实训报告
实验说明:本实验用于配置多域间访问
实验名称:配置WINDOWS多域间访问
实验目的:熟练了解林,域,子域以及新任关系
实验设备:windows server 2003 VM两台
实验描述:实验一》配置外部信任
实验二:配置林信任
实验环搭建:
1:使用两台服务器,一台为https://www.doczj.com/doc/471530112.html,,一台为https://www.doczj.com/doc/471530112.html,。
2.两台服务器都安装活动目录。
说明:鉴于2两台服务器同在一个林下,信任自动传递,多以就没有配置。
实验步骤:
1.配置信任:
转发
IP
https://www.doczj.com/doc/471530112.html,
在管理工具,
任
提升域功
提升域
在管理工具,
任
提升林功
在域名鼠标右键,选择属性,
信
选择建立外部
填写账户名,
用
,
关
接下来,建立
林信任,我们先把之前的外部信
选择双向,选
同上,填写账
用
,
完成林信任
起
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
第十九章 配置IP 单址路由 本章描述了如何在S3760系列交换机上配置IP 单播路由。 有关本节引用的CLI 命令的详细使用信息及说明,请参照CLI 命令集。 路由概述 配置路由的步骤 配置网络接口的IP 地址 启用和关闭IP 路由 配置RIP 配置OSPF 与协议无关的配置 监控和维护IP 网络 1、路由概述 如果不通过一台三层设备,不同VLAN 内的主机无法相互通讯。(这里说的三层设备,也就是通常说的路由器。而三层交换机中的路由功能,实际上就可以视为一台路由器)。S3760系列交换机可通过三种方式进行路由: z 使用缺省路由 z 使用预先设置的静态路由 z 使用动态路由协议生成的路由 静态路由:手工设定将某些目的IP 地址的报文,发往指定的接口。静态路由很可靠并且使用很少的带宽,但是它不能自动响应网络中的变化,所以可能会导致目的不可达。当网络规模不断扩大时,手工设置静态路由将是一件很烦琐的事。 动态路由:三层交换机通过动态路由协议来计算转发报文的最佳路径。动态路由协议有两种类型: z 距离-矢量协议(例如RIP 协议)通过距离值来维护路由表,并且周期性的将路由表向它们的相邻设备传 送。距离-矢量协议通过跳数单位来计算出最佳路由。距离矢量协议的特点是易于配置和使用。 z 链路状态协议(例如OSPF 协议)维护了一个网络拓朴结构的数据库,该数据库基于路由器之间链路状态 通告(LSA)的交换。LSA 由网络连接的状态变化触发,它加速了响应这些变化所需要的收敛时间。链路状态协议能够快速响应网络拓朴结构的变化,但相对距离矢量协议,它需要更大的带宽和更多的资源。 缺省路由:通过上述方法无法寻径的IP 报文发送到缺省的接口。 S3760系列交换机所支持的距离-矢量协议为路由信息协议(RIP);所支持的链路状态协议为OSPF 协议。 在一些的网络环境中,VLAN 和一个单独的IP 网络关联。从IP 网络角度说,每个IP 子网都映射到一个独立的VLAN 上。通过对VLAN 的配置可以控制广播域的大小,把本子网内部的流量限制在一个VLAN 内。然而,当一个VLAN 中的设备需要和另一个VLAN 中的设备进行通信时,就必须通过VLAN 间的路由实现。用户需要配置一台或多台路由器或三层交换机将报文路由到适当的目的VLAN 中。 图19.1显示了一个典型的路由拓朴。交换机I 在VLAN 1中,交换机II 在VLAN 2中。路由器在每个VLAN 中有一个接口。
路由器-OSPF简单及复杂多域配置OSPF的基本配置 【需求】 两台PC所在网段,通过两台使用OSPF协议的路由器实现互连互通。【组网图】
【验证】 RouterA和RouterB可以通过OSPF学习到对方路由信息,并可以ping通对方网段。RouterA路由表: [RouterA]disp ip routing-table
Routing Table: public net Destination/Mask Protocol Pre Cost Nexthop Interface 1.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoo pBack0 1.1.1.2/32 OSPF 10 1563 20.1.1.2 Seria l0/0 10.1.1.0/24 DIRECT 0 0 10.1.1.1 Ether net0/0 10.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoo pBack0 20.1.1.0/30 DIRECT 0 0 20.1.1.1 Seria l0/0 20.1.1.1/32 DIRECT 0 0 127.0.0.1 InLoo pBack0 20.1.1.2/32 DIRECT 0 0 20.1.1.2 Seria l0/0 30.1.1.0/24 OSPF 10 1563 20.1.1.2 Seria l0/0 127.0.0.0/8 DIRECT 0 0 127.0.0.1 InLoo pBack0 127.0.0.1/32 DIRECT 0 0 127.0.0.1 InLoo pB
AD域的部署方法
公司Windows AD 域架构设计方案 公司: 项目: 时间: XX 有限公司 部署Windows AD 域 2014-08
目录 一前言 (3) 1.1企业IT面临的挑战 (4) 1.2AD域架构的应用给企业管理带来的优势 (5) 1.3域架构设计原则 (6) 二.公司域架构规划 (8) 2.1域架构部署规划 (8) 2.2通过OU、GPO和用户组实现域安全的管理 (10)
一前言 由于Windows 网络系统架构在企业应用中的普及,企业会面临大量客户端及服务器的统一安全管理; AD域的规划架构需要根据企业现有的网络规模布局和IT管理制度,以适应企业当前和长远的发展需求,有效地保护用户的资料,减少用户的风险。 针对整个公司的域架构规划和实施,前期需要先完成企业域规划及部署;实现公司统一的目录服务管理,统一的企业用户信息、安全策略。 Windows 网络架构客户端默认均属于工作组的办公环境,所有的用户账号均保存在本地客户端上,网络共享数据时只能允许所有人everyone 查看的 权限,数据共享及网络安全存在较多的风险。Windows 域架构管理模式可以解决众多网络安全性问题,域环境下可以轻易实现网络用户账号的集中管理,规范客户端密码长度和复杂性;在域环境下,可以实现所有客户端系统的补丁自动更新,有效提高服务器及桌面系统的安全性。 在Windows AD域的办公环境下,并不会太多改变原有的客户端工作组下的办公习惯;域账号登陆默
认缓存功能,用户离开公司网络,同样可以使用域用户账号在本机登陆,不会改变原有工作组的工作习惯。另外企业应用系统中,很多应用系统是基于微软的AD架构,如MS Cluster集群高可用系统、Exchange 邮件系统、OCS及时通讯系统、MOSS 企业门户网站协作系统等等;所以AD域的架构管理不但可以方便企业内部安全管理,还为以后的企业应用扩展提供了系统基础。 1.1工作组环境下企业IT面临的挑战 身份管理 ?大量的用户登录名和目录 ?不牢固的密码 ?安全访问网络和应用资源 ?增加的桌面系统维护费用 服务器和桌面电脑管理 ?如何统一管理服务器和桌面系统安全策略 ?如何统一管理桌面系统的应用 ?如何保持所有系统安全补丁升级到最新
js解决cookie跨域访问的问题 今天有一同事问到一个Cookie跨域访问的问题,大概是这样的:“有两个不同域名的系统A(https://www.doczj.com/doc/471530112.html,/a.jsp)与 B(https://www.doczj.com/doc/471530112.html,/b.jsp);当系统A成功登录后,系统B也能够同时自动完成登录,有点像一点登录的效果”。 为了快速、简单的实现这一功能,首先想到就是通过JS操作Cookie并让两个不同域的cookie能够相互访问,这样就可达到了上述的效果,具体实现过程大致可分以下两个步骤: 1、在A系统下成功登录后,利用JS动态创建一个隐藏的iframe,通过iframe的src 属性将A域下的cookie值作为 get参数重定向到B系统下b.jsp页面上; Js代码 var _frm = document.createElement("iframe"); _frm.style.display="none"; _frm.src="https://www.doczj.com/doc/471530112.html,/b.jsp?test_cookie=xxxxx"; document.body.appendChild(_frm); 2、在B系统的b.jsp页面中来获取A系统中所传过来的cookie值,并将所获取到值写入cookie中,这样就简单的实现了cookie跨域的访问;不过这其中有个问题需要注意,就是在IE浏览器下这样操作不能成功,需要在b.jsp页面中设置P3P HTTP Header就可以解决了(具体詳細信息可以参考:https://www.doczj.com/doc/471530112.html,/P3P/),P3P设置代码为: Java代码 <%response.setHeader("P3P","CP='IDC DSP COR ADM DEVi TAIi PSA PSD IVAi IVDi CONi HIS OUR IND CNT'");%>
http: 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答: 根据您的描述,我对这个问题的理解是: 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.
活动目录系列之四:单域环境的实现(多站点)--基本配置 https://www.doczj.com/doc/471530112.html, 2009年01月06日社区交流收藏本文 关键字:多域控制器域控制器安装ADFS Windows Server 2003活动目录服务 在上期我们学习了活动目录系列之二:单域环境的实现(单站点),当时我们实现的是在一个站点的情况下。下面我们来看这样一个场景: **一个企业总部在北京,在上海和广东各有其办公区域,要求实现活动目录域环境。** 一、分析: 对于此企业的现状,在逻辑结构上可以采用多域和单域,比如我们先采用单域(这要取决于你是准备集中管理还是分散管理,在这里我采用集中管理,下个专题我来讲多域多站点的情况)。 如果不采用站点,上海和广东的域用户在客户端登录到域的过程会比较慢(不管你在上海和广东是否放置了DC,都一样),原因是客户端会通过DNS查询本域内的DC,而查到的DC也可能就是北京的(如果是多DC会动态定位),这样就通过WAN连到北京的DC上进行身份验证。此外如果你在每个地区都有DC的话,DC之间的复制也是不可控的,会产生很大流量(关于复制问题,我会在后面的专题来讲解)。兼于此,我们必须划分站点。 划分站点的好处: 1.优化客户端的登录。当域用户在上海或广东的客户端上登录时,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程。 2.优化AD的复制。每个DC之间要同步AD数据库,如果不划分站点,这个同步无时无刻都在进行,而且数据是不压缩的。如果划分了站点这个过程变的可控,特别是在多站点的情况下,优越性更加突出,我会在后面的专题中详细讨论。
附:关于何为站点,实际上就是从物理位置上来区分的,一组高速可靠的一个子网或多个子网。即两点:首先物理位置不同(在一个区域内且高速相连),其次不同站点必须采用相对应的不同子网,即北京是一个子网,上海是另一个子网,广东是第三个子网,当然也可以在北京有多个子网。具体AD的概念请阅读活动目录系列之一:基本概念。 二、搭建过程: 事先规划好各个子网,比如北京子网10.1.1.0/24,上海子网172.16.1.0/24,广东子网:192.168.1.0/ 24. (一)首先在北京把单域创建好,这个过程请参考活动目录系列之二:单域环境的实现(单站点)。 (二)在上海和广东利用dcpromo /adv 完成第二/三台DC的搭建,(关于此参数的使用,请参考活动目录系列之二:单域环境的实现(单站点))。注意此时在默认站点下完成安装。 (三)完成站点的划分和设置: 打开“AD站点和服务”管理工具(或利用命令dssite.msc),如下图所示展开:在default-first-site-name (默认站点)下有三台服务器,当前都在同一个站点。(N1--北京,N2--上海,N3--广东) 利用如下四个操作完成配置过程:
理工学院 毕业设计外文资料翻译 专业:通信工程 姓名: 学号: 11L0751156 外文出处: 2012 International Conference On Computer Science And Service System 附件: 1.外文资料翻译译文;2.外文原文。
附件1:外文资料翻译译文 基于属性的访问控制(ABAC)的跨域访问控制面向服务的体系结构 (SOA) 摘要传统的基于角色的访问控制模型(RBAC)不能满足面向服务的需求架构(SOA)的分布和开放,基于属性的访问控制(ABAC)更多细粒度访问控制,更适合SOA是敞开的环境。本文提出了一种ABAC-based跨域访问控制系统中,安全域的与主题、对象属性、权力的环境属性访问决策的基础,消除集成基于SOA框架的约束RBAC,某种程度上提高了可伸缩性和可变更性的系统,解决了跨域访问控制的问题。 关键字:SOA,基于属性的访问控制(ABAC),访问控制 1. 整体介绍 面向服务的体系结构(SOA)是一种组织方法和使用分布式资源的灵活性组织和管理资源的分布不同的管理领域[1 - 2]。越来越高的对信息集成的需求,松散耦合的、开放的SOA从业务和吸引了越来越多的关注学术界[3]。但是SOA的发展也面临着许多问题,比如安全保障,以及如何整合环境检测服务和原始数据[4]。它在特定的SOA安全系统,开放性,跨域访问安全性呈现给我们的是一个巨大的挑战。 基于角色的访问控制(RBAC)是在一个更合适的独立的安全域,不适合跨域访问。基于主体统一服务认证系统[7],使用不同的方法来处理访问跨域访问,它解决了这个问题在跨域访问企业信息集成一定程度上,但它的基于角色的想法不能最后一个方法实现SOA的开放性和信息集成。 为了解决上述问题,本文提出了一种基于属性的访问控制(ABAC)的跨域访问控制系统,该系统应用的思想属性的访问控制跨域访问控制。该系统消除过程中的缺陷基于角色的访问控制应用于SOA的作用。 2.基于属性的访问控制(ABAC)
在单林多域的环境下部署Exchange2003服务器(1) sysvole 2009-05-04 12:57:43 作者:汤智靖来源: 环境介绍: 某公司在北京设立了分公司,并为分公司设置了独立的域环境域名为https://www.doczj.com/doc/471530112.html,,分公司的域属于公司整个林中的另一颗域树,总公司的域名为https://www.doczj.com/doc/471530112.html,,总公司和分公司都有自己的邮件服务器,我们希望对这两台邮件服务器进行统一的管理并实现互发邮件功能。下面我将进行操作来实现以上需求,并在此实验中去理解路由组和路由组连接器的概念。 拓扑图如下: 建立环境: https://www.doczj.com/doc/471530112.html,域中Denver是全局编录服务器,把NewYork配置成林中第一台邮件服务器(具体部
署方法已在第一节中介绍了这里就不在阐述了),Beijing为总公司的一台已加入到https://www.doczj.com/doc/471530112.html, 域的客户端用来收发邮件。 b.NanJing是分公司的一台服务器,把它配置成一台DC并为分公司创建一个名为https://www.doczj.com/doc/471530112.html,的 域,此域为公司整个林中的一颗域树(域树的创建方法不是本书的讲述范围请参考其他的专业资料)。 c.SuZhou为分公司的另一台服务器,我们将把此服务器配置成分公司的邮件服务器。 d.由于此实验在VMware中完成为了能近可能虚拟出一个接近真实的环境,我们把总部和分部的 域 分别放在不同的网段中,并用一台启动路由功能的Windows 2003做为路由器连接两个网段,模拟成真实环境中的Internet。 在实验中所有服务器的操作系统为Windows Server2003 R2 Enterprise with SP2;Newyork上安装的Exchange版本为Exchange 2003 Enterprise with SP2;BeiJing的操作系统是Windows XP with SP2。 具体步骤: 1.环境中分公司的域是林中的另一颗域树,默认时两台DC的DNS都指向自己,且无对方的记录, 为使https://www.doczj.com/doc/471530112.html,的DC能与公司的GC正常通讯需在两台DC上做DNS转发,步骤如下: a.到NanJing上,在开始运行中键入dnsmgmt.msc打开DNS编辑器—>右击服务器(NanJing) 单击属性—>在跳出的属性页面中选中转发器选项卡—>点击“新建”按钮—>跳出新转发 器页面,输入https://www.doczj.com/doc/471530112.html,域名,点击确定。
单区域OSPF基本配置 一、实验目的 1.掌握单区域OSPF的配置 2.理解链路状态路由协议的工作过程 3.掌握实验环境中虚拟接口的配置 二、应用环境 在大规模网络中,OSPF作为链路状态路由协议的代表应用非常广泛,具有无自环,收敛快的特点 三、实验设备 DCR-1702 两台 CR-V35MT 一条 CR-V35FC 一条 四、实验拓扑 五、实验要求 ROUTER-A ROUTER-B S1/1 192.168.1.1/24 S1/0 192.168.1.2/24 Loopback0 10.10.10.1/24 Loopback0 10.10.11.1/24 六、实验步骤 第一步:路由器环回接口的配置(其他接口配置请参见实验三) 路由器A: Router-A_config#interface loopback0 Router-A_config_l0#ip address 10.10.10.1 255.255.255.0 路由器B: Router-B#config Router-B_config#interface loopback0 Router-B_config_l0#ip address 10.10.11.1 255.255.255.0 第二步:验证接口配置 Router-B#sh interface loopback0 Loopback0 is up, line protocol is up Hardware is Loopback Interface address is 10.10.11.1/24 MTU 1514 bytes, BW 8000000 kbit, DLY 500 usec
兼容情况: 各种新版本的ie10,firefox,opera,safari,chrome以及移动版safari和Android浏览器 ie9及一下版本请使用flash方式来兼容 通过OPTIONS请求握手一次的方式实现跨根域发送请求,需要服务端配置 nginx增加类似如下配置: [html]view plaincopy 1.server { 2. location / { 3. if ($request_method = 'OPTIONS') { 4. add_header 'Access-Control-Allow-Origin' '*'; 5. add_header 'Access-Control-Allow-Credentials' 'true'; 6. add_header 'Access-Control-Allow-Methods' 'GET, POST, OPTIONS'; 7. add_header 'Access-Control-Allow-Headers' 'DNT,X-Mx-ReqToken,Keep- Alive,User-Agent,X-Requested-With,If-Modified-Since,Cache-Control,Content-Ty pe'; 8. # add_header 'Access-Control-Max-Age' 1728000; 9. add_header 'Content-Type' 'text/plain charset=UTF-8'; 10. add_header 'Content-Length' 0; 11. return 200; 12. } 13.} 如果没有nginx转发,java需要如下代码: [html]view plaincopy 1.rundata.getResponse().addHeader("Access-Control-Allow-Origin", "*"); 2.rundata.getResponse().addHeader("Access-Control-Allow-Methods", "GET, POST, OPTIONS"); 3.rundata.getResponse().addHeader("Access-Control-Allow-Headers", "Origin, No- Cache, X-Requested-With, If-Modified-Since, Pragma, Last-Modified, Cache-Con trol, Expires, Content-Type, X-E4M-With");
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
1) 在https://www.doczj.com/doc/471530112.html,/a.html中: document.domain = 'https://www.doczj.com/doc/471530112.html,'; var ifr = document.createElement('iframe'); ifr.src= 'https://www.doczj.com/doc/471530112.html,/b.html'; ifr.display= none;
document.body.appendChild(ifr); ifr.onload= function(){ var doc = ifr.contentDocument ||ifr.contentWindow.document; //在这里操作doc,也就是b.html ifr.onload = null; }; 2) 在https://www.doczj.com/doc/471530112.html,/b.html中: document.domain = 'https://www.doczj.com/doc/471530112.html,'; 这个没什么好说的,因为script标签不受同源策略的限制。 function loadScript(url, func) { var head = document.head || document.getElementByTagName('head')[0]; var script = document.createElement('script'); script.src=url; script.onload= script.onreadystatechange = function(){ if(!this.readyState || this.readyState=='loaded' || this.readyState=='complete'){ func(); script.onload= script.onreadystatechange = null; } }; head.insertBefore(script, 0); } window.baidu= { sug: function(data){ console.log(data); } } loadScript('https://www.doczj.com/doc/471530112.html,/su?wd=w',function(){console.l og('loaded')}); //我们请求的内容在哪里? //我们可以在chorme调试面板的source中看到script引入的内容
域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候,默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users组只隶属于本地的Users组,在本地的administrators组中没有Doamin Users组;然而安装windows服务必须是本地administrators组中的用户才可以安装。
从上图中可以看到,Domain Admins组默认就是在本地的administratos组中
的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中,然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1: 创建datong.vbs,内容如下: Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域(例如https://www.doczj.com/doc/471530112.html,)”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”
实验六单区域OSPF路由配置 一、实验目的: 1. 了解OSPF协议的工作原理; 2. 熟悉三层交换机的VLAN划分; 3. 掌握三层交换机的路由配置方法 4. 掌握单区域OSPF路由配置方法; 二、实验环境: 本实验在PC机上利用模拟软件进行操作,需要的设备有:PC机,思科路由模拟软件Packet Tracer V5.2。 三、实验内容: 1. 配置路由器接口的IP地址; 2. 配置三层交换机的VLAN; 3. 在三层交换机和路由器中配置单区域OSPF协议。 四、实验步骤: 1. 规划如下的网络拓扑 2. 在三层交换机上划分VLAN 在三层交换机上划分两个VLAN,分别是VLAN 10和VLAN 20,三层交换机的F0/2口连接计算机Server0,F0/1口连接Router0,二者均划分到VLAN 10中,PC2为VLAN 20中的计算机。 (1)在三层交换机上创建VLAN 10 和VLAN 20,使用的命令为: SW(config)#vlan 10 SW(config-vlan)#exit SW(config)#vlan 20 SW(config-vlan)#exit (2)分别为VLAN 10和VLAN 20配置IP地址,使用的命令为: SW(config)# interface vlan 10 SW(config-if)#ip add 172.16.1.1 255.255.255.0 SW(config-if)#no shut SW(config-if)#exit SW(config)#interface vlan 20
SW(config-if)#ip add 172.16.5.1 255.255.255.0 SW(config-if)#no shut SW(config-if)#exit (3)PC2的IP地址为:_172.16.5.254/24______,网关为:_172.16.5.1/24_____ (4)Server0的IP地址为:_172.16.1.254/24____,网关为:__172.16.1.1/24__ 3. 配置路由器各接口IP地址 (1)配置Router0的F0/0接口,使用的命令为:(注意:该接口应和VLAN 10在同一网段) R0(config)#in f0/0 R0(config-if)#ip add 172.16.1.3 255.255.255.0 R0(config-if)#no shut (2)配置Router0的F1/0接口,Router1的F1/0接口和PC0的IP地址及网关,然后把各结点的IP地址归纳在下表中。 4. 配置单区域OSPF协议(三层交换机和路由器均处于一个区域中) (1)查看三层交换机的路由表,记录结果: SW#show ip route 172.16.0.0/24 is subnetted, 2 subnets C 172.16.1.0 is directly connected, Vlan10 C 172.16.5.0 is directly connected, Vlan20
AJAX跨域访问的解决方法 Javascscript:使用web代理解决XMLHttpRequest跨域调用问题 XMLHttpRequest对象(IE、Firefox中的XMLHTTP对象)是当今尤其是ajax的web 应用程序的核心.但实际上,使用此对象来编写客户端web应用程序会在跨域的网络连接上受到web浏览器的严重限制. 为什么需要一个代理 web浏览器在网络连接的时候会强制执行一个安全限制,其中就包括调用XMLHttpRequest。此安全限制阻止脚本或者应用程序连接任何其他的不是来自本域的web服务(IE下可通过修改开启选项来允许跨域请求).如果你的web程序和程序使用的XML数据来自同一服务器,那不会有问题。 但是,如果你访问一个web服务器,而web服务器返回页面请求另外一个如Yahoo! Web Service这样的服务器,那么这个访问就会受到限制。
这个问题有很多解决方案,最通用的就是在你的web服务器上安装一个代理.你可以通过调用自己的web服务代理来代替直接调用其它服务器上的web服务,通过代理发起XMLHttpRequest请求,然后代理传递请求到web服务,并且返回客户端应用程序所需要的数据。因为所有数据来自你自己的服务器,所以你的浏览器不会受到什么限制。 出于安全考虑,你web服务器上安装的任何代理被限制使用是一个好主意.转发连接到任意网站url的开放式代理会被滥用。尽管很难限制连接只能来自你自己的应用程序,但是你可以阻止代理去连接那些你没有指定的服务器. Hard code the URL to connect to in the proxy itself 或者提供限制选项.这可以使得代理对不是你的客户端应用程序的用户较低的开放和较少的应用。 其他解决方案 除了通过使用web代理来转发应用程序的服务数据外,还有其他几种方式来绕过浏览器的跨域限制. ?使用阿帕奇的mod_rewrite or mod_proxy来从你的服务器上转发到另外的服务器.在你的客户端代码中你只要做请求就可以了,就好象工 作在你自己的服务器上-------不会有浏览器的限制问题.然后阿帕奇会 神奇的为你请求其他服务器. ?使用json或者动态