一直被模仿，从未被超越

4、把 aes.key 跟 pwd.txt 这2个文件拷贝到域用户能访问到的地方。总结：大家都知道通过下面路径能找到这个脚本，所以密码也会明文暴露出来。3、把SecureString对象转为加密字符串后，保存到文件。5、再创建一个脚本文件 ModifyPassword.ps1。\\域名\sysvol\Polices\组策略ID\...我们首先要讲一下，以一般方法创建的脚本文件，如下面。2、把明文字符串密码转为SecureString对象。

计算机配置 → 策略 → 管理模板 → 系统 → 可移动存储访问 → 所有可移动存储类：拒绝所有权限（启用）3、客户端刷新组策略并重启。

（2）计算机配置 → 管理模板 → Windows 组件 → Device Registration → 注册将已加入域的计算机注册为设备。（1）计算机配置 → 管理模板 → Windows 组件 → MDM → 使用默认 Azure AD 凭据启用自动 MDM 注册。二、通过 组策略把设备同步到 Intune 上面。4、进入AAD查看，我们发现设备已同步过来。1、配置 AAD Connect。5、进入 Intune 中查看。一、设备同步到AAD上面。4、配置本地 企业管理员。3、客户端刷新组策略重启。

（3）Reset account lockout after （表示失败登录尝试计数器重置为0次错误登录尝试之前，失败登录尝试后必须经过的分钟数，默认为30）（1）Account lockout duration （表示被锁定的帐户在自动解锁前保持锁定的分钟数，默认为30）（4）Minimum password length（密码最短长度）（3）Minimum password age（密码最短使用期限）（2）aximum password age（密码最长使用期限）

计算机配置 → 策略 → 管理模板 → Windows 组件 → Windows 更新。（2）启用 "删除使用所有Windows更新功能的访问权限"（1）禁止 配置自动更新。3、客户机 更新组策略。

包含 BitLocker 基本设置、BitLocker OS驱动设置，这里只针对 C盘系统盘进行加密。这里选择 All User 这个组，这个组我是在 AAD上面建的，已经把所有用户加入到这个组中。10、我们这时登陆到 ZhaoLiu 这台电脑，已成功启用 BitLocker。9、通过 AAD 查看 BitLocker 密钥。4、名称：Enable Bitlocker。电脑已经通过 混合方式加入 AAD。2、 点击 配置文件，创建配置文件。7、后面直接下一步，直至创建成功。1、打开 Intune。

（1）CreateFile.ps1 文件：用来在D盘创建一个 file.txt。（2）ModifyPassword.ps1 文件：用来开启管理员并重置密码。3、注意脚本的路径：就是打开 Show Files 目录。6、先查看客户端有没有应用到我们创建的策略。本例实现的计算机开机重置本地管理员的密码。4、本例建了2个脚本，一个是用来测试的。8、最后我们检查 event 日志。9、最后我们在D盘成功创建一个文件。5、客户端刷新组策略并重启。2、在AD域中添加脚本。7、查看注策表中有没有。

用户设置 → 首选项 → 控制面板 → 打印机。3、第一次安装，选择这个。4、下载驱动，从磁盘安装。

4、 配置全局管理员，这里的账号就是上面我们在AAD上面创建的。4、添加自定义域名，这里要做下验证，所以你要有个线上的域名。1、我是安装在本地AD上面的，生产环境建议安装单独安装。6、 输入本地AD的管理员，这里我专门建一个AD管理员。8、选择同步的OU，这里我们只选SHA这个OU。二、安装 Azure AD Connect。2、安装后打开软件，这里我们选择自定义。1、进入 Azure云 注册一个账号。6、登陆本地AD，创建一个UNP。5、创建一个全局管理员。3、创建一个新的租户。7、AAD 登陆配置。

用户设置 → 首选项 → Windows 设置 → 驱动映射。3、客户端刷新组策略登陆。2、新建一个驱动映射。

AD 域控同步相关命令

这个功能实现的是让加域的客户端本地administrator账号密码随机化（每一台都不一样的复杂随机密码），并且随机化密码存储在AD上可以查询到，避免***者猜出一台就等于猜出一片，从客户端到服务器的传输过程采用Kerberos v5和AES保护。LAPS允许您在加入域的情况下管理本地管理员密码（随机，唯一且定期更改）电脑。（5）进入到 计算机配置>策略>软件设置>软件安装，为客户端安装LAPS，安装包就是上面下载的。1、在域控上安装LAPS.x64，点击下一步安装，第一项不用安装。

AD域控相关 CMD命令

Ntdsutil 转移主域控五大角色

WinServer 2012 R2 禁止域用户将计算机加入AD

组策略开启远程桌面

（2）把 windows\admx\en-US 目录里面的 msedge.adml，msedgeupdate.adml 放到 C:\Windows\PolicyDefinitions\en-US 目录下面，因为我是英文版，所以我用 en-US。把 C:\Windows\PolicyDefinitions 复制到 \\msh.local\SysVol\msh.local\Policies下面，msh.local 为我的域。3、配置中央存储方法（建议配成这种方法）2、 配置本地存储方法。

Ntdsutil 清除无效的辅域控制器DC

缓存登录主要是为了解决当公司域控制器发生故障联系不上DC或用户拿笔记本电脑回家不拔VPN的情况下，依然能够登录到系统，进行办公。如果用户登录的时候联系不到DC，那么就凭用户登录时输入的用户名和密码去缓存中校验，如果能联系上DC就不会使用缓存技术。

WinServer 2012 R2 搭建 AD 单域多站点 及 DNS各站点的子网掩码排序调整

需求：域用户shihua.ma添加入到本地管理员组先查看本地管理员组net localgroup administrators通过以上得知，shihua.ma这个域用户不在本地管理员组。下面介绍如何将域用户自动加入到本地管理员组一、服务器设置1、工具 → 组策略管理 → 域 → Default Domain Policy → 右键编辑2、计算机配置 → 首选项 → 本地用户和组 → 右键 新建 本地组3、操作选项卡：更新，组名选项卡：Administrators（.

WinServer 2012 R2 搭建软路由、网关服务器实现NAT转发

office365 跟 AAD 相关操作

WinServer2012 域控组策略 用户发布软件部署

组策略设置删除本地管理员组成员及只允许域用户登陆

1、添加角色与功能

域用户登陆默认会在C盘 Users 目录下创建一个当前用户名的文件夹，但是如果系统重装后C盘的东西都没有了，可以通过设置用户配置文件把登陆用户设置在D盘解决这个问题。注册表：SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList。3、我们这里用 lishi 这个域用户登陆，这时我们发现在 D:\User 下面发现了用户。2、用户登陆，这里必须是新用户，也就是在 c:\user 没有的用户，我的电脑如下。4、我们在点进去看下，成功了。

3、在Show Files 文件夹中创建脚本文件 Reset Local Administrator Password.bat。我们知道window10装好后，默认本地管理员账号Administrator是关闭的，下面演示如何通过组策略开启它。计算机配置 → 策略 → Windows设置 → 脚本（启动/关机）2、 打开 Show Files 文件夹。