Active Directory (2008 r2)
关注
分享
扫一扫
chinaitv
这个作者很懒,什么都没留下…
展开
-
PowerShell脚本从csv文件批量导入AD账户
-)用记事本新建文本文件并命名为“Userimport.ps1”-)$objOU=[ADSI] " LDAP://OU=User,DC=Domain,DC=com " dataSource=import-csv "NewUsers.csv" foreach($dataRecord in $ datasource) { $cn=dataRecord.原创 2012-03-05 14:19:01 · 2065 阅读 · 0 评论 -
一句话 之 tool -- Dcpromo命令用来升级或降级域控制器
Dcpromo命令用来升级或降级域控制器原创 2012-03-15 11:26:53 · 1302 阅读 · 0 评论 -
一句话 之 tool -- Auditpol命令可以启用或者禁用审核策略设置
Auditpol 审核策略命令行工具,它可以用于:设置和查询系统的审核策略。设置和查询基于用户的审核策略。 设置和查询审核项。 设置和查询委派连接到一个审核策略的安全描述符。 生产报告或备份审核策略到CSV文件。从CSV文件加载审核策略。 配置全局资源的SACLs。原创 2012-03-15 10:35:54 · 3887 阅读 · 0 评论 -
一句话 之 AD -- AD中的计算机也是“人”
计算机也有包含用户名和密码的账户,并且Windows会每30天更改一次密码。计算机账户也需要在域中进行身份验证,也可以隶属于组。和“人”一样,计算机账户也会忘记密码。原创 2012-03-06 21:57:50 · 449 阅读 · 0 评论 -
一句话 之 AD -- 禁止非管理账户将计算机加入域--设置ms-DS-MachineAccountQuota属性值为0
默认情况下,windows允许任何通过身份验证的用户将10个计算机对象加入域。可通过下面的操作,关闭这一默认权限: -)”管理工具“--打开“ADSI Edit”工具;-)右键“ADSI Edit” -- “连接到”;-)“连接点”选项卡--“选择一个已知命名上下文”--“默认命名上下文”;-)“确定”-)展开“默认命名上下文”;-)右键“dc=domain,dc=原创 2012-03-07 12:09:04 · 4408 阅读 · 0 评论 -
一句话 之 AD -- AD中的默认的Computers容器不是OU
在创建域时,会默认创建一个名为“Computers”的容器,该容器并不是组织单位OU,而是一种对象类的容器。不能在这个容器中创建OU,也不能将组策略对象(GPO)连接到这个容器。 不过可以通过下面的命令重定向计算机和用户加入域时的默认容器:-)redircmp "Clients" (Clinents 为承载计算机的OU的DN)-)redirusr “NewUsers” (New原创 2012-03-06 21:52:01 · 3808 阅读 · 0 评论 -
计算机无法通过域验证问题的几种情况
-)重装系统后无法通过域身份验证,即使计算机名相同。因为新安装的系统会生产新的SID。-)使用备份还原的系统无法通过身份验证。默认计算机会每30天更改一次密码,而AD会记录当前和上一个密码。也就是说,如果系统是从60天以前的备份中还原的, 那么计算机 就无法通过域身份验证。-)计算机的LSA密文(计算机会以本地安全机构 Local Security Authority 密文原创 2012-03-07 14:17:33 · 3208 阅读 · 0 评论 -
重定向计算机和用户加入域时默认的容器
-)redircmp "Clients" (Clinents 为承载计算机的OU的DN)-)redirusr “NewUsers” (NewUsers 为承载用户的OU的DN)原创 2012-03-07 11:52:35 · 1545 阅读 · 0 评论 -
AD中的特殊身份(有些属于Windows)
这些具有“特殊身份”的成员是由操作系统控制的。在AD的管理单元中,即无法查看或修改,也不能将其加入其他组。这些特殊身份包括:-)Anonymous Logon : 代表不提供用户名和密码的情况下创建的倒计算机及其资源的连接。该组从2003开始不再默认属于Everyone成员。-)Authenticated Users : 代表已经通过原创 2012-03-07 11:29:47 · 749 阅读 · 0 评论 -
AD中默认组的权限和权利
默认组是指AD中自动创建的组,通常这些组位于Builtin和User容器中。这些组不同于自定义组,都具有一些管理特权的受保护的组,意味着这些组的成员也会受到保护。而这种保护是系统定义,无法撤销。例如,一个用户账户User,它隶属于Domain Admins组,同时它也是Sales OU成员,这时对Sales OU所有用户执行重置密码操作,但User用户的密码不会被重置。原创 2012-03-06 17:30:43 · 3723 阅读 · 0 评论 -
Active Directory中组的管理策略的最佳实践-AGDLA
在AD中,最佳的实践是基于角色和管理规则的策略的管理。其中一种具有很高扩展性的策略——AGDLA其中: A - 账户,它将隶属于“G”; G - 全局组,用来描述业务角色,它将隶属于“DL”; DL - 本地域组,用来描述管理规则,例如对特定的文件夹集合具有读取或写入权限,它将被添加到“A”; A - ACL(访问原创 2012-03-05 17:07:28 · 917 阅读 · 0 评论 -
从csv文件批量导入对象到AD中
以批量导入计算机对象为例。在Computer.csv文件中只有两列——ComputerTag 和 Type。#指定数据源$dataSoure = import-csv "Computers.csv"foreach($dataRecord in $dataSource){ $ComputerTag = $dataRecord.ComputerTag $原创 2012-03-07 13:31:25 · 1840 阅读 · 0 评论 -
一句话 之 tool -- Dfsrdiag DFS 复制诊断工具
Dfsrdiag.exe 命令行工具包括三个新的命令行开关,可提供增强的诊断功能:Dfsrdiag.exe ReplState。提供了跨指定复制组成员上所有连接的复制状态的摘要。它会启动 DFS 复制服务的内部状态快照,并收集一份当前正由服务处理(下载的或提供服务的)的更新列表。Dfsrdiag.exe IdRecord。显示通过使用路径或唯一标识符 (UID) 指定的文件或文原创 2012-03-15 13:07:14 · 5706 阅读 · 0 评论