、创建计算机帐户(dsadd)................. 错误!未指定书签。 4、创建联系人(dsadd)..................... 错误!未指定书签。 5、修改活动目录对象(dsmod)............. 错误!未指定书签。 6、其他命令(dsquery、dsmove、dsrm)..... 错误!未指定书签。 四、组策略管理......................... 错误!未指定书签。 1、打开组策略管理器...................... 错误!未指定书签。 2、受信任的根证书办法机构组策略设置...... 错误!未指定书签。 3、IE安全及隐私组策略设置 ............... 错误!未指定书签。 4、注册表项推送.......................... 错误!未指定书签。
局域网中工作组和域之间的差别 为什么要组建局域网呢?就是要实现资源的共享,既然资源要共享,资源就不会太少。如何管理这些在不同机器上的资源呢?域和工作组就是在这样的环境中产生的两种不同的网络资源管理模式。那么究竟什么是域,什么是工作组呢?它们的区别又是什么呢? "自由"的工作组 工作组(Work Group)就是将不同的电脑按功能分别列入不同的组中,以方便管理。比如在一个网络内,可能有成百上千台工作电脑,如果这些电脑不进行分组,都列在"网上邻居"内,可想而知会有多么乱(恐怕网络邻居也会显示"下一页"吧)。为了解决这一问题,Windows 9x/NT/2000才引用了"工作组"这个概念,比如一所高校,会分为诸如数学系、中文系之类的,然后数学系的电脑全都列入数学系的工作组中,中文系的电脑全部都列入到中文系的工作组中……如果你要访问某个系别的资源,就在"网上邻居"里找到那个系的工作组名,双击就可以看到那个系别的电脑了。 那么怎么样才能加入到工作组中呢?其实方法很简单,只需要右击Windows桌面上的"网上邻居",在弹出的菜单出选择"属性",点击"标识",在"计算机名"一栏中添入你想好的名字,在"工作组"一栏中添入你想加入的工作组名称。如果你输入的工作组名称是一个不存在的工作组,那么就相当于新建一个工作组,当然也只有你自己的电脑在里面。不过要注意,计算机名和工作组的长度都不能超过15个英文字符,可以输入汉字,但是也不能超过7个汉字。"计算机说明"是附加信息,不填也可以,但是最好填上一些这台电脑主人的信息,如"数学系主机"等。单击"确定"按钮后,Windows 98提示需要重新启动,按要求重新启动之后,再进入"网上邻居",就可以看到你所在工作组的成员了。 相对而言,所处在同一个工作组内部成员相互交换信息的频率最高,所以你一进入"网上邻居",首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击"整个网络",然后你才会看到网络上其他的工作组,双击其他工作组的名称,这样你才可以看到里面的成员,与之实现资源交换。 除此之外,你也可以退出某个工作组,方法也很简单,只要将工作组名称改变一下即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。也就是说,你可以随便加入同一网络上的任何工作组,也可以随时离开一个工作组。"工作组"就像一个自由加入和退出的俱乐部一样。它本身的作用仅仅是提供一个"房间",以方便网上计算机共享资源的浏览。 域的管理和设置 打个比方,如果说工作组是"免费的旅店"那么域(Domain)就是"星级的宾馆";工作组可以随便出出进进,而域则需要严格控制。"域"的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。一提到组合,势必需要严格的控制。所以实行严格的管理对网络安全是非常必要的。在对等网模式下,任何一台电脑只要接入网络,其他机器就都可以访问共享资源,如共享上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据的传输是非常不安全的。 不过在"域"模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为"域控制器(Domain Controller,简写为DC)"。 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。 要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互"看"到是远远不够的,
域用户与组账户的管 理
一、实验目的 1.添加域用户 2.用户的漫游 3.组织单元委派控制 4.AGDLP实现组的嵌套 二、实验步骤及结果分析 1.添加域用户 添加域用户常见的几种方法: 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器,运行dsa.msc 打开Active Directory用户和计算机,在“域名”(如https://www.doczj.com/doc/0e19161263.html,)处右击,“新建→组织单位”,如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”(DQA)项上右击选择“新建→用户”,输入新建用户的“用户登录名”,(如hero)。下一步,输入7位以上的安全密码,一直下一步,完成新建用户。
注:如果想要将密码设为简单密码或密码为空,首先要在“开始”→“程序”→“管理工具”→“默认域安全设置”,打开“默认域安全设置”,再依次展开“安全设置”→“帐户策略”→“密码策略”,将“密码必须符合复杂性要求”禁用,并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。
1.1.3.删除用户。只需直接在相应的“组织单位”(如DQA )中的用户(如hero)上右击,选择删除即可。 1.2.使用目录服务工具添加 所谓的目录服务工具是指利用CMD命令新建账户,常用的命令有:dsadd 添加账户或组;dsmod 修改用户或组的信息;dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如:dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入,只须在上命令后加入一些其它信息的命令,如:-email xx@https://www.doczj.com/doc/0e19161263.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如:dsmod user cn=sun,ou- DQA,dc=fenger,dc=com –email yy@https://www.doczj.com/doc/0e19161263.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后,在根DC查看用户属性的信息会与原属性有明显不同。
域用户帐户和组的管理
域用户帐户和组的管理 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。
打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域 展开后可以找到“users”管理单元,点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后,原来的本地用户和组帐号都没有了,这些对象会变成域用户帐号和域本地组,并被放在该“users”管理单元内。
【实验目的】 1、理解域的概念,掌握AD的安装方法。 2、掌握加入和退出域的方法。 3、掌握域用户的管理和配置,组的规划和建立。 4、了解Windows Server 2003域用户和本地用户的区别。 5、理解组的概念和作用,认识组的类型。 【实验内容】 1、练习AD的安装方法, 2、练习加入和退出域的方法。 3、练习域用户的管理和配置,组的规划和建立 【实验器材】 两台PC,一台作为域控制器DC(PC1),另一台客户机(PC2)需要加入到域中。 【实验步骤】 一、安装活动目录 1、将要作为控制器DC的PC上运行DCPromo。单击[下一步]。 2、由于所建立的是域中的第一台域控制器,所以选择[新域的域控制器]单击[下一 步]。 3、选择[创建一个新域的域目录树],单击[下一步]。 4、选择[创建一个新域的域目录林],单击[下一步]。 5、在[新域DNS全名]中输入要创建的域名tlpt+学号后两位.com(如学号2,DNS全名为tlpt02),单击[下一步]。 6、安装向导自动将域名控制器的NetBIOS名设置为“tlpt+学号后两位”,单击[下 一步]。 7、显示数据库、目录文件及 Sysvol文件的保存位置,一般不必做做修改,单击[下 一步]。 8、配置DNS服务器,单击[下一步];如果在安装 Active Directory之前未配置DNS 服务器可以在此让安装向导配置DNS,推荐使用这种方法。 9、为用户和组选择默认权限;单击[下一步] 10、输入以目录恢复模式下的管理员密码,单击[下一步]。 11、安装向导显示摘要信息,单击[下一步]。 12、安装完成,重新启动计算机。 13、设置DNS。(由于在AD配置过程中,默认把本机IP作为DNS的IP,所以我们在DNS服务器中要填写上本机IP)。 14、进入系统后,右键单击“我的电脑”,在“计算机名”栏能看到完整的计算机域名。
一 工作组与域的区别 域管理与工作组管理的主要区别在于: 1、 工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2、 在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3、 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 二 公司采用域管理的好处 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可 以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装,保证网络内软件的统一性。 4、 很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、 使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、 方便用户使用各种资源。域内的计算机 出现故障的时候 可以在第一时间使用其他机器来代替。数据是在网络上面存储所以并不会丢失 并且可以从不同的计算机或者重新安装了操作系统的计算机上来访问。 7、 SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。防止其他员工在客户端随意的安装软件,能够增强客户端的安全性,减少客户端故障 降低维护成本。 8、 资源共享,用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、 管理
通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码。所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险。其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。估计很多人都没有试过吧。 加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一致。而退域,用任何帐号都可以。 下面错误只在本文范畴内,不讨论其他情况。 加域可能的报错A: 就是第二种情况时,加域帐号(权限)不一致。
可能的报错B: 超过普通用户将电脑加域的数值。 取消普通域用户帐号将计算机加入域的权限 域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是Domain Users组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限 方法/步骤 1、在PDC上单击“开始”-“所有程序”- “管理工具”打开“ADSI 编辑器”
2、在打开的ADSI编辑器右击-“连接到”-点击确定。 右键“DC=xxx DC="com" 单击“属性”
3 、找到“ms-DS-MachineAccountQuota”,将其数值由默认的10改成0
这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B(见文章开始部分)。 修改完毕不需要重新启动。即刻生效。 授权特定普通域用户将计算机加入域 进全局组策略修改。 这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新
方钢铁件统东邮系 域管理员使用手册<>版本 修订历史记录日版说作<><28/12/2003>创建文张 目录 简介1.目的范围定义、首字母缩写词和缩略语 参考资料概述 2.登录系统域基本设置3. 未定义书签。!错误用户管理4. 域地址簿管理5.邮件列表6.短消息7. 域管理员使用手册 简介 域管理是企业邮件系统对一个虚拟邮件域进行管理的模块。这部分功能以web形式提供,能够对一个域中的邮件帐户、地址簿、邮件列表和短消息进行管理。本手册介绍使用该模块对虚拟邮件域进行管理的方法。目的 本文档将从一个虚拟邮件域的管理员的角度出发,指导域管理员进行本邮件域的管理、维护工作。 本文档的读者为虚拟邮件域的管理员。 范围 适合于进行邮件域管理的有关人员 定义、首字母缩写词和缩略语 虚拟邮件域: 虚拟域的域名,也就是邮件地址中“@”符号后的部分。通常和邮件服务器不是同一个名字,, 但提供邮件服务的服务器通常为 邮件列表: 虚拟邮件域可在内部建立邮件列表。邮件列表由自己的名字,并可定义一系列成员。拥有授权的用户可以给列表发信,所有的列表成员都会收到,起到方便通知、联系的群发作用。 域地址簿: 系统为每个用户提供私人地址簿和邮件域的公共地址簿。公共地址簿是属于域的,每个域都有且仅有一个公共地址簿。 磁盘限额: 可供分配的用户磁盘限额和的限制。域中所有用户的磁盘限额之和不能超过此限,一旦达到就不能开设新的用户帐号。 参考资料 《Web Mail使用手册》 概述 本文档描述了域管理员进行管理维护的各个模块的功能和使用说明,这些模块包括登录系统、域基本设置、用户管理、域地址簿管理、邮件列表、短消息。 登录系统 系统的域管理功能以web形式提供,访问地址为。这里是虚拟域下的邮件服务器名称。打开后看到如下页
域用户帐户和组的管理 2009-12-15 16:46:24| 分类:工作组和域| 标签:|举报|字号大中小订阅 (以下操作均在Windows Server 2003系统中实现,客户端也是使用2003来模拟,和实际中客户端使用的XP操作系统可能会有所不同) 很多企业都会用到域环境来实现管理,域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。 一、域用户帐户的特点 和本地用户帐户不同,域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中,所以使得集中管理变成可能。同时,一个域用户帐户可以在域中的任何一台计算机上登录(域控制器除外),用户可以不再使用固定的计算机。当计算机出现故障时,用户可以使用域用户帐户登录到另一台计算机上继续工作,这样也使帐号的管理变得简单。 附注: 在工作组环境中,所有计算机是独立的,要让用户能够登录到计算机并使用计算机的资源,必须为每个用户建立本地用户帐户。同时,为了方便实现用户对网络资源的访问权限,我们可以使用本地组来实现。 本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机;本地用户帐户保存在本地计算机;本地用户若需要访问其它计算机,需要在其它计算机上有相应的用户帐户以便进行身份验证。 二、管理工具 要对域中的用户和计算机等对象进行管理,我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中,我们可以在管理工具里找到它。 打开后如图所示,在窗口的左边,可以看到我们创建的域。按左边的“+”号展开该域
在Windows的domain环境下,加域的客户端修改账户密码是一件很easy的事情;即使没有加域的客户端如果组织中,使用Exchange邮件系统,借助Exchange的owa也可以轻松修改账户密码。 前段时间搞Web+Portal 认证时,由于存在少量的LDAP用户,该Web+Portal认证不支持AD+LDAP双认证。为了让这部分用户也能够实现认证,采用了域名+用户名(避免和域用户重名)的方式导进了AD中,并设置了初始密码。可是问题也出现了,这部分用户不加域也没有Exchange邮箱,如何才能第一次登陆修改密码呢? 记得在Windows 2003 IIS中自带修改域用户密码的ASP网页文件iisadmpwd模块,可以通过web方式修改域用户密码。但是IIS 7上不再支持iisadmpwd功能,正常安装windows server 2008及IIS将不会有iisadmpwd模块。那如何将该模块移植到Windows Server 2008 R2中呢? 一、如果通过web方式修改用户名密码方法如下: 1、首先我们需要在windows server 2003的服务器上已安装iis角色, 然后到C:\WINDOWS\system32\inetsrv目录下,复制iisadmpwd文件。
2、回到windows server 2012上确认IIS角色已安装完成。 3、由于我们的是windows server 2012 x64位系统,所以需要将copy的iisadmpwd目录放在系统的C:\Windows\SysWOW64\inetsrv\目录中 4、注册Iisadmpwd目录下的IISpwchg.dll文件:以管理员身份运行命令提示符,输入下面的命令regsvr32 C:\Windows\SysWOW64\inetsrv\iisadmpwd\iispwchg.dll 然后回车