点“开始”菜单→运行→输入“control userpasswords2”→确定,这时弹出对话框,取消勾选“要使用本机,用户必须输入用户名和密码”。在弹出的“自动登录”窗口中将要自动登录的用户名及密码输入→确定后即可实现自动登录。
不管计算机是否已加域,都可以通过更改注册表的方法来实现。
在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon
下创建几个键值。
修改一个双字节(REG_DWORD值项AutoAdminLogon。
值为1表示启用自动登录功能,值为0或值项不存在表示不使用自动登录功能。
修改字符串值项DefaultDomainName的值为机器所在的域名(本机名或localhost。
如果该机器不在域中,则该值项的值为该计算机的名称。
修改字符串值项DefaultUserName的值为默认的用户名。
修改字符串值项DefaultPassword的值为默认的口令,如果口令为空,
也可以删除该项。重新启动后,新的设置便会生效。
注意:上面提及的几个值项如果没有就必须手动创建。
当机器并未加入域中时,则可以用下面的方法:
在运行窗口里输入control userpasswords2或rundll32
netplwiz.dll,UsersRunDll
取消复选框“要使用本机,用户必须输入用户名和密码”的选择
然后确定,在弹出的对话框中输入你自动登录的账户和密码,重启一下就可以了。
如果你不想自动登陆的话也好办。再运行control userpasswords2或rundll32 netplwiz.dll,UsersRunDll。
弹出一个用户帐户的窗口,然后构选“要使用本机,用户必须输入用户名和密码”的选项就可
Windows 2003 域环境下显示“要使用本机,用户必须输入用户名和密码”实现自动登录
让系统自动登录,只要“开始”--“运行”,然后输入:
1. control userpasswords2
把“要使用本机,用户必须输入用户名和密码”前面的钩去掉,然后输入要自动登录的用户名和密码就可以实现系统自动登录了。
但是在Windows 2003域环境下没有“要使用本机,用户必须输入用户名和密码”这项。
显示的方法:
设置NTP时间服务器的方法 NTP服务器设置: 1.打开注册表,找到下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters ,在右窗格中,双击项“Type ",修改“数值数据"为NTP, 然后单击“确定"。 2.修改以下选项的键 HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer ,修改项「Enabled」设定为1,打开NTP服务器 功能。(默认是不开启NTP Server服务,除非计算机升级成为域控制站) 3.修改以下键值 HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config ,修改项AnnounceFlags 的数据为5,该设定强制主机将它自身宣布 为可靠的时间源,从而使用内置的互补金属氧化物半导体(CMOS时钟。该设定强制主机将它自身宣告为可靠的时间源,从而运用内置的互补金属氧化物 半导体(CMOS)时钟。假如要采用外面的时间服务器,就用默认的a值即可. 4.在dos命令行,启动以下服务: w32time 需要管理员权限,改完重启机器 wi ndows time 其他:如果该服务器和internet 连接,那么为了避免服务器和internet 上的ntp同步,最好追加以下配置: HKEY_LOCAl__MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient 的「enable」设定为0,以防止作为客户端自动 同步外界的时间服务。 客户端配置: 1.修改注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient ,项「enable」设定为1,以便 作为客户端自动同步外界的时间服务。项SpecialPollInterval 的值修改成十进制43200 (单位为秒,43200为12小时,该值为更新时间间隔) 2.修改默认更新服务器 进入“日期和时间"窗口,点击“Internet 时间",进入“Internet 时间设置"页面,勾选“与Internet 时间服务器同步",并输入目标服务 器的IP或域名,点击“确定"保存。 3.重启Windows Time 服务
域内各个服务器的时间保持一致,是一个很重要而又往往又容易被人忽略的问题,如果时间不同步或出现异常,往往会出现以下问题: 1. 服务器上应用程序Server端无法获取准确的日期,导致反馈给客户端的日期时间不准确 2. 系统日志上时间不正确,无法通过时间点查找错误信息 3. VPN用户无法连接网络,导致无法正常工作 4. Failover Cluster无法正常启动或切换 … 以下内容,我们会介绍如下获取修改系统时间,如何设置成与时间服务器同步,并介绍各个常用的与时间有关的命令。 一.常见命令 1. 修改当前计算机时间 使用time命令,同时会要求您重设时间 如果不需要设置时间,则直接回车即可 这个命令仅限于粗糙的时间调整。 2. 获取当前计算机的日期及时间信息 在Windows HyperV中,用户无法看到图形界面的日期与时间信息,但可以通过以下命令进行查看: a) 在命令行中输入timedate.cpl, 系统自动弹出日期,时间设置窗口,可以在此位置进行设置 b) 在命令行中输入net time [url=file:///]\\IP[/url]地址或计算机名称,此命令还可以查看其他计算机的当前时间,例如: net time [url=file:///]\\3.242.107.129[/url], 如果是域内计算机,想查看当前域的整体时间net time /domain:shinseifin
3. 显示时区 a) Timedate.cpl b) W32tm /tz 显示本地计算机时区设置 4. 很多时间我们想知道,当前域内的计算机是从哪个服务器同步的时间,可以用如下命令: W32tm /monitor /computers:计算机名称 或者w32tm /monitor /domain:域名 结果如下
?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来
域控制器安装入门图解教程 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台, 则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集 中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们 现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加 方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到 如下画面:
向下搬运右边的滚动条,找到“网络服务”,选中: 默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只 需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以 看到“Active Directory安装向导” 在这里直接点击“下一步”:
PC、硬盘录像机时间同步设置 一.原理:利用NTP服务实现。NTP服务器【Network Time Protocol(NTP)】是用来使计算机时间同步化的一种协议,它可以使计算机对其服务器或时钟源(如石英钟,GPS 等等)做同步化,它可以提供高精准度的时间校正(LAN上与标准间差小于1毫秒,W AN 上几十毫秒),且可介由加密确认的方式来防止恶毒的协议攻击。 二.如何使局域网内的电脑时钟同步 首先要在互联网上寻找一台或几台专门提供时间服务的电脑(以下称为“主时间服务器”),在百度和Google里搜索一下,时间服务器还是很多的,笔者推荐pool.ntp.org这个地址。其次设置局域网时钟服务器。选择单位中能上外网的一台电脑,让它与主时间服务器同步,然后把它设为局域网内部的时间服务器(以下称为时间服务器),以后局域网内所有电脑依它为准进行时间校对。 最后设置客户端。如果客户机为win2000、XP或Linux系统,不需要安装任何软件。如客户机为Win98系统时要根据时间服务器类型的不同而区别对待:如果时间服务器选用SNTP协议进行时钟同步,则Win98机上需安装一个sntp客户端软件,如时间服务器由Windows电脑通过netbios协议提供,则Win98上也不需要安装任何软件。 三.如何设置时间服务器 以下分Win2000、XP分别介绍,而且只介绍sntp服务的架设。 1.Windows2000、XP做时间服务器 第一步:指定主时间服务器。在DOS里输入“net time /setsntp:pool.ntp.org”,这里我们指定pool.ntp.org是主时间服务器。 第二步:与主时间服务器同步。先关闭windows time服务,再开启该服务。在DOS里输入“net stop w32time”、“net start w32time”。 第三步:设置电脑的Windows time服务的启动方式为自动,在“管理工具”的“服务”界面下完成(xp系统默认是自动)。 注意:这台windows主机不能加入任何域,否则无法启动windows time服务。此时,这台windows电脑已经是互联上主时间服务器的客户了,以后每次电脑启动时,都会自动与主时间服务器校对时间。如果网络不通,电脑也会过45分钟后再次自动校对时间。需要提醒的是电脑的时钟与标准时间误差不能超过12个小时,否则不能自动校对,只有手动校正了。
ad域配置时间服务器 PDC如何设置外部服务器为权威服务器。将PDC的时间源同步服务器更改为公司内部的另外一台服务器(192.168.1.250),其他Linux服务器是用192.168.1.250这台服务器作为权威时间源服务器的 1.如何在PDC上设置将权威时间源服务器设置为19 2.168.1.250 2.如何检查PDC的时间服务器已经更改为192.168.1.250 3.如果检查PDC跟权威时间服务器192.168.1.250已经同步了 4.域内的其它DC不用做任何设置,就可以跟PDC保持时间同步了吧,客户 端也无需做任何操作吧,谢谢! 环境:Windows Server 2008 DC ,多Site 回答:根据您的描述,您知道如果在域环境中配置时间服务器。 首先,我们知道在域环境下时间同步非常重要,默认情况下如果DC之间或者DC 和client之间的时间差超过5分钟,那么Kerberos验证就是会失败(默认时间可以修改)。因此正确的配置时间架构将非常重要,一般来说我们按以下架构图来配置时间同步。 活动目录时间服务 在域环境中,PDC(拥有PDC Emulator 这个FSMO角色的DC)默认情况下是该域的权威时间服务器。 按照以上的时间同步层次图,一般情况下我们建议您将顶端的PDC(如果是多域环境,则选择根域的PDC)的时间源服务器指向外部可靠的时间源比如 https://www.doczj.com/doc/2a9168973.html,。
1.您可以通过以下命令设置时间同步源: o w32tm /config /manualpeerlist:
网络管理员入门与基础技术 本文来自:https://www.doczj.com/doc/2a9168973.html,/thread-3894-1-1.html 学习基础知识当好称职网络管理员 本着就近原则,毕业后本人在一个国企当上了一名网络管理员。企业不大,机器也就500~600台左右吧;面积不大,也就700~800平方左右吧;楼房不多,也就6~7幢吧。网管本来就是一个不错的职业。想想啊,只要开始把网络设计好、做好、考虑周到点,那后来您不就一个每天喝着茶、看看报,到月初就拿工资的主儿吗?但是,实际上我们并不是你们想象中的那么清闲啊……我们还是先来谈谈网管所需要具备的知识吧。 作为网络管理员,首先必须要知道网络到底是什么?其实网络就是一个系统,是一个利用通讯设备和线路将地理位置不同的、功能独立的多个计算机系统互连起来,以功能完善的网络软件(即网络通信协议、信息交换方式及网络操作系统等)实现网络中资源共享和信息传递的系统。网络的功能最主要的表现在两个方面:一个是实现硬件资源和软件资源的共享;二就是能够让用户通过这个网络进行信息交换。而
我们网管对这个部分需要做的就是提供更多、更好的服务给用户,让用户能够通过网络提高工作效率! 如果你要当网管,我建议你先学习下面列出的这些知识: 1,什么是网络的拓扑结构?拓扑结构分为总线型、星型、环型、网状等,每种的含义是什么?怎么组建? 2,各种协议的网络的基本配置方法?比如说TCP/IP、AppleTALK等协议的网络。 3,要熟悉常见的各种网络产品,比如服务器、工作站(包括终端)、交换机、防火墙等等。最基本的,你应该掌握安装、调试方法,后期的维护也是网管必修的一课。 好了,现在说说我的具体工作内容吧。总的来说网管的工作内容有三个方面:网络建设、网络维护和网络服务。比如说刚刚开始的企业网络组建(网络拓扑的结构、物理硬件的选择以及网络协议的选择);然后就是网络资源的建设(企业邮局建设、企业网站、企业FTP站点、BBS平台以及VPN 网络的建立);或者还有网络的硬、软件升级。当然还要包括每天必须进行的网络故障检测和维修(包括硬件和软件),网
解决局域网时间同步问题,建立自己的时间服务器(在xp上测试通过)因为种种原因,客户端管理电脑时间会与服务器的时间不一致,造成很多软件不能正常工作或者说获取的前端数据有时间差。一台台修改时间,自然很不方便。目前用的比较多的办法就是NET TIME命令,来同步局域网其他一台机器,。经过我们自己反复试验,终于成功设置好了自己的时间服务器,完全可以用XP自带的windows time 服务来自动更新时间。无须借用其他程序。现将方法公布!目前测试过XP可以做服务器。 1. 将服务器类型更改为NTP。为此,请按照下列步骤操作: a. 单击“开始”,单击“运行”,键入regedit,然后单击“确定”。 b. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type c. 在右窗格中,右键单击“Type”,然后单击“修改”。 d. 在“编辑值”的“数值数据”框中键入NTP,然后单击“确定”。 2. 将AnnounceFlags 设置为5。为此,请按照下列步骤操作: a. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\AnnounceFlags b. 在右窗格中,右键单击“AnnounceFlags”,然后单击“修改”。 c. 在“编辑DWORD 值”的“数值数据”框中键入5(原为十六进制a),然后单击“确定”。 3. 启用NTPServer。为此,请按照下列步骤操作: a. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer b. 在右窗格中,右键单击“Enabled”,然后单击“修改”。 c. 在“编辑DWORD 值”的“数值数据”框中键入1(原为十六进制),然后单击“确定”。 进服务-停止windows time 服务,再启动windows time 服务。这样时间服务器就配置完毕 客户机设置: 注册表项MaxPosPhaseCorrection 路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 十进制修改为999999999(原为十六进制d2f0) 注册表项MaxNegPhaseCorrection 路径HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 十进制修改为999999999(原为十六进制d2f0)
通过上面的案例,我们发现:目前国内信息化项目此起彼伏,而企业内部网络的安全规划则是我们的重中之重。 而我们却习惯性的认为安全就要靠防火墙,安全就要靠杀毒软件。殊不知这些都是解决表面问题的手段。 一个真正意义上安全的网络首先是需要一个安全强壮的网络拓扑结构,其次是基于强壮骨架之上的服务。而我们所面对的安全问题从应用层去解决的方法其实就在我们所熟知的micsoft产品中---windows域。 在基于域环境的计算机管理手段中策略正式我们强行管理企业内部网络的钢铁法则。域环境之所以强大,之所以安全也正是域的管理模式是基于法则的。 一个社会之所以安定,是要一部不断健全的法律来支持的。而我们windows 域环境正是以这样的结构和方式去对域中的计算机、帐户等资源进行统一集中管理的。今天抛砖引玉,以这样的方案提出了域的概念,而对域更深层次的理解以及更详细的应用,请见下篇:《深入理解域概念之开国篇》 要创建windows域,就要弄明白什么是windows域,windows域可以解决什么问题。要弄明白什么是windows域,就要先来一起回顾一下工作组: 首先,工作组中,每一台计算机都独立维护自己的资源,不能集中管理所有网络资源 其次,每一台计算机都在本地存储用户的帐户 第三,一个账户只能登陆到一台计算机 第四,工作组中计算机都是平等的,对于其他计算机来说即是服务器,也是客户机
第五,工作组的网络规模一般少于10台计算机. 成都有条很有名的步行街,里面有个派出所,早期的时候8台计算机,工作组管理模式。网络配置很轻松,几乎不用管理.哪台机器有问题就去哪来机器上解决.工作强度也不是很大. 不到3个月时间.随着信息化的深入,公司的计算机台数增加到了50台.网管员采用同样的管理方式. 每天都很忙碌,从早上到公司到晚上离开,一直在解决网络中用户的计算机故障问题,病毒\IE首页篡改\甚至出现了公司内部恶意攻击的事件,经常晚上加班,通宵达旦的工作.但问题总是解决不了。 一个月后,他被辞退了。 为什么会这样呢?有没有更简单方便的管理方式呢? 下面我们来看这么个例子: 如果我们把工作组看成是原始社会,各服务器(人)各自为政 再想想刚刚的例子,小张公司的8台电脑最开始都是各自为政的, 所以就不存在管理的概念, 小张只能充当一个哪里出问题就去哪解决的故障排除机器般的被动角色. 那么在网络日益应用广泛,结构越来越复杂的今天,我们可不可以,让我们的计算 机网络世界也进化一下呢? 比如在计算机中通过网络成立一个国家,在公司的一定范围内实现集中管理,中央集权!!
?示例准备 ?知识了解 ?读取AD域信息示例 ?DirectorySearcher.Filter属性扩充说明?用户属性扩充说明(含图文属性对照) ?常规 ?地址 ?帐户 ?电话 ?组织 ?示例下载
新建层次关系如下:
下面我们开始连接域,并读取出示例准备中键好的组织单位和用户 首先编写代码用LDAP尝试对域进行访问 形式:LDAP://Domain #region## 是否连接到域 ///
域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色,AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS服务,C盘镜像文件和这2个服务每7天备份一次,备份文件名称加日期,分别存放在2T 硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系
统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 为了安全,我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-系统工具-备份”打开)。 按确定,进入备份工具欢迎页面 选择高级模式,进入高级模式欢迎页面:
域帐户的好处 经过一段时间磨合及把域用户加到本地管理员后。感觉域帐户真是越用越好用了,尤其是我在刚进入公司时第一项任务便是研究TFS、SharePoint、SQL Server 如何配置及管理,域帐户的用处一次次让我产生不小的震撼,有时是思想上的颠覆,我真的被他折服了。如果没有域帐户这些工作可真是不知道要麻烦多少。使用一段时间后发现我所感受及用到的: 1. 域帐户可以在任意一台已经加入域的电脑上登录。 2. 将域用户组加入到SQL Server 登录里,域用户组内所有人员便都可以使用域用户登录数据库,继承相关权限。 3. 域用户登录Team Foundation Server、SharePoint 等都不用输入用户名密码,可自动识别。 4. 域用户密码是放在服务器上的,可以集中设置权限策略,不易被破解,比放在本地更安全。 5. AD,可以查到所有人所在部门、职位、手机、分机等。 6. 可以对域用户及域用户组设置邮箱,对组发邮件会发给组内所有人员。 一次次震撼的结果就是:我想研究下他到底还有哪些好处!于是乎,就发现了以下文章(简单修改及美化): 域控制器的优点 一、权限管理集中、管理成本下降 权限管理集中
1. 域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。 2. 防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。 3. 通过域管理可以有效的分发和指派软件、补丁等,实现网络内的一起安装,保证网络内软件的统一性。 4. 配合ISA 的话就可以根据用户来确定可不可以上网。不然只能根据IP。 二、安全性能加强、权限更加分明 1.安全性能加强、有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。 2. 可以封掉客户端的USB 端口,防止公司机密资料的外泄。 3. 安全性完全与活动目录(Active Directory) 集成。不仅可在目录中的每个对象上定义访问控制,而且还可在每个对象的属性上定义。活动目录(Active Directory)提供安全策:略的存储和应用范围。安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。 三、账户漫游和文件夹重定向 1.个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只
山东神达化工windows_ad域配置方案和操作手册 2015年01月14日
目录 1.背景 (3) 2.为什么要用域 (4) 2.1.一个演示实例说明 (4) 2.2域的概念 (7) 3.如何部署一个域 (7) 3.1.DNS前期准备 (8) 3.1.1.创建区域并允许动态更新 (9) 3.1.2.检查NS和SOA记录 (12) 3.2.创建域控制器 (14) 3.3.创建计算机账号 (23) 3.4.创建用户账号 (26) 4.用备份进行域的灾难重建 (30) 4.1.如何备份 (30) 4.2.如何还原 (34) 5.部署额外域控制器 (39) 6.ACTIVE DIRECTORY的授权还原 (48) 7.ACTIVE DIRECTORY的脱机碎片整理 (57) 8.针对神达化工的具体方案 (62) 8.1.用户管理 (62) 8.2.灾备和重建 (63) 8.3.桌面恢复 (63) 8.4.域用户集成本地管理员 (63) 8.5如何限制域用户脱离域后登陆 (68)
1.背景 山东神达化工有限公司(以下简称:神达化工)目前实施的HONEYWELL PHD 实时数据库需要且必须运行在windows的ad域中,目前项目进展顺利。 神达化工实施HONEYWELL PHD 实时数据库的网络拓扑如图1所示: 图1 ?一台域控制器:负责域用户的维护 ?一台数据库服务器:运行HONEYWELL所依赖的数据库 ?一台web服务器:对外访问,所有终端通过这台机器获取浏览信息。 神达化工在以往的信息化建设中并未使用过windows的ad域,借助HONEYWELL PHD 实时数据库项目,希望将域引入并通过域对公司内部的计算机进行管控。在项目建设过程中,针对windows的ad域,神达化工还有如下疑虑: 1、什么是域,为什么要实施域。 2、如何创建、管理、维护域。
ntp时间同步,各种配置方法 1 Windows xp NTP服务器的配置(2003配置方式一样) 1) 首先需要关闭作为NTP服务器的windows系统自带的防火墙,否则将同步不成功。 2) 单击―开始‖,单击―运行‖,键入regedit,然后单击―确定‖。 找到下面的注册表项然后单击它: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config\ 在右窗格中,右键单击―AnnounceFlags‖,然后单击―修改‖。 在―编辑DWORD 值‖对话框中的―数值数据‖下,键入5,然后单击―确定‖。 3) 启用NTPServer。 a. 找到并单击下面的注册表子项: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpSer ver\ b. 在右窗格中,右键单击―Enabled‖,然后单击―修改‖。 c. 在―编辑DWORD 值‖对话框中的―数值数据‖下,键入1,然后单击―确定‖。
4) 关闭NTP client 找到并单击下面的注册表子项: a) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\Ntpclie nt\ b) 在右窗格中,右键单击―Enabled‖,然后单击―修改‖。 c) 在―编辑DWORD 值‖对话框中的―数值数据‖下,键入0,然后单击―确定‖。 5) 退出注册表编辑器。 在命令提示符处,键入以下命令以重新启动Windows 时间服务,然后按Enter: net stop w32time && net start w32time 2 Windows(2003、XP)系统的NTP同步配置 2.1 Windows客户端的设置 1) 首先需要关闭作为NTP客户端的windows系统自带的防火墙,否则将同步不成功。 2) 设定同步时间间隔,在―开始‖菜单→―运行‖项下输入―Regedit‖进入注册表编辑器。 展开 [ HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesW32TimeTimeProvidersNtpClient ]
AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介2 1、工作组与域的区别 (2) 2、公司采用域管理的好处 (2) 3、Active Directory(AD)活动目录的功能 (4) 二、AD域控(DC)基本操作 (4) 1、登陆AD域控 (4) 2、新建组织单位(OU) (6) 3、新建用户 (8) 4、调整用户 (9) 5、调整计算机 (12) 三、AD域控常用命令 (13) 1、创建组织单位:(dsadd) (13) 2、创建域用户帐户(dsadd) (13) 3、创建计算机帐户(dsadd) (13) 4、创建联系人(dsadd) (14) 5、修改活动目录对象(dsmod) (14) 6、其他命令(dsquery、dsmove、dsrm) (15) 四、组策略管理 (17) 1、打开组策略管理器 (17) 2、受信任的根证书办法机构组策略设置 (18) 3、IE安全及隐私组策略设置 (23) 4、注册表项推送 (28) 五、设置DNS转发 (31)
一、Active Directory(AD)活动目录简介 1、工作组与域的区别 域管理与工作组管理的主要区别在于: 1)、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。 2)、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。 3)、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。 2、公司采用域管理的好处 1)、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2)、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3)、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4)、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
域控制器时间同步及w32tm用法 (2011-07-05 13:07:37) 转载 分类:计算机与 Internet 标签: 杂谈 现象:域控制器和域内的计算机时间与internet上的时间不同步,老慢几分钟。 解决办法:设置NTP服务器,和外网时间同步。 一、修改DC注册表: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\type为NTP 二、设置权威服务器 1、设置权威服务器 在域控服务器上打开注册表,找到键值 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config 修改键AnnounceFlags的值为十进制的10。 2、启用NTPServer HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServe r 修改键Enabled的值为十进制的1 三、配置组策略,设置时间同步 1、打开“Active Directory用户和计算机”,在域上点右键,属性。组策略,打开。 2、在“Default Domain Policy”上右键,编辑。
3、计算机配置—管理模板—系统—Windows时间服务,双击“全局时间配置”,选择“已 启用”。 修改MaxNegPhaseCorrection的值为3600(即为3600秒,1小时) 修改MaxPosPhaseCorrection的值为3600(即为3600秒,1小时) 修改AnnounceFlags的值为5 点“应用”,“确定”。 4、计算机配置—管理模板—系统—Windows时间服务—时间提供程序,“启用 Windows NTP客户端”,选择“已启用”。 “配置Windows NTP客户端”,选择“已启用”。 修改NtpSever的值为https://www.doczj.com/doc/2a9168973.html,,0x6 修改Type的值为NTP 修改SpecialPollInterval的值为1800(30分钟) 四、W32TM用法 当修改完策略后使用gpupdate /force 更新策略,使用w32tm命令更新客户端的时钟。 很多时间我们想知道,当前域内的计算机是从哪个服务器同步的时间,可以用如下命令: W32tm /monitor /computers:计算机名称 或者w32tm /monitor /domain:域名 同步某一个机器的时钟:w32tm /resync /computer:172.21.200.100 1.启动“注册表编辑器”。 2.找到并单击下列注册表项,然后添加下列注册表值: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\W32ti me\Config\
一、服务端 1.关闭防火墙 2.windows+R 输入gpedit.msc 计算机配置/Windows 设置/安全设置/本地策略/安全选项/用户:来宾帐号状态--启用 计算机配置/Windows 设置/安全设置/本地策略/用户权限分配/拒绝从网络访问这台计算机--右键-属性-点击Guest-点删除-确定
3.重启windows time 服务,设置为自动 目的是下次开机自动启动windows time 服务 二、客户端 如果修改过w32time注册表,输入以下三行 Dos窗口输入:net stop w32time,先关闭windows time服务 Dos窗口输入:w32tm /register,重新注册windows time服务 Dos窗口输入:net start w32time,重新启动windows time服务 1.启动windows time 服务,设置为自动 目的是下次开机自动启动windows time 服务 2.新建文本文档,内容为: 重命名为XX.bat 注意空格 3.windows 2003开始-附件-系统工具-任务计划,windows server 2008和win7点击“开始”,输入“任务计划”,点击“任务计划程序”;win8/win8.1搜索“计划任务” 本文档介绍win7
4.右键“任务计划程序(本地)”,点击“创建任务” 5.在创建任务中点击“常规” 注意:右下角“确定”最后再点
6.点击“触发器”,点“新建” 7.点击“操作”,点“新建”
8.点击“条件”,全部取消勾选
9.点击“设置”
Windows server 2008 域环境搭建 目 录 第一章虚拟场景 (2) 1、公司简介 (2) 2、公司现有IT状况 (2) 第二章实验设计 (2) 1、域规划 (2) 2、计算机规划 (3) 第三章具体实施 (3) 1、建立根域 (3) 1.1准备 (3) 1.2 安装 (4) 2、建立子域 (12) 3、额外域控制器建立 (17) 4、站点的建立与连接 (24) 4.1 创建站点 (24) 4.2 定义站点子网 (25) 4.3 定位服务器 (26) 4.4 配置站点连接器 (27) 5角色迁移 (28) 第四章实验中的问题 (32)
第一章虚拟场景 1、公司简介 某公司通过合理的运营和管理,发展迅速,员工人数已有200人左右,现在该公司总部设在长春,两个子公司分部在大连和沈阳,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司决定部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。 公司内部有:人力资源部、行政部、财务部、工程部、销售部、总经理办公室 2、公司现有IT状况 公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2008,客户机的操作系统是windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请2M专线用于与各个子公司相连,实现各公司间资源交换与共享。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用。 第二章实验设计 1、域规划 一改以往的工作组模式,组建域,使管理更方便,工作的环境更安全,用户可以在任意一台域内的计算机登录,共享网络资源。 在总公司长春建立根域https://www.doczj.com/doc/2a9168973.html,内部子网172.16.18.0/24 大连分部建立子域https://www.doczj.com/doc/2a9168973.html,内部子网10.10.10.0/24 沈阳分部建立子域https://www.doczj.com/doc/2a9168973.html,内部子网192.168.80.0/24 2M