以下操作模拟的环境为:主域控制器(计算机名称:TEST)损坏,并从网络中断开,在额外域控制器(计算机名称:TEST-BK)上执行命令,使其获取主域控制器的全部权限,并完全接管所有服务。
其中:
●红色字体为操作过程中需要手工输入的命令
●蓝色字体为输入命令后的返回结果
●“//”后面的绿色字体为该条命令、或返回结果的说明,可供参
考
C:\ntdsutil //输入ntdsutil,进入配置命界面
ntdsutil: ? //输入“?”显示可执行的命令行
? - 显示这个帮助信息
Authoritative restore - 授权还原DIT 数据库
Configurable Settings - 管理可配置的设置
Domain management - 准备新域创建
Files - 管理NTDS 数据库文件
Help - 显示这个帮助信息
LDAP policies - 管理LDAP 协议策略
Metadata clesanup - 清理不使用的服务器的对象
Popups %s - 用“on”或“off”启用或禁用弹出
Quit - 退出实用工具
Roles - 管理NTDS 角色所有者令牌
Security account management - 管理安全帐户数据库- 复制SID 清理
Semantic database analysis - 语法检查器
Set DSRM Password - 重置目录服务还原模式管理员帐户密码
ntdsutil: metadata cleanup //输入“metadata cleanup”,进入清除废弃域控制器(即TEST)信息的命令界面
metadata cleanup: ? //输入“?”,显示可执行的命令
? - 显示这个帮助信息
Connections - 连接到一个特定域控制器
Help - 显示这个帮助信息
Quit - 返回到上一个菜单
Remove selected domain - 删除所选域的DS 对象
Remove selected Naming Context - 为定的命名上下文删除DS 对象
Remove selected server - 从所选服务器上删除DS 对象
Remove selected server %s - 从所选服务器上删除DS 对象
Remove selected server %s on %s - 从所选服务器上删除DS 对象
Select operation target - 选择的站点,服务器,域,角色和命名上下文
metadata cleanup: connections //输入“connections”,进入连接信息界面
server connections: ? //输入“?”,显示出可执行的命令
? - 显示这个帮助信息
Clear creds - 清除以前的连接凭据
Connect to domain %s - 连接到DNS 域名称
Connect to server %s - 连接到服务器、DNS 名称或IP 地址
Help - 显示这个帮助信息
Info - 显示连接信息
Quit - 返回到上一个菜单
Set creds %s %s %s - 将连接凭据设置为域、用户、密码。
空密码使用"NULL",
从控制台输入密码使用*。
metadata cleanup: select operation target //输入“select operation target”,进入连接指定目标的界面
select operation target: ? //输入“?”,显示出可执行的命令
? - 显示这个帮助信息
Connections - 连接到一个特定域控制器
Help - 显示这个帮助信息
List current selections - 列出当前的站点/域/服务器/命名上下文
List domains - 列出所有包含交叉引用的域
List domains in site - 列出所选站点中的域
List Naming Contexts - 列出已知命名上下文
List roles for connected server - 列出已连接的服务器已知的角色
List servers for domain in site - 列出所选域和站点中的服务器
List servers in site - 列出所选站点中的服务器
List sites - 在企业中列出站点
Quit - 返回到上一个菜单
Select domain %d - 将%d 域定为所选域
Select Naming Context %d - 使命名上下文%d 为选定的命名上下文
Select server %d - 将%d 服务器定为所选服务器
Select site %d - 将%d 站点定为所选站点
select operation target: list sites //输入“list sites”并回车,显示当前可连接到的站点,返回结果为找到的站点名称和对应编号
找到 1 站点
0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn //数字“0”为找到的站点的编号
select operation target: select site 0 //输入“select site 0”并回车,连接到编号为0的站点
站点- CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn //在返回结果中将包含此行信息
select operation target: list domains //输入“list domains”并回车,显示当前可连接到的域,返回结果为找到的域和对应编号
找到 1 域
0 - DC=sgjtsteel,DC=com,DC=cn //数字“0”为找到的域名的编号
select operation target: select domain 0 //输入“select domain 0”并回车,连接到编号为0的域
域- DC=sgjtsteel,DC=com,DC=cn //在返回结果中包含此行信息
select operation target: list servers in site //输入“list servers in site”并回车,显示当前域内的域控制器,返回结果为找到的域控和对应编号
找到 2 服务器
0 - CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=co m,DC=cn
1 - CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC =com,DC=cn
select operation target: select server 0 //输入“select server 0”并回车,选择要删除的域控制器编号,本例中为“TEST”,即已经损坏的主域控服务器-
CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=co m,DC=cn //在返回结果中包含本行信息
select operation target: quit //输入“quit”,返回上一级菜单(metadata cleanup)metadata cleanup: ? //可再次输入“?”并回车,显示可执行的命令
? - 显示这个帮助信息
Connections - 连接到一个特定域控制器
Help - 显示这个帮助信息
Quit - 返回到上一个菜单
Remove selected domain - 删除所选域的DS 对象
Remove selected Naming Context - 为定的命名上下文删除DS 对象
Remove selected server - 从所选服务器上删除DS 对象
Remove selected server %s - 从所选服务器上删除DS 对象
Remove selected server %s on %s - 从所选服务器上删除DS 对象
Select operation target - 选择的站点,服务器,域,角色和命名上下文
metadata cleanup: remove select server //输入“remove select server”,删除之前选中的域控制器信息
//以下命令为系统自动执行,期间会出现“是否删除”之类的字样,一律选择“是”
正在从选定的服务器传送/获取FSMO 角色。
绑定到https://www.doczj.com/doc/b411757198.html, ...
绑定到https://www.doczj.com/doc/b411757198.html, ...
正在将Domain Naming Master FSMO 移动到"CN=NTDS Settings,CN=TEST-BK,CN=Servers, CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn"
。
在索取之前尝试安全传送domain naming FSMO。
ldap_modify_sW 错误0x34(52 (不可用).
Ldap 扩展的错误消息为000020AF: SvcErr: DSID-03210312, problem 5002 (UNAVAILABLE ), data 1722
返回的Win32 错误为0x20af(请求的FSMO 操作失败。不能连接当前的FSMO 盒。)
)
根据错误代码这可能表示连接
ldap, 或角色传送错误。
domain naming FSMO 的传送失败,用索取继续...
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=sgjtsteel,DC=com,DC=cn
正在将Schema Master FSMO 移动到"CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Defa ult-First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn"。
在索取之前尝试安全传送schema FSMO。
ldap_modify_sW 错误0x34(52 (不可用).
Ldap 扩展的错误消息为000020AF: SvcErr: DSID-03210312, problem 5002 (UNAVAILABLE ), data 1722
返回的Win32 错误为0x20af(请求的FSMO 操作失败。不能连接当前的FSMO 盒。) )
根据错误代码这可能表示连接
ldap, 或角色传送错误。
schema FSMO 的传送失败,用索取继续...
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=sgjtsteel,DC=com,DC=cn
正在将PDC FSMO 移动到"CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First- Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn"。
在索取之前尝试安全传送PDC FSMO。
ldap_modify_sW 错误0x34(52 (不可用).
Ldap 扩展的错误消息为000020AF: SvcErr: DSID-032104F9, problem 5002 (UNAVAILABLE ), data 1722
返回的Win32 错误为0x20af(请求的FSMO 操作失败。不能连接当前的FSMO 盒。) )
根据错误代码这可能表示连接
ldap, 或角色传送错误。
PDC FSMO 的传送失败,用索取继续...
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN
=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=sgjtsteel,DC=com,DC=cn
正在将Rid Master FSMO 移动到"CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default -First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn"。
在索取之前尝试安全传送RID FSMO。
ldap_modify_sW 错误0x34(52 (不可用).
Ldap 扩展的错误消息为000020AF: SvcErr: DSID-0321090A, problem 5002 (UNAVAILABLE ), data 1722
返回的Win32 错误为0x20af(请求的FSMO 操作失败。不能连接当前的FSMO 盒。) )
根据错误代码这可能表示连接
ldap, 或角色传送错误。
RID FSMO 的传送失败,用索取继续...
正在搜索域中最高级的摆脱池
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,C
N=Configuration,DC=sgjtsteel,DC=com,DC=cn
正在将Infrastructure Master FSMO 移动到"CN=NTDS Settings,CN=TEST-BK,CN=Servers ,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn"
。
在索取之前尝试安全传送infrastructure FSMO。
ldap_modify_sW 错误0x34(52 (不可用).
Ldap 扩展的错误消息为000020AF: SvcErr: DSID-03210312, problem 5002 (UNAVAILABLE ), data 1722
返回的Win32 错误为0x20af(请求的FSMO 操作失败。不能连接当前的FSMO 盒。) )
根据错误代码这可能表示连接
ldap, 或角色传送错误。
infrastructure FSMO 的传送失败,用索取继续...
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
从选定的服务器删除元数据。
搜索"CN=TEST,OU=Domain Controllers,DC=sgjtsteel,DC=com,DC=cn" 下的FRS 成员。
正在删除FRS 成员"CN=TEST,CN=Domain System Volume (SYSVOL share),CN=File Replic ation Service,CN=System,DC=sgjtsteel,DC=com,DC=cn"。
正在删除"CN=TEST,CN=Domain System Volume (SYSVOL share),CN=File Replication Ser vice,CN=System,DC=sgjtsteel,DC=com,DC=cn" 下的子树。
正在删除"CN=TEST,OU=Domain Controllers,DC=sgjtsteel,DC=com,DC=cn" 下的子树。尝试删除CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration ,DC=sgjtsteel,DC=com,DC=cn 上的FRS 设置失败,原因是"找不到元素。";
继续清除元数据。
“CN=TEST,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=sgj tsteel,DC=com,DC=cn”删除了,从服务器“test-bk”
//命令执行完成,返回“metadata cleanup”命令行
metadata cleanup: quit //输入“quit”并回车,返回上级菜单
ntdsutil: ? //输入“?”并回车,查看可执行的命令
? - 显示这个帮助信息
Authoritative restore - 授权还原DIT 数据库
Configurable Settings - 管理可配置的设置
Domain management - 准备新域创建
Files - 管理NTDS 数据库文件
Help - 显示这个帮助信息
LDAP policies - 管理LDAP 协议策略
Metadata cleanup - 清理不使用的服务器的对象
Popups %s - 用“on”或“off”启用或禁用弹出
Quit - 退出实用工具
Roles - 管理NTDS 角色所有者令牌
Security account management - 管理安全帐户数据库- 复制SID 清理Semantic database analysis - 语法检查器
Set DSRM Password - 重置目录服务还原模式管理员帐户密码
ntdsutil: roles //输入“roles”并回车,进入下一菜单
fsmo maintenance: ? //输入“?”,显示可执行的命令
? - 显示这个帮助信息
Connections - 连接到一个特定域控制器
Help - 显示这个帮助信息
Quit - 返回到上一个菜单
Seize domain naming master - 在已连接的服务器上覆盖域角色
Seize infrastructure master - 在已连接的服务器上覆盖结构角色
Seize PDC - 在已连接的服务器上覆盖PDC 角色
Seize RID master - 在已连接的服务器上覆盖RID 角色
Seize schema master - 在已连接的服务器上覆盖架构角色
Select operation target - 选择的站点,服务器,域,角色和命名上下文
Transfer domain naming master - 将已连接的服务器定为域命名主机
Transfer infrastructure master - 将已连接的服务器定为结构主机
Transfer PDC - 将已连接的服务器定为PDC
Transfer RID master - 将已连接的服务器定为RID 主机
Transfer schema master - 将已连接的服务器定为架构主机
fsmo maintenance: connections //输入“connections”并回车,进入下一菜单
server connections: connect to server test-bk //输入“connect to server test-bk”并回车,连接到当前的域控制器(此处为test-bk)
绑定到test-bk ...
用本登录的用户的凭证连接test-bk。
server connections: quit //输入”quit“并回车,返回上一级菜单
fsmo maintenance: seize domain naming master //输入”seize domain naming master“并回车,夺取domain naming master角色
在索取之前尝试安全传送domain naming FSMO。
FSMO 传送成功- 不需要索取。
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
fsmo maintenance: seize infrastructure master //输入“seize infrastructure master”并回车,夺取infrastructure master角色
在索取之前尝试安全传送infrastructure FSMO。
FSMO 传送成功- 不需要索取。
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
fsmo maintenance: seize PDC //输入“seize PDC”并回车,夺取PDC角色
在索取之前尝试安全传送PDC FSMO。
FSMO 传送成功- 不需要索取。
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
fsmo maintenance: seize RID master //输入“seize RID master”并回车,夺取RID master角色
所选服务器已经是RID 角色的所有者
fsmo maintenance: seize schema master //输入“sieze schema master”并回车,夺取schema master角色
在索取之前尝试安全传送schema FSMO。
FSMO 传送成功- 不需要索取。
服务器"test-bk" 知道有关5 作用
架构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
域- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites,
CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
PDC - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
RID - CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Sites
,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
结构- CN=NTDS Settings,CN=TEST-BK,CN=Servers,CN=Default-First-Site-Name,CN=Site
s,CN=Configuration,DC=sgjtsteel,DC=com,DC=cn
fsmo maintenance: quit //输入“quit”并回车,返回上一级菜单
ntdsutil: quit //输入“quit”,退出ntdsutil配置界面
从test-bk 断开...
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
域控服务器迁移步骤 假设主域控制器的IP为192.168.1.10,额外域控制器的IP为192.168.1.20 第一步:主域迁移之前的备份: 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像 第二步:主域控制迁移: 1.在主域控服务器(19 2.168.1.10)上查看FSMO(五种主控角色)的owner(拥有者),安装Windows Server 2003系统光盘中的Support目录下的support tools 工具,然后打开提示符输入: netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上,当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器(192.168.1.20) 在主域控服务器(192.168.1.10)执行以下命令: 2.1 进入命令提示符窗口,在命令提示符下输入: ntdsutil 回车, 再输入:roles 回车, 再输入connections 回车, 再输入connect to server 192.168.1.20 (连接到额外域控制器) 提示绑定成功后,输入q退出。 2.2 依次输入以下命令: Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器,选择YES,完成后按Q退出界面。 2.3 五个步骤完成以后,进入192.168.1.20,检查一下是否全部转移到备份服务器192.168.1.20上,打开提示符输入: netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录: 3.1 打开“活动目录站点和服务”,展开site->default-first-site-name->servers,展开192.168.1.20, 右击【NTDS Settings】点【属性】,勾上全局编录前面的勾。 然后展开192.168.1.10,右击【NTDS Settings】点【属性】,去掉全局编录前面的勾。
何在2003域中限制用户安装和卸载软件的权限,我应该怎么通过设置 策略实现? 可以考虑“power users”组,改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低,但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组,则应仔细地控制该组的成员,并且不要实现用于“受限制的组”设置的指导。 “受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置: 计算机配置\windows 设置\安全设置\受限制的组 通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上,管理员可以为gpo 配置受限制 的组。 如果某个组受限制,您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全 受限。只有通过使用安全模板才能使组受限。 查看或修改“受限制的组”设置: .打开“安全模板管理控制台。 注意:默认情况下,“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它,请启动microsoft 管理控制台(mmc.exe) 并添加“安全模板”加载项 2.双击配置文件目录,然后双击配置文件。 3.双击“受限制的组”项。 4.右键单击“受限制的组” 5.选择“添加组” 6.单击“浏览”按钮,再单击“位置”按钮,选择需浏览的位置,然后单击“确定”。 注意:通常这会使列表的顶部显示一个本地计算机。 7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。 单击“高级”按钮,然后单击“立即查找”按钮,列出所有可用组。 选择需要限制的组,然后单击“确定”。 单击“添加组”对话框上的“确定”来关闭此对话框。 对于所列出的组来说,将添加当前不是所列组成员的任何组或用户,而当前已是所列组成员的所有 用户或组将从安全模板中删除。 为完全限制“power users”组,此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组(例如“backup operators”组),建议您限制它。 如何使用组策略的进行软件分发和如何制作.msi文件?
http: 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答: 根据您的描述,我对这个问题的理解是: 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.
win2003域控制器升级迁移到win2008的详细步骤 原 Domain Control情况如下: 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2003 Enterprise Edition SP1 提供服务: Domain Control、DNS 完成升级后,增加 Server2008为域控制器 计算机名: whdgap01.WHDG.local IP地址: 192.168.2.31/24 (DNS: 192.168.2.31;202.96.134.133 GW:192.168.2.1/24) 操作系统: Windows Server 2008 R2 enterprise 提供服务: Domain Control、DNS Win2003域添加Win2008域控制器 1、安装Windows Server 2008服务器。 2、将win2008加入域whdg中
3、对Forest(林)、 Domian(域)和RODC(域控制器)进行扩展。 在原 Windows Server 2003 域控制器上运行 Windows Server 2008的ADPREP工具,该工具位于 Windows Server 2008 光盘中的 Source\adprep目录下,复制 adprep目录到Windows Server 2003域控制上的任意磁盘分区中。 注意:扩展操作在DC2003(域控制器)上进行操作。 开始-运行-CMD,进入D分区的ADPREP目录输入 adprep /forestprep 根据提示,选择”C “,并按下 Enter键继续。(林拓展)
Runas的使用方法 域用户没有管理员权限,但是很多的软件却必须有管理员权限才能运行,不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略,不运行就是不运行。 XP虽然停止更新,但仍然是公司的主力。最近装了几台win7的系统,这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手,像我这样半路出家来当IT的人,将自己的经验分享也是无上的光荣啊。 Runas命令简介: Runas允许用户使用其他权限运行指定的工具和程序,而不是当前用户登录提供的权限。 是不是很拗口,不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好,控制面板—用户—选项下面多了个—凭据管理功能,让你不再每次运行的时候输入密码,一次输入永久使用。 以域用户要运行QQ软件为例: 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是:admin,本机名称为:dell-PC,系统域名为:dellserver 2、在电脑桌面的空白处,右击鼠标---新建---快捷方式----输入一下命令: Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”
3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中,设置当前用户的权限为“读取”,运行,不允许修改。 5、将快捷方式,复制到没有权限的域用户桌面双击运行弹出命令窗口: 输入管理员密码一次。以后便不用再输入了,系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2./user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。
主域控制器的迁移 现有环境:一台主域控制器(含AD和数据库及其WEB程序);有一台备份域控制器;一台新的服务器6850。 目的:将主域控制器迁移到新的服务器6850上 步骤:1.首先将6850作为备份域控制器 2. SERVER1的所有信息从活动目录里面删除 3.把FSMO角色强行夺取过来 4.设置全局编录 具体操作: (1)运行dcpromo命令 (3)弹出Active Directory安装向导,点“下一步” (4)这里以默认,点“下一步”
(5)选“现有域的额外域控制器”,点“下一步” 随后--输入管理员及密码--还原模式密码--最后一步配置(没有截图了) 加入过程中可能会碰到问题,如果有的话 参考https://www.doczj.com/doc/b411757198.html,/archiver/tid-151189.html https://www.doczj.com/doc/b411757198.html,/t/20030910/10/2243270.html# 然后到google上去查找! 运行ntdsutil
Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.doczj.com/doc/b411757198.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0
List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象 使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
域服务器备份和恢复 1 目的 在公司的局域网中,域控服务器控制着客户机共享局域网资源和对外部网络的访问,角色非常重要。为了保证域控制服务器系统故障后,能够第一时间恢复域控服务器系统,提高恢复域控服务器系统的工作效率,避免重新安装域控服务器导致客户机需要重新加域等麻烦,特编写本说明。 2 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务和DHCP服务3种角色,其中AD服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份和服务器磁盘镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS和DHCP服务,这3个服务每30备份一次,备份文件名称加日期,分别存放在D盘的“AD备份”、“DNS备份”和“DHCP备份”3个文件夹,然后每次用脱机磁盘再备份一次这3个文件夹。 2.1 AD服务备份与恢复 1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows
2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系统注册表、COM+类的注册数据库。 当备份系统状态时,AD会作为其中的一部分进行备份,所以我们选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 AD中计算机帐户密码(即登录票据)默然30天更新一次,逻辑删除时限默然为60天,所以我们选择AD备份周期为30天一次。 2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-备份”打开)。 按确定,进入备份工具欢迎页面
域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候,默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users组只隶属于本地的Users组,在本地的administrators组中没有Doamin Users组;然而安装windows服务必须是本地administrators组中的用户才可以安装。
从上图中可以看到,Domain Admins组默认就是在本地的administratos组中
的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中,然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1: 创建datong.vbs,内容如下: Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域(例如https://www.doczj.com/doc/b411757198.html,)”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”
windows server 2003 域控制器转移 迁移准备工作: 1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器,并在升级时选择使其成为现有Windows 2003域的额外的域控制器。 2. 在Windows Server 2003上安装DNS服务,确认它已经和原来的Windows 2003 DNS服务器上的数据复制同步后,将它的DNS服务器地址指向自己。 3. 将这台Windows Server 2003域控制器设为全局编录(Glocal Catalog)服务器,具体方法请参考下面这篇文档: 《How to promote a domain controller to a global catalog server》:
https://www.doczj.com/doc/b411757198.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
【基本思路】 利用PE工具启动电脑,清除Administrator账号的密码,进而重新开机直接登录管路员账号。 [ 现在PE工具非常多,在此,我仅以其中一款为案例说明详细步骤] 一、制作前准备(注意:操作前备份好u盘数据) 1.电脑内存不能小于512MB 2.U盘的容量大于512MB 3.下载U盘启动盘制作工具 【老毛桃U盘启动盘制作工具Build20111206】下载地址: https://www.doczj.com/doc/b411757198.html,:90/老毛桃WinPe-u盘版.rar 二、制作U盘启动盘 双击【老毛桃U盘启动盘制作工具Build20111206】,选择你的U盘,画面如下图:
点击“一键制成USB启动盘”按钮(注意操作前备份重要数据) 制作成功,如下图,此时可以拔出你的U盘
注意:由于U盘系统文件隐藏,你会发现u盘空间会减少330M左右,请不要担心此时没有制作成功
三、重启进入BIOS设置U盘启动(提示:请先插入U盘后,再进入BIOS) 在计算机启动的第一画面上按"DEL"键进入BIOS(可能有的主机不是DEL有的是F2或F1.请按界面提示进入),选择Advanced BIOS FEATURES ,将Boot Sequence(启动顺序),设定为USB-HDD模式,第一,设定的方法是在该项上按PageUP或PageDown键来转换选项。设定好后按ESC一下,退回BIOS主界面,选择Save and Exit(保存并退出BIOS设置,直接按F10也可以,但不是所有的BIOS都支持)回车确认退出BIOS设置。 四、进入【U盘启动盘制作工具】启动菜单界面 点击09即可清除原有Administrator账户密码了。
windows_server_2008_域环境搭建 目录 第一章虚拟场景 (2) 1、公司简介 (2) 2、公司现有IT状况 (2) 第二章实验设计 (2) 1、域规划 (2) 2、计算机规划 (3) 第三章具体实施 (3) 1、建立根域 (3) 1.1准备 (3) 1.2 安装 (3) 2、建立子域 (12) 3、额外域控制器建立 (17) 4、站点的建立与连接 (24) 4.1 创建站点 (24) 4.2 定义站点子网 (25) 4.3 定位服务器 (26) 4.4 配置站点连接器 (27) 5角色迁移 (28) 第四章实验中的问题 (32)
第一章虚拟场景 1、公司简介 某公司通过合理的运营和管理,发展迅速,员工人数已有200人左右,现在该公司总部设在长春,两个子公司分部在大连和沈阳,为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业网络。公司决定部署一个由200台计算机组成的局域网。用于完成企业数据通信和资源共享。 公司内部有:人力资源部、行政部、财务部、工程部、销售部、总经理办公室 2、公司现有IT状况 公司已有一个局域网,运行200台计算机,服务器操作系统是windows server 2008,客户机的操作系统是windows xp,工作在工作组模式下,员工一人一机办公。公司从ISP申请2M专线用于与各个子公司相连,实现各公司间资源交换与共享。由于计算机比较多,管理上缺乏层次,公司希望能够利用windows域环境管理所有网络资源,提高办公效率,加强内部网络安全,规范计算机使用. 第二章实验设计 1、域规划 一改以往的工作组模式,组建域,使管理更方便,工作的环境更安全,用户可以在任意一台域内的计算机登录,共享网络资源。 在总公司长春建立根域https://www.doczj.com/doc/b411757198.html,内部子网172.16.18.0/24 大连分部建立子域https://www.doczj.com/doc/b411757198.html,内部子网10.10.10.0/24 沈阳分部建立子域https://www.doczj.com/doc/b411757198.html, 内部子网192.168.80.0/24 2M
转移域控角色的两种方式.txt每个女孩都曾是无泪的天使,当遇到自己喜欢的男孩时,便会流泪一一,于是坠落凡间变为女孩,所以,男孩一定不要辜负女孩,因为女孩为你放弃整个天堂。朋友,别哭,今夜我如昙花绽放在最美的瞬间凋谢,你的泪水也无法挽回我的枯萎~~~转移域控角色的两种方式 当网域崩溃后或者我们买了新服务器,需要将新机器作为主域控制器那么我们需要转移角色,在原主域在线的情况下我们可以使用图形化界面 MMC 控制台来转移角色。在主域崩溃后我们用副域控制器夺权就需要使用到 ntdsutil 工具来转移角色。下面我分别介绍两种转移 AD 中 5 大角色的方式,5 大角色相信地球人都知道,HOHO. PS:转移角色需要注意的是:额外域设置为 GC,这样才能将额外域升级为主域,设置 GC 方法如下:打开 AD 站点和服务管理器-sites-Default-First-Site-Name-servers 下面有服务器名称,找到额外域服务器,双击打开服务器,下面有个 NTDS Settings 右键单击属性,在弹出的属性页面勾选“全 局编录”然后确定就 OKl 了,等待 5-10 分钟整个网域复写完成刚才的动作。 PS:部分步骤来源于网络,此文为综合以及描述注意点 一.使用图形化界面 MMC 来转移域控角色 一.转移架构主机角色 使用“Active Directory 架构主机”管理单元可以转移架构主机角色。您必须首先注册Schmmgmt.dll 文件,然后才能使用此管理单元。注册 Schmmgmt.dll 单击开始,然后单击运行。在打开框中,键入 regsvr32 schmmgmt.dll,然后单击确定。 收到操作成功的消息时,单击确定。 1. 依次单击开始和运行,在打开框中键入 mmc,然后单击确定。 2. 在文件菜单上,单击“添加/删除管理单元”。 3. 单击添加。 4. 依次单击 Active Directory 架构、添加、关闭和确定。 5. 在控制台树中,右键单击 Active Directory 架构,然后单击更改域控制器。 6. 单击指定名称,键入将成为新角色持有者的域控制器名称,然后单击确定。
域服务器Guest权限的设置 工程师:延长县光华中学郭永亮 首先说明要设置每个磁盘的权限,格式必须为ntfs格式,如果是fan32格式将无法设置权限。所以设置之前我们的保证磁盘格式为ntfs格式,如果不是请使用下面的命令转换: 在XP/2003系统内自带了名为“convert.exe”的转换工具,它的作用是将FAT和FAT32分区转换成NTFS分区,其运行的格式如下∶ 点“开始→程序→附件→命令”提示符(这是Windows XP内置的一个类似于DOS的界面,内部所有的指令语句和DOS下的基本相同)。如果你想将C盘转换成NTFS,后在开始--所有程序--附件--命令指示符下输入“convert c: /fs:ntfs”即可。 如果你想将D盘转换成NTFS,后在开始--所有程序--附件--命令指示符下输入“convert d: /fs:ntfs”即可。 如果你想将E盘转换成NTFS,后在开始--所有程序--附件--命令指示符下输入“convert e: /fs:ntfs”即可。 1、我的电脑/工具/文件夹选项/查看/“使用简单的文件共享(推荐)” 将“使用简单的文件共享(推荐)”前面的“√”取消掉 “确定”
2、右键单击要隐藏的盘,比如“E盘” “共享和安全”/安全/“guest”(若没有guest账户,请点击“添加”; 若有,直接跳转到步骤“3”) 点击“添加”之后出来对话框“选择用户和组”/高级/立即查找/选中 “guest”,点确定
3、设置“guest的权限”,选中“guest”,点击“完全控制”后面的“拒 绝”,打上“√” 设置完成,“确定”
通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码。所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险。其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。估计很多人都没有试过吧。 加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一致。而退域,用任何帐号都可以。 下面错误只在本文范畴内,不讨论其他情况。 加域可能的报错A: 就是第二种情况时,加域帐号(权限)不一致。
可能的报错B: 超过普通用户将电脑加域的数值。 取消普通域用户帐号将计算机加入域的权限 域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是Domain Users组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限 方法/步骤 1、在PDC上单击“开始”-“所有程序”- “管理工具”打开“ADSI 编辑器”
2、在打开的ADSI编辑器右击-“连接到”-点击确定。 右键“DC=xxx DC="com" 单击“属性”
3 、找到“ms-DS-MachineAccountQuota”,将其数值由默认的10改成0
这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B(见文章开始部分)。 修改完毕不需要重新启动。即刻生效。 授权特定普通域用户将计算机加入域 进全局组策略修改。 这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新
Windows Server 2008主域控迁移手顺 1.安装windows server 2008 R2虚拟机,名称不能为主域控服务器名称 2.主域控、辅助域控的备份:使用Windows Server Backup进行备份,并将备份文件放置在本地。 3.将主域控角色迁移到辅助域控服务器:例:A001 主域控服务、A002为辅助域控 登陆辅助域控,打开“运行”,输入”regsvr32 schmmgmt.dll”。 确定运行成功,出现下记提示: 3.1打开“运行”,输入”mmc”,分别添加Active Directory 架构、Active Directory 域和信任关系、Active Directory 用 户和计算机到控制台,如下图所示:
3.2右键单击键Active Directory 架构,选择”更改Active Directory 架构”。 出现下记提示,点击确认: 3.3右键单击Active Directory 架构,选择“操作主机”
点击更改,点击确定后如下图所示: If error display “不能连接FSMO盒” ,有可能为网卡为TEAM或网卡、网络等问题 !! 3.4右键Active Directory 域和信任关系,选择“更改Active Directory 域控制器”。
选择辅助域控服务器,确定 3.5右键Active Directory 域和信任关系,选择“操作主机”
点击更改,确定后关闭 3.6右键Active Directory 用户和计算机-所有任务-操作主机
3.7分别在RID、PDC、基础结构选项卡下,点击更改 4.客户端运行中输入:netdom query fsmo ,确认操作主机名称为辅助域控服务器
有四个类型,分别是本地、漫游、强制、临时。本地就是你的配置文件保存在本地计算机。漫游就是保存在你域控的文件夹中,强制也是保存在域控上,不过你对用户配置目录下做任何更改都不会上传到域控的那个文件夹上,也就是你做的更改不会保存到域控中。比如你要在桌面上新建一个文档,重启后就没有了。临时是遇到系统故障,或磁盘空间不足,系统就会临时建立一个配置文件,同样也是不保存的。 实验环境 使用VMW虚拟机,客户端为Windows XP SP2,服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图
2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。 3、进一步权限设置,如图
这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。 现在配置基本完成,我们从客户端登录一下试试看
域控服务器系统备份和恢复说明 系统备份与恢复 公司局域网中域控服务器担任DNS服务、AD服务2种角色,AD 服务和DNS服务可以通过备份系统状态一起备份。在安装配置好域控服务器后,备份系统原始状态,包括对C盘分区镜像备份;在客户机加域和调试等工作完成后,备份AD、DNS服务,C盘镜像文件和这2个服务每7天备份一次,备份文件名称加日期,分别存放在2T硬盘下“域控服务器备份”文件夹下的“DC系统状态备份”和“DC 镜像文件备份” 1 AD服务和DNS服务备份与恢复 1.1、备份方案 AD 中数据可以分为AD 数据库及相关文件和SYSVOL(系统卷)。其中AD数据库包括Ntds.dit(数据库)、Edbxxxxx.log(事物日志)、Edb.chk(检查点文件)、Res1.log 和Res2.log(预留的日志文件);系统卷包括文件系统联接、Net Logon 共享(保存着基于非Windows 2000/2003/xp 的网络客户端的登录脚本和策略对象)、用户登录脚本(基于Windows 2000 Professional、Windows xp 的客户端以及运行Windows 95、Windows 98 或Windows NT 4.0 的客户端)、Windows 2000/2003/xp 组策略以及需要在域控制器上可用并需要在域控制器间同步的文件复制服务(FRS) 的分段目录和文件。 系统状态是相互依赖的系统组件的集合,包括系统启动文件、系统注册表、COM+类的注册数据库。
当备份系统状态时,AD会作为其中的一部分进行备份,所以选择系统自带备份工具(ntbackup)备份系统状态来备份AD。 为了安全,我们一周备份一次。 1.2、备份过程 开始-运行-输入ntbackup,打开系统自带备份软件(也可以点击“开始-程序-附件-系统工具-备份”打开)。 按确定,进入备份工具欢迎页面 选择高级模式,进入高级模式欢迎页面: