如果将打印机配置为使用计算机上的本地端口(如LPT1、LPT2 或LPT3),而计算机具有开放的客户端会话,Windows 2000 终端服务便支持通过远程桌面协议(RDP) 5 客户端对打印机进行自动重定向。这种打印机重定向是在登录时进行的,而且是默认执行的操作。
不过,如果在客户端上使用第三方驱动程序或某些Microsoft Windows 95/Microsoft Windows 98 驱动程序,打印机重定向无效。在出现这种情况时,服务器的系统事件日志中便会记录以下错误信息:
类型:错误
事件ID: 1111
描述:打印机printertype 所需的驱动程序drivername 未知。登录之前,请与管理员联系,安装驱动程序。
类型:错误
事件ID: 1105
描述:无法设置打印机printername/clientcomputername/Session number 的打印机安全信息。
类型:错误
事件ID: 1106
描述:无法安装打印机。
客户端登录时,基于Windows 2000 的服务器检查客户端上打印机驱动程序的名称,并在Windows 2000 Ntprint.inf 文件中查找同一打印机驱动程序名称。如果找不到该驱动程序名称,便会记录错误信息,而不会将打印机重定向。https://www.doczj.com/doc/db13300404.html,/kb/239088
域成员电脑登录不了系统:用本地管理员帐户登录,查看日志有错误,描述为: Windows不能确定用户或计算机名称(拒绝访问。)。组策略处理中止。
登录域控制器,查看域控制器的日志:来源:NETLOGON 事件ID:5722,
从计算机computername 设置的会话无法进行身份验证。安全数据库中引用的帐户名称是computername$。发生下列错误:
拒绝访问。
从网上查到的资料:
对于作为域成员的每一台Windows 2000 或Windows XP 工作站或服务器,它们都与域控制器有一个离散的通信通道,该通道称为安全通道。
安全通道的密码和计算机的帐户一起存储在所有域控制器上。对于Windows 2000或Windows XP,默认计算机帐户密码的更换周期为30 天。如果因某种原因导致计算机帐户的密码和LSA 机密不同步,Netlogon 服务就会记录下面一条或两条错误消息:
从计算机DOMAINMEMBER 设置的会话无法验证。安全数据库中引用的帐户名称是DOMAINMEMBER$。发生下列错误:访问被拒绝。NETLOGON 事件ID 3210:
无法用域DOMAIN 的Windows NT 域控制器\\DOMAINDC 进行验证。当密码不同步时,域控制器上的Netlogon 服务将记录以下错误消息:NETLOGON 事件5722:
从计算机%1 设置的会话无法验证。安全数据库中引用的帐户名称是%2。发生下列错误:%n%3
由此可见:我的电脑与域控制器的安全通道出现了问题。默认计算机帐户密码的更换周期为30 天,而我的电脑的还原时间是每30天就还原。域成员电脑回到了从前,由此密码不同步。看来要把还原卡卸载。
于event id 5723这个错误事件,建议你执行以下操作:
1. 每一台基于Windows 的计算机都维护着一个机器帐户密码历史,其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时,如果尚未接收到对当前密码的更改,Windows 将依赖以前的密码。如果密码更改超过两次以上,则所涉及的计算机彼此之间就可能无法通信。您可以使用Netdom.exe 重置域控制器的机器帐户密码。
关于使用Netdom 重置机器帐户密码的具体信息,您可以参考以下网站:https://www.doczj.com/doc/db13300404.html,/?id=260575
2. 请检查在您的域内是否有与计算机'XXX'相同的计算机名,如果有的话,请更改其为其他的计算机名。
3. 请将计算机'XXX'退出域,然后重新加入域,察看问题是否依然存在。
关于event id 5805这个错误事件,建议你执行以下操作:
1. 每一台基于Windows 的计算机都维护着一个机器帐户密码历史,其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时,如果尚未接收到对当前密码的更改,Windows 将依赖以前的密码。如果密码更改超过两次以上,则所涉及的计算机彼此之间就可能无法通信。您可以使用Netdom.exe 重置域控制器的机器帐户密码。
关于使用Netdom 重置机器帐户密码的具体信息,您可以参考以下网站:https://www.doczj.com/doc/db13300404.html,/?id=260575
2. 请检查在您的域内是否有与计算机'XXXX-TRACYCHEN'相同的计算机名,如果有的话,请更改其为其他的计算机名。
3. 请将计算机' hs103'退出域,然后重新加入域,察看问题是否依然存在。
每一台基于Windows 的计算机都维护着一个机器帐户密码历史,其中包含该帐户当前和以前使用的密码。当两台计算机尝试彼此进行身份验证时,如果尚未接收到对当前密码的更改,Windows 将依赖以前的密码。如果密码更改超过两次以上,则所涉及的计算机彼此之间就可能无法通信,而且您可能会收到错误消息(如发生Active Directory 复制时出现“访问遭拒”错误消息)。
同一域的域控制器之间进行复制时也会出现这一情况。如果不能进行复制的域控制器驻留在两个不同的域中,那么您就应该仔细检查一下信任关系。
您不能使用“Active Directory 用户和计算机”管理单元更改机器帐户密码,但可以使用Windows Support Tools 中包括的Netdom.exe 工具重置密码。Netdom 工具可在计算机上本地重置帐户密码(也叫“本地机密”)并将此更改写入驻留在同一域中的Windows 域控制器上该计算机的计算机帐户对象中。
同时将新密码写入两个位置可确保至少操作中涉及的两台计算机得到了同步,并可以启动Active Directory 复制以便让其他域控制器接收到此更改。
下面的过程讲述了如何使用netdom 命令重置机器帐户密码。此过程在域控制器上最常用,但也适应于任何Windows 机器帐户。
因为不能远程使用Netdom,所以您必须在要更改其密码的那一Windows 计算机上运行此工具。另外,为运行Netdom,您必须有本地管理权限以及对Active Directory 中该计算机帐户的对象的管理权限。
使用Netdom 重置机器帐户密码
在要重置密码的域控制器上安装Windows CD-ROM 上Support\Tools 文件夹中的Windows Support Tools。
如果您尝试重置Windows 域控制器的密码,那么在执行步骤3 之前,必须停止Kerberos 密钥分发中心服务并将其“启动”类型设置为“手动”。
备注:在重新启动并确认密码已成功重置后,您可以重新启动Kerberos 密钥分发中心服务并将其“启动”类型设置回“自动”。这样做可强制有错误计算机帐户密码的域控制器与另一个域控制器联系以获取Kerberos 票证。
在命令提示符下,键入以下命令:
netdom resetpwd /server: Replication_Partner_Server_Name/userd: domainname\administrator_id/passwordd:*
其中Replication_Partner_Server_Name 是与本地计算机在同一域中的某一域控制器的DNS 或NetBIOS 名称,domainname\administrator_id分别是NetBIOS 域名和管理员ID,格式是“安全帐户管理器”(SAM) 帐户名凭据格式。
/PasswordD: 参数的值“*”指定在提交命令时密码应当用隐藏字符键入。例如,本地计算机(恰好是一个域控制器)是Server1,对等Windows 域控制器的名称是Server2。如果您在Server1 上用下列参数运行Netdom,则密码就会在本地更改并同时写入Server2,而且复制作业将把此更改传播到其他域控制器:
netdom resetpwd /server:server2 /userd: mydomain \administrator /passwordd:*
其中重新启动密码已更改的服务器(在本例中是Server1)。
策略添加:
在rmyy OU下启用“禁用更改机器账户密码”策略,用于阻止客户端更改机器账户密码。防止发生账户登录验证报错。对应错误ID为5805、8722、8723错误。
新建组策略machine account:计算机配置->Windows设置->安全设置->本地策略->安全选项->禁用更改机器账户密码,选择启用。
如果需要停用请删除此策略。
域控状态备份:
使用系统备份工具建立备份域控信息任务。
DC01任务:
任务1名称:DC01systemstate1.job,每月1号,凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。
任务2名称:DC01systemstate10.job,每月10号,凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。
任务3名称:DC01systemstate20.job,每月20号,凌晨五点备份DC01系统状态数据至DC03 D盘DC01_system_backup文件夹下。
DC03任务:
任务1名称:DC03systemstate1.job,每月1号,凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。
任务2名称:DC03systemstate10.job,每月10号,凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。
任务3名称:DC03systemstate20.job,每月20号,凌晨四点备份DC01系统状态数据至DC03 D盘DC03_system_backup文件夹下。
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来
域用户无法登录域故障处理(AD 问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP:FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服 务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。 使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
分区 DC=xm,DC=xingfa,DC=cn 的一个部分复制集被主持在站点 CN=Foshan,CN =Sites,CN=Configuration,DC=xingfa,DC=cn 上,但是找不到此站点的可写的源。 2、 Active Directory 无法建立与全局编录的连接。 额外数据 错误值: 1355 指定的域不存在,或无法联系。 内部 ID: 3200c89 用户操作: 请确定在林中有可用的全局编录,并且可以从此域控制器访问。您可以使用 n ltest 实用工具来诊断此问题。 3、尝试用下列参数建立与只读目录分区的复制链接时失败。 目录分区: DC=xm,DC=xingfa,DC=cn 源域控制器: CN=NTDS Settings,CN=FS03,CN=Servers,CN=Foshan,CN=Sites,CN=Configurat ion,DC=xingfa,DC=cn 源域控制器地址: bfd75c1f-13e3-4a63-aeda-9cda328158de._https://www.doczj.com/doc/db13300404.html, 站点间传输(如果有): 其他数据 错误值: 1753 终结点映射器中没有更多的终结点可用。 [此帖子已被 ekin.liu 在 2010-01-14 20:29:55 编辑过]当前状态为[] ekin.liu
域渗透测试教程(windows server2012) 乌云ID:大山的放羊娃 域渗透测试教程(windows server2012) (1) 前言 (2) 第一步反弹meterpreter (2) 第二步尝试提权windows server2012 (4) 第三步尝试当前账号Bypassuac测试 (5) 第四步相关信息收集 (6) 第五步信息分析,成功获取一台服务器权限 (8) 第六步域信息收集 (10) 第七步SMB快速扩张控制权限 (16) 第八步Poershell获取域控管理员在线的机器 (18) 第九步域控管理员权限的获取(windows2012权限) (20) 第十步域控我来了(msf psexec反弹shell) (22) 第十一步Meterpreter获取所有用户的hash (24) 第十二步曲折的探索之路 (25) 第十三步我轻轻的来了,我又轻轻的走了,管理员,再见(清理) (26) 总结 (27)
前言 内网渗透测试资料基本上都是很多大牛的文章告诉我们思路如何,但是对于我等小菜一直是云里雾里。于是使用什么样的工具才内网才能畅通无阻,成了大家一直以来的渴求。今天小菜我本着所有师傅们无私分享的精神,特将三年内求师傅,求妹子,求神器所得,经过整理后,关键的知识点写出来。相关知识点总结如下: ●免杀payload的生成,请使用Veil ●msf在meterpreter下的提权尝试 ●msf在meterpreter下的bypassuac尝试 ●内网渗透测试过程中的信息关联 ●meterpreter的路由添加以及相关扫描 ●Powershell在meterpreter下面的使用 ●Meterpreter的post模块使用 ●Msf的custom自己生成的payload的使用 ●进程注入窃取令牌 其实重点不在于知识的多少,大家只需关注比较重点的连接点。分享为了方便大家以后一起交流,一起学习,一起进步。首先shell是别人给我的,也不是这里介绍的重点,所以在此忽略。 渗透测试的环境详细如下: A堡垒机(webshell所在机器):windows server2012 B堡垒机:windows2008(powershell扫描机器) C堡垒机:有域管理进程的机器windows server2012 D堡垒机若干 第一步反弹meterpreter 其实每一次的渗透测试开始并不像我们想象的那么顺利,而这一次的开始也同样意味着
Runas的使用方法 域用户没有管理员权限,但是很多的软件却必须有管理员权限才能运行,不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略,不运行就是不运行。 XP虽然停止更新,但仍然是公司的主力。最近装了几台win7的系统,这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手,像我这样半路出家来当IT的人,将自己的经验分享也是无上的光荣啊。 Runas命令简介: Runas允许用户使用其他权限运行指定的工具和程序,而不是当前用户登录提供的权限。 是不是很拗口,不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好,控制面板—用户—选项下面多了个—凭据管理功能,让你不再每次运行的时候输入密码,一次输入永久使用。 以域用户要运行QQ软件为例: 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是:admin,本机名称为:dell-PC,系统域名为:dellserver 2、在电脑桌面的空白处,右击鼠标---新建---快捷方式----输入一下命令: Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”
3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中,设置当前用户的权限为“读取”,运行,不允许修改。 5、将快捷方式,复制到没有权限的域用户桌面双击运行弹出命令窗口: 输入管理员密码一次。以后便不用再输入了,系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2./user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。
把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了
(AD 域用户无法登录域故障处理 问题)
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP :FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003 系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致 2.246 无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory 数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin 用户登陆FSBDC,打开运行,输入“ CMD”进入命令行状态使用Ntdsutil 工具,将FSMO中PDC角色抢夺过来。
ntdsutil ROIeS COnneCtions COnneCt to SerVer FSBDC q SeiZe domain naming master SeiZe infrastructwre master SeiZe PDC SeiZe RlD master SeiZe SChema master q 步骤2: 升级FSBDC为GC 在管理工具中,打开“Active DireCtOry站点和服务” 点击"Sites-FOShan-SerVerS-FSBDC-NTDS Settings*右键点击选择属性, 选中“全局编目” [此帖子已被ekin. Iiu在2010-01-14 20:13:56编辑过]当前状态为[已登记]ekin?IiU 2010-01-14 20:18:51其他问题: 在升级GC的时候,碰到一个问题,因原有Xin. Xingfa. Cn的域信息没有完全清除,需要要清除后GC才能升级成功。 错误提示信息为: 1、
[中国网管联盟群:50873277] [制作人:NET] [群邮件:116368070@https://www.doczj.com/doc/db13300404.html,] [群口号:为人民服务] 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
域控制服务器教程 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统, 我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下: 机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
经典域设置教程 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?我们现在就动手实践一下: 本篇文章中所有的成员服务器均采用微软的Windows Server 2003,客户端则采用Windows XP。 首先,当然是在成员服务器上安装上Windows Server 2003,安装成功后进入系统,我们要做的第一件事就是给这台成员服务器指定一个固定的IP,在这里指定情况如下:机器名:Server IP:192.168.5.1 子网掩码:255.255.255.0 DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器) 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下搬运右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装: 然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需
要手动定位了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导” 在这里直接点击“下一步”:
域控制服务器2003服务器架设和加入域图解教程 一、(域控制服务器)2003服务器架设 1.首先安装2003企业版原版,真正的微软2003企业版(((原版))!我给出2003企业版原版的下载地址: cd1迅雷下载地址: thunder://QUFodHRwOi8vZG93bi54bHlsdy5jb20vRG93bmxvYWQuYXNwP0lEPTIyNiZ zSUQ9MFpa (我不喜欢回复才可以下载愿意冒个泡的就回复下) Disc 1光盘镜像文件名: cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_x13-46432.iso 文件大小:608 MB (637,917,184 字节) 发布日期 (UTC):4/27/2007 11:06:15 PM 上次更新日期 (UTC):3/28/2008 2:37:04 AM SHA1:D0DD2782E9387328EBFA45D8804B6850ACABF520 MD5:1017479075166BA7DD762392F8274FE3 至于安装过程我就不详细解释了自己百度百度是我们最好的老师、。。。 这里服务器域管理 IP 192.168.0.254 子网掩码255.255.0.0 DNS首选服务器192.168.0.254因为是域控制是首选DNS指向服务器客服端也是一样! 还有一点我们在域控制上新建一个用户(admin) 然后加入域管理员组里把所有电脑远程控制设置成被连接不准主动连接这样一个公司就你一个人可以用3389端口用你的域管理员账号很爽的你试试就知道了 2.架设2003域控制器 (1)开始-管理工具-管理我的服务器-添加或删除角色-先安装DNS服务器-再先安装DNS服务器
为一个域用户设置登陆脚本 订阅 字号2010-03-28 16:29:41| 分类:AD相关| 如何为一个域用户设置登陆脚本? - BA T可否作为登陆脚本? - 在域用户“属性”中,应如何指定登陆脚本名?"D:\x.bat"还是"\\srv\x.bat"?还是其它? - 脚本应该放在何处? - 还有没有其它要注意的问题?” 回答: 1、bat可以作为登陆脚本执行,确切说一切可以在windows平台执行的东西都可以作为登陆脚本来用。 2、应该指定以\\server\……这样格式开头的路径。因为client在登陆的时候执行脚本,其实是从服务器上下载到本地,然后执行。这样的话,如果指定c:\这样的路径,client只会在本地的c盘查找,而不是到server上的路径去查找。 3、脚本可以放在一切client能够读取的位置。通常这个位置处于\\server\netlogon的share下(在服务器上的位置 是%systemroot%\sysvol\sysvol\domainname\scripts),但是如果你制订了策略,那么脚本默认的存放路径应该在%systemroot% \sysvol\sysvol\domainname\policies\guid\user(machine)\scripts下,如果你放在别的位置,需要在脚本执行栏的位置输入绝对路径,格式同样需要以\\server\……开头。 4、其他的问题也很多了,一般来说就是脚本适用于策略的时候,客户端可能会执行不到。 一般来说可能会有一下的几个原因: a、脚本从名称到内容都尽可能的不要用特殊字符、长文件名(超过8个字符)、空格,比如&等。这样的脚本在不同的os上可能执行会有问题。 b、脚本存放的位置和路径,请遵照上面的原则来做。 c、脚本的编写方面。特别是适用net use 来map一个fileserver上的路径。有可能在登陆之前,client上已经有网络盘的映射,如果恰好和你map的盘符一样,将有可能导致脚本执行失败,你可以在脚本的最前面加一句net use * /d /y来解决这个问题。 不过这个命令要慎用,在实际生产环境中,如果你的fileserver是非wintel平台的storage,响应时间较长,那么可能导致用户重新登陆时,无法连接fileserver上的sharefolder,可以用一句if exist来判断网络盘是否存在。 另外一个方面,如果远程设备是一些跨平台的存储设备,比如一些nas、san等,map到windows平台的时候可能会提示“网络路径无法连接”等问题,可以相互更换map \\server_netbios_name或者map \\server_ipaddress两种方式来尝试连接。 如果遇到权限问题,那么按照共享权限和安全权限冲突时取最小值的原则,一般来讲可以将共享权限设置为full control,然后安全权限做严格设定的办法来解决。 d、“配置文件路经”和“登陆脚本路径”、“主文件夹” 朋友们在初次设置域账户脚本的时候,可能对于这三个概念有些模糊,难以区分,这里说明一下: ①使用组策略,在用户登录脚本的的地方编辑一个cmd等,使用诸如net use的方式就可以map一个网络盘符了。 ②“配制文件路径”是指用户profile所处的位置,通常在%userprofile% “登录脚本路径”是指用户登录到服务器时,执行的脚本所处的位置,通常默认路径位于 服务器上的netlogon下,如果制定策略中使用脚本,默认的路径应该在gpo 的guid下的user或者computer下的scripts,如果置于其他位置,需要手动指定完全路径。 ③“主文件夹”是指用户在fileserver上的个人主目录,这个概念没有绝对的位置。需要你手动指定路径,不过在这里写入和在脚本中写入的不同,在于系统会根据你写入的路径,自动创建文件夹,并为该用户分配权限,该文件夹的owner属于该用户。这里可以使用%username%的变量,让系统自行完成。当然在指定了主目录后,你仍然可以访问其他有权限使用的资源。 e、关于策略的执行顺序是本机、站点、域、ou、子ou。如果有设置上的重复,按照执行的顺序,后面的设置将会覆盖前面的设置。 如果在ou上设置“block policy inheritance”,那么上层的策略将不会在这一层获得执行。 如果在ou上设置“No override”,那么这一层将不会被后面的策略设置覆盖,也就是说即使后面有相同的设置,仍然以这一层的设置为准。 如果在ou上设置“disabled”,那么这个策略将会被禁止执行。 如果在策略的properties security上取消了对应的组的read和apply group policy,那么对应的组将会无法应用到策略。通常默认被应用的组有authenticated user。
https://www.doczj.com/doc/db13300404.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
系统故障记录 1. 故障记录日期:2010-01-14 2. 主机名及IP:FS03(192.168.2.246) 3. 主机系统及应用:DC、FileServer 4. 系统状态及错误信息:Win2003系统启动到登陆界面时出现以下错误提示:“由于下列错误,安全帐户管理器初始化失败,目录服 务无法启动。错误状态:0xc00002e1." 5. 检查过程及解决步骤: 原因:经微软KB及网上资料信息显示该提示为病毒(用户上传的文件)可能破坏了系统文件,导致2.246无法正常启动目录服务,所以客户端的域用户无法正常登陆。 解决方案1:准备进入目录还原模式,修复Active Directory数据库。 备注:由于系统安装时间比较已久,还原密码未知, 解决方案2:升级其他BDC为PDC,解决用户登陆问题。 备注:现已将FSBDC升级为PDC,用户已可正常登陆。 步骤1: 用Domain Admin用户登陆FSBDC,打开运行,输入“CMD”进入命令行状态。使用Ntdsutil工具,将FSMO中PDC角色抢夺过来。
ntdsutil Roles Connections connect to server FSBDC q seize domain naming master seize infrastructure master seize PDC seize RID master seize schema master q 步骤2: 升级FSBDC为GC 在管理工具中,打开“Active Directory站点和服务” 点击“Sites-Foshan-Servers-FSBDC-NTDS Settings"右键点击选择属性,选中“全局编目” [此帖子已被 ekin.liu 在 2010-01-14 20:13:56 编辑过]当前状态为[已登记] ekin.liu 2010-01-14 20:18:51 其他问题: 在升级GC的时候,碰到一个问题,因原有https://www.doczj.com/doc/db13300404.html,的域信息没有完全清除,需要要清除后GC才能升级成功。 错误提示信息为: 1、
原文地址:如何将本地用户配置文件更改为域用户漫游作者:kevin 1.先讲讲直接新建域用户,在DC中设置用户漫游; 2.再讲,如果原来用户是本地用户,如何将原有的本地用户的配置文件让她成为漫游用户,配置文件也漫游; 3.跟大家讲讲如何让本地用户配置文件迁移为域用户配置文件,即本来有一用户abc为本地用户,现在该电脑加入了域,域中有一用户abc,然后电脑要用abc 用户登陆到域,而用户配置文件使用本地的abc配置文件; 一,在DC中设置用户漫游 实验环境使用VMW虚拟机,客户端为Windows XP SP2,服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图 2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。
3、进一步权限设置,如图
这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。 现在配置基本完成,我们从客户端登录一下试试看 初次登陆之后,我们注销,这样,本地的配置文件,就会自动保存到服务器上对应的文件夹。 回到服务器上我们会看到生成好多文件,刚才这里面还是空的
AD域控制服务器教程 把一台成员服务器提升为域控制器(一) 目前很多公司的网络中的PC数量均超过10台:按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?:服务器采用Windows2003Server为例,客户端以XP为例(专业版,home版的不支持)。 域控制器名字:server IP:192。168。88。119 子网掩码:255。255。255。0 网关:192。168。88。159(当然,这些可以根据具体需要设置) DNS:192。168。88。119(因为我要把这台机器配置成DNS服务器,升级成DC 以后首选DNS变成127。0。0。1不用怕这是正常的 由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面: 向下拖动右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。 安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“Active Directory安装向导”直接下一步就可以了`
深入理解AD域登录过程 “域帐号登录”属于“交互式登录”(即用户通过相应的用户帐号(User Account)和密码进行登录)的一种(另外一种为“本地登录”)。采用域用户帐号登录计算机,系统通过存储在域控制器的活动目录中的数据进行验证。如果该用户帐号有效,则登录后可以访问到整个域中具有访问权限的资源。 交互式登录,系统需要以下组件: 1、winlogon.exe winlogon.exe是“交互式登录”时最重要的组件,它是一个安全进程,负责如下工作: ◇加载其他登录组件。 ◇提供同安全相关的用户操作图形界面,以便用户能进行登录或注销等相关操作。 ◇根据需要,同GINA发送必要信息。 2、GINA GINA的全称为“Graphical Identification and Authentication”——图形化识别和验证。它是几个动态数据库文件,被winlogon.exe所调用,为其提供能够对用户身份进行识别和验证的函数,并将用户的帐号和密码反馈给winlogon.exe。在登录过程中,“欢迎屏幕”和“登录对话框”就是GINA显示的。 3、LSA服务 LSA的全称为“Local Security Authority”——本地安全授权,Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。它从winlogon.exe中获取用户的帐号和密码,然后经过密钥机制处理,并和存储在帐号数据库中的密钥进行对比,如果对比的结果匹配,LSA就认为用户的身份有效,允许用户登录计算机。如果对比的结果不匹配,LSA就认为用户的身份无效。这时用户就无法登录计算机。 4、SAM数据库 SAM的全称为“Security Account Manager”——安全帐号管理器,是一个被保护的子系统,它通过存储在计算机注册表中的安全帐号来管理和用户和用户组的信息。我们可以把SAM看成一个帐号数据库。对于没有加入到域的计算机来说,它存储在本地,而对于加入到域的计算机,它存储在域控制器上。 如果用户试图登录本机,那么系统会使用存储在本机上的SAM数据库中的帐号信息同用户提供的信息进行比较;如果用户试图登录到域,那么系统会使用存储在域控制器中上的SAM数据库中的帐号信息同用户提供的信息进行比较。 5、Net Logon服务 Net Logon服务主要和NTLM(NT LAN Manager,Windows NT 4.0 的默认验证协议)协同使用,用户验证Windows NT域控制器上的SAM数据库上的信息同用户提供的信息是否匹配。NTLM协议主要用于实现同Windows NT的兼容性而保留的。 6、KDC服务 KDC(Kerberos Key Distribution Center——Kerberos密钥发布中心)服务主要同Kerberos认证协议协同使用,用于在整个活动目录范围内对用户的登录进
域管理基础知识教程 ?域和工作组 域和工作组是针对网络环境中的两种不同的网络资源管理模式。 在一个网络内,可能有成百上千台电脑,如果这些电脑不进行分组,都列在“网上邻居”内,可想而知会有多么乱。为了解决这一问题,Windows 9x/NT/2000就引用了“工作组”这个概念,将不同的电脑一般按功能分别列入不同的组中,如财务部的电脑都列入“财务部”工作组中,人事部的电脑都列入“人事部”工作组中。你要访问某个部门的资源,就在“网上邻居”里找到那个部门的工作组名,双击就可以看到那个部门的电脑了。 在对等网模式(PEER-TO-PEER)下,任何一台电脑只要接入网络,就可以访问共享资源,如共享打印机、文件、ISDN上网等。尽管对等网络上的共享文件可以加访问密码,但是非常容易被破解。在由Windows 9x构成的对等网中,数据是非常不安全的。一般来说,同一个工作组内部成员相互交换信息的频率最高,所以你一进入“网上邻居”,首先看到的是你所在工作组的成员。如果要访问其他工作组的成员,需要双击“整个网络”,就会看到网络上所有的工作组,双击工作组名称,就会看到里面的成员。 你也可以退出某个工作组,只要将工作组名称改动即可。不过这样在网上别人照样可以访问你的共享资源,只不过换了一个工作组而已。你可以随便加入同一网络上的任何工作组,也可以离开一个工作组。“工作组”就像一个自由加入和退出的俱乐部一样,它本身的作用仅仅是提供一个“房间”,以方便网络上计算机共享资源的浏览。 与工作组的“松散会员制”有所不同,“域”是一个相对严格的组织。“域”指的是服务器控制网络上的计算机能否加入的计算机组合。实行严格的管理对网络安全是非常必要的。 在“域”模式下,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息不正确,域控制器就拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,只能以对等网用户的方式访问Windows共享出来的资源,这样就一定程度上保护了网络上的资源。 域其实就是一个安全的边界。它的存在主要是便于管理大型的网络的,可以进行统一的管理,如统一发布组策略,统一安装某种应用软件等等,并且域中的用户在登陆的时候,身份验证的过程是在域控制器上完成的。 而工作组只适应于小型的网络。如果电脑比较多的话,那么工作组管理起来就极为不方便。因为每台电脑上面都有自己的安全账户数据库,所以身份验证过程必须在本地进行,如果你要是想登陆工作组中其他的电脑上面,你必须在那台电脑上面有你的用户账户才行。 ?活动目录 活动目录包括两方面:目录和目录相关的服务。目录是存储各种对象的一个物理上的容