限制用户只能登录到域
通常有四个办法来解决或者说变通的解决这个问题。
1、用策略禁止本地登陆。可以建立一个ou,然后将需要控制的计算机账户放置其中,然后在此ou上设置策略,在计算机安全策略中直接指定禁止本地登陆。但是这么做有个问题,我们设想一个场景:如果客户端套用到这个策略,碰巧当前计算机网络不可用,一旦系统出现问题,那么就连本地管理员也无法进行登陆,此时Help Desk不就头疼了吗?
2、限制本地群组。通常来说,最好的做法就是这个方法。可以手动删除所有本地账户(内置的账户常规方法是不能删除的);然后清理本地管理员群组中的账户,至少保留内置系统管理员及Domain admins;最后统一修改本地管理员账户密码。这样用户没有本地账户,就只能登陆到域。
当然这个方法不适合大规模部署,那么可以通过策略的方式限制允许本地登陆的账户或群组,也可以限制本地群组中的账户
3、修改注册表自动登陆。不过记得用户名要用username@https://www.doczj.com/doc/c42420714.html, 的格式啊。这种做法呢,只是表面上的解决;) 1)用户登陆或者注销的时候按住shift键就可以使用其他账户了。
2)任何能接触计算机的人都可以登陆了,不安全。所以这种方法不推荐。
4、屏蔽登陆对话框中本地选项。其实登陆的那个窗口就是这个MSGINA,如果当前网域中
的Client是Winxp(注意,win2k是不允许自定义msgina的),那么可以定制这个DLL,然后通过策略将这个DLL利用计算机策略发布出去,能让登陆界面更符合企业的需求。
当然以上这四个办法都无法从根本上,避免用户逃避域ad管制的问题。剩下的活都需要靠企业安全策略去管理。
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
用户管理系统设计 指导老师:崔老师 组长:罗文文 组员:黄丽徐丽安华林雷微微
目录 一、 -------------------------------------------------------概述 1.----------------------------------------------------- - 项目名称 2.----------------------------------------------------- - 功能概述 3.----------------------------------------------------- - 开发环境及框架 4.----------------------------------------------------- - 用户环境 二、--------------------------------------------------- ----项目框架优点 1.----------------------------------------------------- - springmvc介绍 2.----------------------------------------------------- - easyUI介绍 3.----------------------------------------------------- - jquery介绍
4.----------------------------------------------------- - hibernate介绍 三、--------------------------------------------------- ----项目需求分析 四、--------------------------------------------------- ----流程介绍 五、--------------------------------------------------- ----数据库信息设计 六、--------------------------------------------------- ----功能模块介绍 七、--------------------------------------------------- ----项目具体实现 八、--------------------------------------------------- ----总结 一:概述 1.项目名称 用户信息管理系统 2.功能概述 用户管理系统主要是用于公司方便来管理人员的,本系统主要是对用户个人信息的管理,包
用户管理模块设计 用户管理模块提供对用户信息的管理,包括用户注册、用户登录、用户权限管理、用户信息修改以及用户等级修改。 1、用户注册 根据用户表,设计相应的注册页面,注册页面包括用户名、密码、邮箱、部门、电话等信息,当用户进行注册时,填写这些信息,用户名是不能与已注册的用户名相同,填写完成后,提交注册请求,后台相应的Action会响应该动作,首先获取到页面发来的参数,然后将这些参数通过Session对象写入到数据库中,最后向用户提示注册成功与否。 2、用户登录 用户注册之后,就可以通过账户和密码登陆至平台。当用户提交登陆请求,后台相应的Action会响应该动作,首先获取到页面发来的用户名和密码,然后通过Query对象查询该用户是否存在且密码正确,最后将根据结果给用户发送跳转页面,如果用户存在且密码正确,则可进入平台主页面,否则,提示登陆错误信息。 3、用户权限管理 用户权限管理将用户分为普通用户和管理员,他们具有不同的权限,他们各自的权限如表1所示。此平台首次使用时,会内置一个超级管理员,有修改用户等级的权限。 表1不同用户权限授权
定义一个权限拦截器,它的功能是用来检验用户类型,对每一个需要管理权限的操作均进行拦截,同时检验用户类型,判断该用户类型是否可执行该操作,即可达到权限管理的作用。如果某操作在当前用户等级对应的操作范围内,则可正常访问,否则跳转到提示页面,提示用户权限不足。 4、用户信息修改 用户管理模块提供用户修改自己信息的功能。当进入信息修改界面,首先会获取Session中当前用户信息,供用户在当前信息基础上进行信息修改。当用户填写完修改信息,并发送修改请求后,后台将响应用户的请求,首先得到所有用户修改参数,然后将修改的信息设置到该对象中,最后更新数据库,将更新结果发送给用户。
何在2003域中限制用户安装和卸载软件的权限,我应该怎么通过设置 策略实现? 可以考虑“power users”组,改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低,但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组,则应仔细地控制该组的成员,并且不要实现用于“受限制的组”设置的指导。 “受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置: 计算机配置\windows 设置\安全设置\受限制的组 通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上,管理员可以为gpo 配置受限制 的组。 如果某个组受限制,您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全 受限。只有通过使用安全模板才能使组受限。 查看或修改“受限制的组”设置: .打开“安全模板管理控制台。 注意:默认情况下,“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它,请启动microsoft 管理控制台(mmc.exe) 并添加“安全模板”加载项 2.双击配置文件目录,然后双击配置文件。 3.双击“受限制的组”项。 4.右键单击“受限制的组” 5.选择“添加组” 6.单击“浏览”按钮,再单击“位置”按钮,选择需浏览的位置,然后单击“确定”。 注意:通常这会使列表的顶部显示一个本地计算机。 7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。 单击“高级”按钮,然后单击“立即查找”按钮,列出所有可用组。 选择需要限制的组,然后单击“确定”。 单击“添加组”对话框上的“确定”来关闭此对话框。 对于所列出的组来说,将添加当前不是所列组成员的任何组或用户,而当前已是所列组成员的所有 用户或组将从安全模板中删除。 为完全限制“power users”组,此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组(例如“backup operators”组),建议您限制它。 如何使用组策略的进行软件分发和如何制作.msi文件?
域用户无法登录域故障处理(AD 问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP:FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服 务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。 使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
分区 DC=xm,DC=xingfa,DC=cn 的一个部分复制集被主持在站点 CN=Foshan,CN =Sites,CN=Configuration,DC=xingfa,DC=cn 上,但是找不到此站点的可写的源。 2、 Active Directory 无法建立与全局编录的连接。 额外数据 错误值: 1355 指定的域不存在,或无法联系。 内部 ID: 3200c89 用户操作: 请确定在林中有可用的全局编录,并且可以从此域控制器访问。您可以使用 n ltest 实用工具来诊断此问题。 3、尝试用下列参数建立与只读目录分区的复制链接时失败。 目录分区: DC=xm,DC=xingfa,DC=cn 源域控制器: CN=NTDS Settings,CN=FS03,CN=Servers,CN=Foshan,CN=Sites,CN=Configurat ion,DC=xingfa,DC=cn 源域控制器地址: bfd75c1f-13e3-4a63-aeda-9cda328158de._https://www.doczj.com/doc/c42420714.html, 站点间传输(如果有): 其他数据 错误值: 1753 终结点映射器中没有更多的终结点可用。 [此帖子已被 ekin.liu 在 2010-01-14 20:29:55 编辑过]当前状态为[] ekin.liu
用户管理模块概述: 该模块主要实现管理员对用户信息的添加及修改,查看用户信息列表,对新增用户进行密码初始化。用户本身有修改密码及修改本人信息的权限。 用户管理模块技术分析: 本模块中主要运用查看、添加和删除。其中注意的是对密码的初始化以及密码修改后的加密。针对密码初始化,由系统管理员在添加新增用户时设置初始化密码,一般初始化密码统一。新入公司的员工在首次登录系统时需要对初始密码进行修改,修改后的密码具有保密性,在前台与后台数据库均是不可见的。因此采用MD5加密算法,用于加密用户名密码,验证登录身份。MD5即Message-Digest Algorithm 5,用于确保信息传输完整一致。是计算机广泛使用的杂凑算法之一,主流编程语言普遍已有MD5实现。将数据运算为另一固定长度值,是杂凑算法的基础原理,MD5的作用是让大容量信息在用数字签名软件签署私人秘钥前被"压缩"成一种保密的格式(就是把一个任意长度的字节串变换成一定长的十六进制数字串)。 用户管理模块实现过程: 系统管理员登录系统后点击用户管理模块,选择添加用户,跳转至userAdd.jsp,进行添加用户的信息,并对密码进行初始化,然后保存即可更新数据库。如果某员工升职,则要对其工资以及职务更改。点击修改用户信息跳转至userEdit.jsp,输入某项信息保存即可更新数据库。应部门领导要求打印所有员工信息列表,点击查看员工信息跳转至userList.jsp,即可查看员工信息,员工信息记录以每10个记录为一页,可以进行翻页处理。 新员工首次登录公司系统需要进行改密,此密码需要加密。后台管理员不可见。当用户忘记密码时可以选择通过手机发送验证码来重置密码,并重新登录。员工也拥有对员工本人信息修改的权限。点击修改信息即可完成页面的跳转。 1、开发模型:首先开发用来封装一条表记录的JavaBean即user类。然后开发用来封装针对该表记录实现增删改查的工具JavaBean,即DAO类userDao完成对数据库的操作。 2、开发静态视图,分别为userAdd.jsp,userEdit.jsp,userList.jsp,EditPassword.jsp. 3、开发控制器servlet ,使静态页面转化为动态页面。
ASP案例──用户管理及用户登录 一个专业的用户管理及用户登录系统需要涉及安全性、有效性、合法性等多方面的内容。 一、关键技术 1.验证码简介 (1)验证码的作用 所谓验证码就是将一个随机数显示在一幅图片上,并在图片上产生干扰因素。验证码能够防止攻击者编写程序,自动注册,重复登录暴力破解密码等。 (2)验证码的实现过程 在服务器端随机生成验证码字符串,保存在内存中,然后将该字符串写入图片,发送给浏览器端显示。在浏览器端,用户输入验证码图片上的字符串,然后提交服务器端,比较由用户提交的字符串和服务器保存的该验证码字符串是否一致。 (3)验证码的程序原理 服务器端文件:SafeCode.ASP 生成随机码函数:SafeCode 将随机码存入:Session(“SafeCode”) 验证文件:ChkSafeCode.ASP (4)验证图像的生成 一个BMP文件大体上分成图像文件头(BitmapFileHeader)、图像信息头(BitmapInfoHeader)、调色板(Palette)和图像数据(ImageData)4部分组成。 第一部分定义: typedef struct tagBitmapFileHeader { WORD bfType;//文件类型(0x424D,即字符串“BM”) DWORD bfSize;//文件大小(14个字节,WORD占2个字节,DWORD占4个字节) WORD bfReserved1;//保留字 WORD bfReserved2;//保留字 DWORD bfOffBits;//从文件头到实际的图像数据的偏移字节数, //也就是图像文件头、图像信息头和调色板的总长度 }BitmapFileHeader 第二部分定义: typedef struct tagBitmapInfoHeader { DWORD biSize;//该结构长度(40个字节,LONG占4个字节) LONG biWidth;//图像宽度(单位:像素) LONG biHeight;//图像宽度(单位:像素) WORD biplanes;//为1 WORD biBitCount;//表示颜色时要用到的位数,黑白为1,256色为8,真彩色为24 DWORD biCompression;//图像是否压缩 DWORD biSizeImage;//实际图像占用的字节数 LONG biXPelsPerMeter;//目标设备的水平分辨率 LONG biYPelsPerMeter;//目标设备的垂直分辨率 DWORD biClrUsed;//图像实际用到的颜色数 DWORD biClrImportant;//重要的颜色数
Runas的使用方法 域用户没有管理员权限,但是很多的软件却必须有管理员权限才能运行,不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略,不运行就是不运行。 XP虽然停止更新,但仍然是公司的主力。最近装了几台win7的系统,这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手,像我这样半路出家来当IT的人,将自己的经验分享也是无上的光荣啊。 Runas命令简介: Runas允许用户使用其他权限运行指定的工具和程序,而不是当前用户登录提供的权限。 是不是很拗口,不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好,控制面板—用户—选项下面多了个—凭据管理功能,让你不再每次运行的时候输入密码,一次输入永久使用。 以域用户要运行QQ软件为例: 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是:admin,本机名称为:dell-PC,系统域名为:dellserver 2、在电脑桌面的空白处,右击鼠标---新建---快捷方式----输入一下命令: Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”
3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中,设置当前用户的权限为“读取”,运行,不允许修改。 5、将快捷方式,复制到没有权限的域用户桌面双击运行弹出命令窗口: 输入管理员密码一次。以后便不用再输入了,系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2./user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。
http: 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答: 根据您的描述,我对这个问题的理解是: 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.
关于windows7域帐户不能重新生成配置文件解决方法 我的情况是这样的:我的帐户是加了公司域的,我怀疑自己的帐户有问题,于是就把此帐户(暂把有问题帐户a)置为olda.我重新以a帐户登录域,不能在C盘users下面产生a用户文件。是加载的临时配置文件,如下图1。XP应该是可以重新产生a用户文件的。 图1 我在网上捣腾了半天,最终在微软官网上找到解决办法。下面说说解决方法吧 1.右击-计算机属性-高级系统设置-用户配置文件-设置-选择要删除的帐户-确定 2.开始-运行-regedit-展开到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ProfileList 图2 单击注册表左边窗口如上图2标示①,通过右边标示②可以看出①对应的是哪个用户。依次单击左边选择你要删除的帐户,右键选择删除。 到此,所有准备工作完毕,再登录域用户a。即可产生用户配置文件,在C:/users/。图1报错提示消失。我的问题解决,希望对大家有用。
将一台win7系统的电脑退出域并将其域用户的配置文件删除,重新加入域后,用该域账号登陆后,提示“您已经使用临时配置文件登陆*****logoff或restart后保存在桌面的文件将丢失”。 解决方法:1.右击-计算机属性-高级系统设置-用户配置文件-设置-选择要删除的帐户-确定 2开始-运行-regedit-展开到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList找到S-1-*****.bak项将其删除。 3.重启计算机,用域账号登陆
win7 您已使用临时配置文件登陆以及恢复的解决办法 登陆win7系统总是提示您已使用临时配置文件登陆 在网上搜了很多的相关帖子,几乎没有能说在点子上正确解决此问题的,最后在微软才搜到了解决方案。 win7 您已使用临时配置文件登陆的解决办法 https://www.doczj.com/doc/c42420714.html,/kb/947215/zh-cn 若要解决此问题,请按照下列步骤操作: 1、单击开始,右键单击计算机,然后单击属性。 2、单击更改设置。 3、系统属性对话框中单击高级选项卡。 4、在用户配置文件,下单击设置。 5、用户配置文件对话框中选择若要删除,请单击删除,然后单击确定所需的配置文件。 ====================================================================== ============================ 用户配置文件的修复方法 但当不小心将该用户的信息删除,之后再重新建立。那么再一次用该登陆名登陆的时候,系统会自动建立一个新的文件夹,此时新创建的文件夹名字为以域用户名.域名(NetBios)的形式来命令。比如,在Windows Server 2008 R2的域环境下用Win7来作为域的客户端,当在AD里建立一个叫Jack的账户,第一次登陆Win7的时候系统自动在%SystemDrive%\Users 下创建一个叫jack的用户配置文件文件夹,但当将此用户在域控上删除之后重新创建一个小jack的用户名,再一次在客户端登陆时,则系统自动在%SystemDrive%\Users下建一个名为jack.JACK-TEST(这里的域名是JACK-TEST)的用户配置文件文件夹。如下图:
(AD 域用户无法登录域故障处理 问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP :FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003 系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致 2.246 无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory 数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin 用户登陆FSBDC,打开运行,输入“ CMD”进入命令行状态使用Ntdsutil 工具,将FSMO中PDC角色抢夺过来。
ntdsutil ROIeS COnneCtions COnneCt to SerVer FSBDC q SeiZe domain naming master SeiZe infrastructwre master SeiZe PDC SeiZe RlD master SeiZe SChema master q 步骤2: 升级FSBDC为GC 在管理工具中,打开“Active DireCtOry站点和服务” 点击"Sites-FOShan-SerVerS-FSBDC-NTDS Settings*右键点击选择属性, 选中“全局编目” [此帖子已被ekin. Iiu在2010-01-14 20:13:56编辑过]当前状态为[已登记]ekin?IiU 2010-01-14 20:18:51其他问题: 在升级GC的时候,碰到一个问题,因原有Xin. Xingfa. Cn的域信息没有完全清除,需要要清除后GC才能升级成功。 错误提示信息为: 1、
文件编号: 统一用户及权限管理平台 解决方案及设计报告 版本号0.9
拟制人王应喜日期2006年6月审核人__________ 日期___________ 批准人__________ 日期___________
目录 第一章引言 (1) 1.1编写目的 (1) 1.2背景 (1) 1.3定义 (1) 1.4参考资料 (1) 第二章统一权限管理解决方案 (2) 2.1需求分析 (2) 2.2系统架构 (3) 2.3系统技术路线 (7) 第三章统一用户及授权管理系统设计 (7) 3.1组织机构管理 (8) 3.2用户管理............................................................................................................. 错误!未定义书签。 3.3应用系统管理、应用系统权限配置管理 (9) 3.4角色管理 (8) 3.5角色权限分配 (9) 3.6用户权限(角色)分配 (9) 3.7用户登录日志管理功 (9) 第四章对外接口设计 (10) 4.1概述 (10) 4.2接口详细描述 (10) 4.2.1获取用户完整信息 (14) 4.2.2获取用户拥有的功能模块的完整信息 (15) 4.2.3获取用户拥有的一级功能模块 (16) 4.2.4获取用户拥有的某一一级功能模块下的所有子功能模块 (17) 4.2.5获取用户拥有的某一末级功能模块的操作列表 (19) 4.2.6判断用户是否拥有的某一末级功能模块的某一操作权限 (20) 4.2.7获取某一功能模块的ACL—尚需进一步研究 (21)
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
基础: https://www.doczj.com/doc/c42420714.html,eradd 用户名。 示例: 要添加名为rxy的用户,用户的各个属性保持默认,则使用命令?(useradd rxy) https://www.doczj.com/doc/c42420714.html,eradd –g 指定新建用户所属的组群。 示例: 假设系统存在groupid=704的组群,使新建用户加入该组群:#useradd –g 704 rxy 3.passwd:修改密码。root用户可以通过这条命令来修改任何用户 的密码,可以不用知道当前密码,并且新密码可以不符合系统的密码验证要求,系统只是提出警告,仍然接受新密码。普通用户也可以使用这条命令修改自己的密码,但要输入当前密码,普通用户在设置自己密码的时候要经过系统的验证。若过于简单,系统并不接受。 示例: a.使用管理员登陆系统,为rxy修改密码,则使用命令? #passwd rxy b.锁定rxy用户账号 #passwd –l rxy https://www.doczj.com/doc/c42420714.html,ermod:修改用户属性。
假设存在普通用户rxy,其工作目录为/home/rxy -d修改用户的新工作目录 示例: 为用户rxy修改工作目录为(/home/jack)。 usermod –d /home/jack rxy -l login_name修改用户的登录名称 示例: 把rxy的登录名改为jack。 useradd –l jack rxy -g group_name 修改用户所属组 示例:把rxy的组改为stu usermod -g stu rxy -L锁定帐号 示例:将用户rxy账号锁定 usermod -L rxy -U 解除锁定 示例:对rxy用户进行解锁 usermod -U rxy https://www.doczj.com/doc/c42420714.html,erdel –r login_name。 参数-r表示递归删除用户的工作目录及该目录下的所有子目录和文件。若用户已经登陆了,则不允许使用这条命令。 示例:
域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候,默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users组只隶属于本地的Users组,在本地的administrators组中没有Doamin Users组;然而安装windows服务必须是本地administrators组中的用户才可以安装。
从上图中可以看到,Domain Admins组默认就是在本地的administratos组中
的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中,然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1: 创建datong.vbs,内容如下: Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域(例如https://www.doczj.com/doc/c42420714.html,)”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”
WINDOWS无法与此域连接原因是域控制器存在故障或..... 症状: 出错提示:“windows 无法与此域连接,原因是域控制器存在故障或不可用,或者没有找到计算机帐户,请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助” 管理员administrator身份可以进去操作,用自己的帐号就不行,试了几次都这样 昨天晚上下班前都好的今早一开机就这样.用GHOST还原后第一次可以登陆到域,以后不能登陆。 解决办法 我采用的是先退出域,再加入域,OK。 原因分析 ghost系统之前是不能入域了。恢复后,和域服务器脱离。 以下引自其他文章的解决办法: 加入域后的计算机如果提示“windows 无法与此域连接,原因是域控制器存在故障或不可用,或者没有找到计算机帐户,请稍后再试。如果此消息持续再现。请与系统管理员联系以得到帮助”目前我碰到得原因就是计算机名同名。 退出域,更改计算机名后,再加入域问题解决。 client一旦加入域之后,如果要使用ghost来恢复系统,那么需要这么做: 1、安装好client系统,安装完最新的补丁,也可以考虑安装一些基本软件。 2、针对现有系统开始执行sysprep ,关于操作步骤,请参考 [url]https://www.doczj.com/doc/c42420714.html,/default.aspx?scid=kb%3bzh-cn%3b298491[/url] [url]https://www.doczj.com/doc/c42420714.html,/default.aspx?scid=kb[/url];zh-cn;302577 做这一步的目的,就是抽取硬件信息。做完之后,系统就会关机了。 3、对这台机器的引导区作ghost,以后恢复就用这个母盘恢复了。 Note:您会注意到上面的动作,并不是将client加入域之后再ghost,为什么呢?ok,下面我说一下您之所以遇到这个问题的原因: ad在设计的时候,为了保证client与dc之间安全的通信,要求client在加入域后,client 的计算机账户需要定期与dc的计算机账户保持同步(这个期限默认是30天),也就是说,当client与dc发生验证动作的时候,其实是先用计算机账户去验证,然后才是用户账户验证(也就是您输入用户名和密码)。那么,为什么要这么做呢?因为,用户名和密码是比较容易伪造的,如果在任何验证发生之前,先校验计算机账户的安全性,校验通过之后,再校验用户账户,那么整体验证的安全性就得到了保证,相对于用户帐户,计算机账户就比较难以伪造。
【基本思路】 利用PE工具启动电脑,清除Administrator账号的密码,进而重新开机直接登录管路员账号。 [ 现在PE工具非常多,在此,我仅以其中一款为案例说明详细步骤] 一、制作前准备(注意:操作前备份好u盘数据) 1.电脑内存不能小于512MB 2.U盘的容量大于512MB 3.下载U盘启动盘制作工具 【老毛桃U盘启动盘制作工具Build20111206】下载地址: https://www.doczj.com/doc/c42420714.html,:90/老毛桃WinPe-u盘版.rar 二、制作U盘启动盘 双击【老毛桃U盘启动盘制作工具Build20111206】,选择你的U盘,画面如下图:
点击“一键制成USB启动盘”按钮(注意操作前备份重要数据) 制作成功,如下图,此时可以拔出你的U盘
注意:由于U盘系统文件隐藏,你会发现u盘空间会减少330M左右,请不要担心此时没有制作成功
三、重启进入BIOS设置U盘启动(提示:请先插入U盘后,再进入BIOS) 在计算机启动的第一画面上按"DEL"键进入BIOS(可能有的主机不是DEL有的是F2或F1.请按界面提示进入),选择Advanced BIOS FEATURES ,将Boot Sequence(启动顺序),设定为USB-HDD模式,第一,设定的方法是在该项上按PageUP或PageDown键来转换选项。设定好后按ESC一下,退回BIOS主界面,选择Save and Exit(保存并退出BIOS设置,直接按F10也可以,但不是所有的BIOS都支持)回车确认退出BIOS设置。 四、进入【U盘启动盘制作工具】启动菜单界面 点击09即可清除原有Administrator账户密码了。
ad域过期用户删除 我这边有很多ad用户已经不在使用了,但是这些账户还存在于ad用户中,我想问下能不能根据ad账户使用过期来批量删除这些账户? 我公司这边是这样的,人员流动量很大,离职人员很多,但是都没有办理统一的离职程序,现在ad中有很多离职人员的账户都是没用的。我密码策略中没有设置密码过期时间,能不能判断这些账户1年没用过,并且删除这些离职人员的账户? 回答:要删除过期账户,可以使用dsquery 指定查询AD中多长时间没有活动的账户,然后用dsrm 删除。如下命令指定20个星期没有活动的用户账户都被删除。 dsquery user -inactive 20 -limit 0 | dsrm –noprompt ?-limit 是指定返回满足查询条件的账户的数量,如果指定0则表示返回所有满足查询条件的账户。 ?-nopromt 表示不用确认删除操作,直接进行删除。 您也可以单独输入dsquery user -inactive 20 -limit 0 来先查看都有哪些账户被返回,如果确认没有问题,则可以结合dsrm删除这些账户。 Dsquery user (英文) https://www.doczj.com/doc/c42420714.html,/en-us/library/cc725702(WS.10).aspx Dsrm (英文) https://www.doczj.com/doc/c42420714.html,/en-us/library/cc731865(WS.10).aspx 如果dsrm命令有问题,那我们用下面的脚本来删除。只需要把下面这段脚步拷贝到记事本中,将”c:\stalepwd.txt”更改为您stalepwd.txt文件的实际路径,然后重命名为后缀为.vbs的文件然后双击即可。您看到的文章来自活动目录seo https://www.doczj.com/doc/c42420714.html,/category/active-directory/ On Error Resume Next Set objFSO = CreateObject(“Scripting.FileSystemObject”) Set objTextFile = objFSO.OpenTextFile(“c:\stalepwd.txt”,1) Do Until objTextFile.AtEndOfStream