在组策略编辑中允许用户在域控制器上登录域

在组策略编辑中允许用户在域控制器上登录域

域控制器（DC）在网络中具有重要作用，因此基于安全考虑，默认能在域控制器上登录的只有Administrators、Account operators、Backup operators、Server operators和Print operators这些特定的管理组中的用户。一般情况下普通域用户没有权力在DC上登录。如果出于特殊需求必须使用普通域用户账户登录DC，可以通过设置域控制器安全策略来实现。设置方法为：

第1步，以系统管理员身份登录域控制器，在开始菜单中依次单击“管理工具”→“域控制器安全策略”菜单项，打开“默认域控制器安全设置”窗口。在左窗格中依次展开“安全设置”→“本地策略”目录，并选中“用户权限分配”选项。然后在右窗格列表中找到并双击“允许在本地登录”策略选项，如图2008112649所示。

图2008112649 双击“允许在本地登录”选项

第2步，在打开的“允许在本地登录属性”对话框中单击“添加用户和组”按钮，并单击“浏览”按钮查找并选中用户账户（如ithanjiang）。依次单击“确定”→“确定”按钮使设置生效，如图2008112650所示。

图2008112650 添加允许在本地登录的用户或组

使用windows组策略对计算机进行安全配置.

综合性实验项目名称：使用windows组策略对计算机进行安全配置 一、实验目的及要求： 1.组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具, 通过使用组策略可以设置各种软件，计算机和用户策略。 2.我们通过实验,学会使用组策略对计算机进行安全配置。 二、实验基本原理： 组策略是管理员为用户和计算机定义并控制程序，网络资源及操作系统行为的主要工具通过使用组策略可以设置各种软件，计算机和用户策略。 三、主要仪器设备及实验耗材： PC机一台,Windows2000系统，具有管理员权限账户登录 四、注意事项 必须以管理员或管理员组成员的身份登录win2000系统 计算机配置中设置的组策略级别要高于用户配置中的级别策略 五、实验内容与步骤 1.在”开始”菜单中,单击”运行”命令项,输入gpedit.msc并确定，即可运行程序。 依次进行以下实验： (1)隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项。 1.使用策略前,查看”我的电脑”的驱动器,如图6-1所示 图6-1 使用策略前,“我的电脑” 2.选择“用户配置—>管理模板—>windows组件—>windows资源管理器”,如图6-2所示。

图6-2 隐藏驱动器 3.使用策略后,查看”我的电脑”的驱动器,如图6-3所示 图6-3 使用策略后,“我的电脑” (2).禁止来宾账户本机登录 使用电脑时，我们有时要离开座位一段时间，如果有很多正在打开的文档还没有处理完成或者正在使用隐私内容时，为了避免有人动用电脑，我们一般会把电脑锁定。但是在局域网中，为了方便网络登录，我们有时候会建立一些来宾账户，如果对方利用这些账户来注销当前账户并登录到别的账户，就会给正常工作带来影响。我们可以通过“组策略”来禁止一些账户在本机上的登录，让对方只能通过网络登录。 在“组策略”窗口中依次打开“计算机配置—>windows设置—>安全设置—>本地策略—>用户权限分配”，然后双击右侧窗格的”拒绝本地登录”项，在弹出的窗口中添加要禁止的用户或组即可实现,如图6-4所示

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具） 使用：运行---〉gpmc。msc 如下键面： 文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组

3.用本地用户登录机器查看！ 禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

WIN2008 R2 域控服务器安装过程

WINDOWS SERVER 2008 R2 域控制器安装过程 有人将是从第一台DC开始的。的确，AD的起点是从安装第一台DC开始的。但是，可能很少有人会意识到在安装第一台DC时，实际上是在部署AD的第一个域——根域，第一棵域树，乃至实现一个单域的域林。只不过这个林中只有一棵域树，这棵域树中只有一个域，而且域中就只有这一台计算机——第一个DC。 由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，以及相关服务，如：DNS服务等的规划的部署。并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。 一、DC网络属性的基本配置 对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。可以通过打开本地连接的属性来进行配置其IP属性。作为服务器DC的IP地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于DNS服务的。本实例中整个微软网络环

境都是白手起家的，考虑让这第一台DC同时充当企业网络中的DNS服务器，故需要将其首选DNS服务器地址配置为本台计算机的IP地址（如图1）。 图1 由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的，所以，最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”（如图2）。

用组策略从十大方面保护Windows安全

用组策略从十大方面保护Windows安全 Windows操作系统中组策略的应用无处不在，如何让系统更安全，也是一个常论不休的话题，下面就让我们一起来看看通过组策略如何给Windows系统练就一身金钟罩。 一、给我们的IP添加安全策略? 在“计算机配置”→“Windows设置”→“安全设置”→“IP 安全策略，在本地计算机”下与有与网络有关的几个设置项目(如图1)。如果大家对Internet较为熟悉，那也可以通过它来添加或修改更多的网络安全设置，这样在Windows上运行网络程序或者畅游Internet时将会更加安全。? 图 1 小提示由于此项较为专业，其间会涉及到很多的专业概念，一般用户用不到，在这里只是给网络管理员们提个醒，因此在此略过。 二、隐藏驱动器 平时我们隐藏文件夹后，别人只需在文件夹选项里显示所有文件，就可以看见了，我们可以在组策略里删除这个选项：选择“用户配置→管理模板→Windows组件→Windows 资源管理器”（如图2）。

图 2 三、禁用指定的文件类型 在“组策略”中，我们可以禁用SHS、MSI、BAT、CMD、COM、EXE等程序文件类型，而且不影响系统的正常运行。这里假设我们要禁用注册表的REG文件，不让系统运行 REG文件，具体操作方法如下： 1.打开组策略，点击“计算机配置→Windows设置→安全设置→软件限制策略”，在弹出的右键菜单上选择“创建软件限制策略”，即生成“安全级别”、“其他规则”及“强制”、“指

派的文件类型”、“受信任的出版商”项(图3)。 图 3 2.双击“指派的文件类型”打开“指派的文件类型属性”窗口，只留下REG文件类型，将其他的文件全部删除，如果还有其他的文件类型要禁用，可以再次打开这个窗口，在“文件扩展名”空白栏里输入要禁用的文件类型，将它添加上去。 3.双击“安全级别→不允许的”项，点击“设为默认”按钮。然后注销系统或者重新启动系统，此策略即生效，运行REG文件时，会提示“由于一个软件限制策略的阻止，Windows 无法打开此程序”。 4.要取消此软件限制策略的话，双击“安全级别→不受限的”，打开“不受限的?属性”窗口，按“设为默认值”即可。 如果你鼠标右键点击“计算机配置→Windows设置→安全设置→软件限制策略→其他规则”，你会看到它可以建立哈希规则、Internet?区域规则、路径规则等策略，利用这些规则我们可以让系统更加安全，比如利用“路径规则”可以为电子邮件程序用来运行附件的

组策略设置系列篇之“安全选项”2

组策略设置系列篇之“安全选项”-2 选项, 设置 交互式登录：不显示上次的用户名 此策略设置确定“登录到Windows”对话框是否显示上次登录到该计算机的用户的名称。如果启用此策略设置，不显示上次成功登录的用户的名称。如果禁用此策略设置，则显示上次登录的用户的名称。 “交互式登录：不显示上次的用户名”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：能够访问控制台的攻击者（例如，能够物理访问的人或者能够通过终端服务连接到服务器的人）可以查看上次登录到服务器的用户的名称。攻击者随后可能尝试猜测密码，使用字典或者依靠强力攻击以试图登录。 对策：将“不显示上次的用户名”设置配置为“已启用”。 潜在影响：用户在登录服务器时，必须始终键入其用户名。 交互式登录：不需要按CTRL+ALT+DEL 此策略设置确定用户在登录前是否必须按Ctrl+Alt+Del。如果启用此策略设置，用户登录时无需按此组合键。如果禁用此策略设置，用户在登录到Windows 之前必须按Ctrl+Alt+Del，除非他们使用智能卡进行Windows 登录。智能卡是一种用来存储安全信息的防篡改设备。 “交互式登录：不需要按CTRL+ALT+DEL”设置的可能值为： ? 已启用 ? 已禁用 ? 没有定义 漏洞：Microsoft 之所以开发此功能，是为了更便于身体有某种残疾的用户登录到运行Windows 的计算机。如果不要求用户按Ctrl+Alt+Del，他们容易受到尝试截获其密码的攻击。如果要求用户在登录之前按Ctrl+Alt+Del，用户密码则会通过受信任路径进行通信。 攻击者可能会安装看似标准Windows 登录对话框的特洛伊木马程序，并捕获用户的密码。攻击者随后将能够使用该用户具有的特权级别登录到被侵入的帐户。 对策：将“不需要按CTRL+ALT+DEL”设置配置为“已禁用”。

域用户无法登录域故障处理(AD问题)

域用户无法登录域故障处理(AD 问题)

系统故障记录 1. 故障记录日期：2010-01-14 2. 主机名及IP：FS03(192.168.2.246) 3. 主机系统及应用：DC、FileServer 4. 系统状态及错误信息：Win2003系统启动到登陆界面时出现以下错误提示：“由于下列错误，安全帐户管理器初始化失败，目录服 务无法启动。错误状态：0xc00002e1." 5. 检查过程及解决步骤： 原因：经微软KB及网上资料信息显示该提示为病毒（用户上传的文件）可能破坏了系统文件，导致2.246无法正常启动目录服务，所以客户端的域用户无法正常登陆。 解决方案1：准备进入目录还原模式，修复Active Directory数据库。 备注：由于系统安装时间比较已久，还原密码未知， 解决方案2：升级其他BDC为PDC，解决用户登陆问题。 备注：现已将FSBDC升级为PDC，用户已可正常登陆。 步骤1： 用Domain Admin用户登陆FSBDC，打开运行，输入“CMD”进入命令行状态。 使用Ntdsutil工具，将FSMO中PDC角色抢夺过来。

分区 DC=xm,DC=xingfa,DC=cn 的一个部分复制集被主持在站点 CN=Foshan,CN =Sites,CN=Configuration,DC=xingfa,DC=cn 上，但是找不到此站点的可写的源。 2、 Active Directory 无法建立与全局编录的连接。 额外数据 错误值: 1355 指定的域不存在，或无法联系。 内部 ID: 3200c89 用户操作: 请确定在林中有可用的全局编录，并且可以从此域控制器访问。您可以使用 n ltest 实用工具来诊断此问题。 3、尝试用下列参数建立与只读目录分区的复制链接时失败。 目录分区: DC=xm,DC=xingfa,DC=cn 源域控制器: CN=NTDS Settings,CN=FS03,CN=Servers,CN=Foshan,CN=Sites,CN=Configurat ion,DC=xingfa,DC=cn 源域控制器地址: bfd75c1f-13e3-4a63-aeda-9cda328158de._https://www.360docs.net/doc/4c10799447.html, 站点间传输(如果有): 其他数据 错误值: 1753 终结点映射器中没有更多的终结点可用。 ［此帖子已被 ekin.liu 在 2010-01-14 20:29:55 编辑过］当前状态为[] ekin.liu

实战环境下的主域控制器系统重装方案

用户环境描述： 用户现有Windows2003域控制器两台，两台域控制器上分别安装有DNS服务器，共同维护现有活动目录集成区域。 现在存在的问题和要求： 问题：用户主域控制器前段时间因为感染病毒和其他软件问题导致主域控制器运行很不稳定，现在需要对主域控制器进行重新安装系统以解决这个问题。 要求：因为域控制器上存储有大量用户帐号信息，所以在对域控制器进行系统安装的时候要求不能造成用户帐户信息丢失。同时在对域控制器系统进行重新安装后对网络客户端访问网络资源和认证不能产 生影响。 解决方案： 主要步骤： 1.备份现有主域控制器和备份域控制器系统 2.检查和配置活动目录集成的DNS区域 3.把GC（全局编录）移置到额外域控制器上 4.转移域里的5种角色 5.在主域控制器上运行DCPROMO删除AD，额外域控制器被提升为主域控制器 6.删除AD成功后，重新安装Windows2003，再运行DCPROMO安装AD，将该计算机配置成为本域中的额外域控制器。 7.在新安装的服务器上安装并配置DNS服务器

8.测试系统 详细步骤： 1.备份现有主域控制器和备份域控制器操作系统 1)准备一张包含GHOST8.3程序的可引导光盘 2)进入服务器BIOS更改服务器引导顺序，将光盘放在启动设备的第一位。 3)启动电脑到DOS状态 4)启动ghost，如下图，依次点击local\Partition\ToImage 5)下面是选择要备份的分区，保存的位置和文件名 选择镜像文件保存的位置 6)选择压缩压缩方式（如下图）： 2.检查和配置活动目录集成的DNS区域 1)检查主域控制器DNS配置 首选DNS应该设置为辅助域控制器安装的DNS服务器 点击开始---程序-----管理工具---DNS---右键相关正向区域----选择“属性”查看主域控制器的DNS服务器如下所示： 类型：应该为“ActiveDirectory集成区域” 复制：应该为“ActiveDirectory域中的所有域控制器” 动态更新为：安全 2)检查辅助域控制器DNS配置 首选DNS应该设置为主域控制器安装的DNS服务器

组策略安全选项对应注册表项汇总

组策略安全选项对应注册表项汇总 在组策略中的位置:计算机设置->Windows设置->安全设置->本地策略->安全选项 详细列表: [MACHINE\System\CurrentControlSet\Control\Lsa] : : ::值名:含义:类型:数据:值名:含义:类型:数 据:0=停用1=启用值名:含义:类型:数据:值 名:RestrictAnonymous含义:对匿名连接的额外限制(通常用于限制IPC$空连接)类型:REG_DWORD数据:0=无.依赖于默认许可权限1=不允许枚举SAM账号和共享2=没有显式匿名权限就无法访问值名ubmitControl含义:允许服务器操作员计划任务(仅用于域控制器)类型:REG_DWORD数据:0=停用1=启用[MACHINE\System\CurrentControlSet\Control\Print\Providers\LanMan Print Services\Servers]值名:AddPrinterDrivers含义:防止用户安装打印机驱动程序类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager\Memory Management]值名:ClearPageFileAtShutdown含义:在关机时清理虚拟内存页面交换文件类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Control\Session Manager]值名

rotectionMode含义:增强全局系统对象的默认权限(例如Symbolic Links) 类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\LanManServer\Parameters]值 名:EnableSecuritySignature含义:对服务器通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对服务器通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnableForcedLogOff含义:当登录时间用完时自动注销用户 (本地)类型:REG_DWORD数据:0=停用1=启用值名:AutoDisconnect 含义:在断开会话产所需要的空闲时间类型:REG_DWORD数据:分钟数[MACHINE\System\CurrentControlSet\Services\LanmanWorkstation\Parameters]值 名:EnableSecuritySignature含义:对客户端通讯进行数字签名(如果可能)类型:REG_DWORD数据:0=停用1=启用值名:RequireSecuritySignature 含义:对客户端通讯进行数字签名(总是)类型:REG_DWORD数据:0=停用 1=启用值名:EnablePlainTextPassword含义:发送未加密的密码以连接到第三方SMB服务器类型:REG_DWORD数据:0=停用1=启用 [MACHINE\System\CurrentControlSet\Services\Netlogon\Parameters]值名isablePasswordChange含义:防止计算机帐户密码的系统维护类型:REG_DWORD 数据:0=停用1=启用值名ignSecureChannel含义:安全通道: 对安全通道数据进行数字签名(如果可能)类型:REG_DWORD数据:0=停用 1=启用值名ealSecureChannel含义:安全通道: 对安全通道数据进行数字加密(如果可能)类型:REG_DWORD数据:0=停用1=启用值 名:RequireSignOrSeal含义:安全通道: 对安全通道数据进行数字加密或签名(总是)类型:REG_DWORD数据:0=停用1=启用值名:RequireStrongKey 含义:安全通道: 需要强(Windows 2000 或以上版本)会话密钥类 型:REG_DWORD数据:0=停用1=启用[MACHINE\Software\[M$]\Driver Signing]值名olicy含义:未签名驱动程序的安装操作类型:REG_BINARY数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Non-Driver Signing]值名olicy含义:未签名非驱动程序的安装操作类型:REG_BINARY 数据:0=默认安装1=允许安装但发出警告2=禁止安装 [MACHINE\Software\[M$]\Windows\CurrentVersion\Policies\System]值名isableCAD 含义:禁用按CTRL ALT DEL进行登录的设置类型:REG_DWORD数据:0=停用1=启用值名ontDisplayLastUserName含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用值名:LegalNoticeCaption含义:用户试图登录时消息标题类型:REG_SZ数据:标题文本值名:LegalNoticeText含义:用户试图登录时消息文字类型:REG_SZ数据:消息文字值名hutdownWithoutLogon含义:登录屏幕上不要显示上次登录的用户名类型:REG_DWORD数据:0=停用1=启用 [MACHINE\Software\[M$]\Windows NT\CurrentVersion\Setup\RecoveryConsole] 值名ecurityLevel含义:故障恢复控制台:允许自动系统管理级登录类 型:REG_DWORD数据:0=停用1=启用值名etCommand含义:故障恢复控制台:允许对所有驱动器和文件夹进行软盘复制和访问类型:REG_DWORD 数据:0=停用1=启用[MACHINE\Software\[M$]\Windows NT\CurrentVersion\Winlogon]值名:AllocateCDRoms含义:只有本地登录的用户才能访

runas应用,普通域用户的管理员权限

Runas的使用方法 域用户没有管理员权限，但是很多的软件却必须有管理员权限才能运行，不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略，不运行就是不运行。 XP虽然停止更新，但仍然是公司的主力。最近装了几台win7的系统，这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手，像我这样半路出家来当IT的人，将自己的经验分享也是无上的光荣啊。 Runas命令简介： Runas允许用户使用其他权限运行指定的工具和程序，而不是当前用户登录提供的权限。 是不是很拗口，不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好，控制面板—用户—选项下面多了个—凭据管理功能，让你不再每次运行的时候输入密码，一次输入永久使用。 以域用户要运行QQ软件为例： 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是：admin，本机名称为：dell-PC,系统域名为：dellserver 2、在电脑桌面的空白处，右击鼠标---新建---快捷方式----输入一下命令： Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”

3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中，设置当前用户的权限为“读取”，运行，不允许修改。 5、将快捷方式，复制到没有权限的域用户桌面双击运行弹出命令窗口： 输入管理员密码一次。以后便不用再输入了，系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2．/user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。

组策略对windows7的安全性设置(陈琪) - 修改

组策略对windows7的安全性设置 陈琪 （重庆市商务学校重庆市大渡口区400080） 【摘要】：现在Win7系统已成为电脑市场的主流，大量企业和家庭个人都选择使用Win7系统，主要是Win7系统设计具有人性化、操作非常的简单，更重要的是Win7安全性非常高。同时针对Win7的安全性设置方法也层出不穷，用户往往是通过第三方软件来实现，但是这些方法往往不具有个性化的设置，而且这些方法效果到底如何也无从知晓。其实利用Win7的系统组策略功能，就可以简单轻松的实现Win7的系统的安全性设置。 【关键词】：组策略点击用户配置驱动器木马权限哈希值【引言】：在我们使用电脑的过程中系统、用户的数据都是保存在电脑的驱动器中的。因此，限制驱动器的使用可以有效防止重要和机密的信息外泄。而且现在的电脑大多数时间都是联网的，有效的阻击病毒和木马的入侵是确保电脑安全稳定运行的必要措施。 【正文】： 1.驱动器访问权限的设置 驱动器主要包括硬盘、光驱和移动设备等。驱动器不同限制方法也不同，而且同一种驱动器也有不同的限制级别。就说硬盘吧，一般有隐藏和禁止访问两种级别。隐藏级别比较初级，只是让驱动器不可见，一般用于防范小孩和初级用户，而禁止访问则可彻底阻止驱动器的访问。对于移动设备，可以选择设置读、写和执行权限，不过病毒和木马一般通过执行恶意程序来传播，因此禁止执行权限才最有效。

1.1隐藏驱动器 那么我们首先来实现如何让初级普通用户看不到驱动器：点击“开始”，在搜索框中输入“gpedit.msc”，确认后即打开了组策略编辑器，依次展开“用户配置→管理模板→Windows组件→Windows资源管理器”，在右边设置窗口中，进入“隐藏‘我的电脑’中这些指定的驱动器”，选择“已启用”，在下面的下拉列表中选择需要隐藏的驱动器，然后确定。再进入“计算机”，刚才选择的驱动器图标就不见了。提示：这个方法只是隐藏驱动器图标，用户仍可使用其他方法访问驱动器的内容，如在地址栏中直接键入驱动器上的目录路径。 1.2移动存储设备读写权限的设置 移动设备（例如闪存、移动硬盘等）已经成为不少用户的标准配置，使用也最为广泛。正因如此，它也成了病毒和木马传播的主要途径。而普通的限制读写权限并不能阻止病毒和木马入侵，因为病毒传播都是通过执行病毒和木马程序来实现的，因此禁用执行权限就能切断病毒传播途径。依次展开“计算机配置→管理模板→系统→可移动存储访问”，进入“可移动磁盘：拒绝执行权限”，选择“已启用”，确定后设置生效。移动设备上的可执行文件将不能执行，计算机也就不会再被病毒感染。而如果需要执行，只需要拷贝到硬盘当中即可。 2.网络安全性设置 电脑最重要的用途之一就是上网，可是说实话，现在上网一点也不省心，病毒、木马和流氓软件横行，连不少大网站都会被挂一些别有用心的软件，用户真是防不胜防。所以网络安全性的设置相当重要。

win2003额外域控制器升级为主域控制器

win2003额外域控制器升级为主域控制器 2010-03-19 23:46:46 标签：控制器 win2003额外域控制器升级为主域控制器 公司https://www.360docs.net/doc/4c10799447.html,（虚拟）有一台主域控制器https://www.360docs.net/doc/4c10799447.html,，还有一台额外域控制器https://www.360docs.net/doc/4c10799447.html,。现主域控制器（https://www.360docs.net/doc/4c10799447.html,）由于硬件故障突然损坏，事先又没有https://www.360docs.net/doc/4c10799447.html,的系统状态备份，没办法通过备份修复主域控制器（https://www.360docs.net/doc/4c10799447.html,），我们怎么让额外域控制器（https://www.360docs.net/doc/4c10799447.html,）替代主域控制器，使Activate Directory 继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。 如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。 --------------------------------------------------------------- 一、从AD中清除主域控制器https://www.360docs.net/doc/4c10799447.html,对象 3.1在额外域控制器(https://www.360docs.net/doc/4c10799447.html,)上通过ntdsutil.exe工具把主域控制器 (https://www.360docs.net/doc/4c10799447.html,)从ＡＤ中删除； c:>ntdsutil ntdsutil: metadata cleanup metadata cleanup: select operation target select operation target: connections server connections: connect to Domain https://www.360docs.net/doc/4c10799447.html, server connections: quit select operation target: list sites Found 1 site(s) 0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com select operation target: select site 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com No current domain No current server No current Naming Context select operation target: List domains in site Found 1 domain(s) 0 - DC=test,DC=com Found 1 domain(s) 0 - DC=test,DC=com select operation target: select domain 0 Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com Domain - DC=test,DC=com No current server No current Naming Context select operation target: List servers for domain in site Found 2 server(s)

组策略与安全设置

组策略与安全设置 系统管理员可以通过组策略的强大功能，来充分管理网络用户与计算机的工作环境，从而减轻网络管理的负担。 组策略概述 组策略是一个能够让系统管理员充分管理用户工作环境的功能，通过它来确保用户拥有应有的工作环境，也通过他来限制用户。因此，不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。 组策略包含计算机配置与用户配置两部分。计算机配置仅对计算机环境产生影响，而用户设置只对用户环境有影响。可以通过以下两个方法来设置组策略。 ●本地计算机策略:可以用来设置单一计算机的策略，这个策略内的计算机配置只会背 应用到这台计算机，而用户设置会被应用到在此计算机登陆的所有用户。 ●域的组策略:在域内可以针对站点，域或组织单位来设置组策略，其中，域组策略内 的设置会被应用到域内的所有计算机与用户，而组织单位的组策略会被应用到该组织单位内的所有计算机与用户。 对添加域的计算机来说，如果其本地计算机策略的设置与域或组织单位的组策略设置发生冲突，则以域或组织单位组策略的设置优先，也就是此时本地计算机策略的设置值无效。 本地计算机策略实例演示 以下利用未加入域的计算机来练习本地计算机策略，以免受到域策略的干扰，造成本地计算机策略的设置无效，因而影响到验证实验结果。 计算机配置实例演示 当我们要将Windows Server2012计算机关机时，系统会要求我们提供关机的理由，以下实例完成后，系统就不会在要求你说明关机理由了。

开始运行中输入gpedit.msc-计算机配置-管理模板-系统-显示“关闭事件跟踪程序“-单击已禁用 以后关机或重启计算机时，系统都不会再询问了。 注：请不要随意更改计算机配置，以免更改可能影响系统正常运行的设置值。 用户配置实例演示 以下通过本地计算机策略来限制用户工作环境：删除客户端浏览器IE内Internet选项的安全和连接标签。也就是经过以下设置后，浏览器内的安全和连接标签消失了。 用户配置-管理模板-windows组件-IE-ie控制面板-禁用连接页和禁用安全页设置为启用，此设置会立即应用到所有用户。

使用域组策略及脚本统一配置防火墙

使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置； 统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法； 1 域组策略统一配置防火墙 使用域管理员登录域控制器，打开“管理工具>组策略管理”； 在目标组织单位右击，新建GPO； 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；

选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务； 结果如下； 1.1.2 查看客户端结果 重启XP客户端查看结果

重启Win7客户端查看结果 1.2 开放客户端防火墙端口 （注：首先将上面组策略中的系统服务设置还原在进行下一步的配置） 1.2.1 域策略配置 右击目标GPO选择编辑，选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；

组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM)，它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。

域用户无法登录域故障处理(AD问题)

(AD 域用户无法登录域故障处理 问题）

系统故障记录 1. 故障记录日期：2010-01-14 2. 主机名及IP ：FS03(192.168.2.246) 3. 主机系统及应用：DC、FileServer 4. 系统状态及错误信息：Win2003 系统启动到登陆界面时出现以下错误提示：“由于下列错误，安全帐户管理器初始化失败，目录服务无法启动。错误状态：0xc00002e1." 5. 检查过程及解决步骤： 原因：经微软KB及网上资料信息显示该提示为病毒（用户上传的文件）可能破坏了系统文件，导致 2.246 无法正常启动目录服务，所以客户端的域用户无法正常登陆。 解决方案1：准备进入目录还原模式，修复Active Directory 数据库。 备注：由于系统安装时间比较已久，还原密码未知， 解决方案2：升级其他BDC为PDC，解决用户登陆问题。 备注：现已将FSBDC升级为PDC，用户已可正常登陆。 步骤1： 用Domain Admin 用户登陆FSBDC，打开运行，输入“ CMD”进入命令行状态使用Ntdsutil 工具，将FSMO中PDC角色抢夺过来。

ntdsutil ROIeS COnneCtions COnneCt to SerVer FSBDC q SeiZe domain naming master SeiZe infrastructwre master SeiZe PDC SeiZe RlD master SeiZe SChema master q 步骤2： 升级FSBDC为GC 在管理工具中，打开“Active DireCtOry站点和服务” 点击"Sites-FOShan-SerVerS-FSBDC-NTDS Settings*右键点击选择属性, 选中“全局编目” ［此帖子已被ekin. Iiu在2010-01-14 20:13:56编辑过］当前状态为［已登记］ekin?IiU 2010-01-14 20:18:51其他问题： 在升级GC的时候，碰到一个问题，因原有Xin. Xingfa. Cn的域信息没有完全清除，需要要清除后GC才能升级成功。 错误提示信息为： 1、

安装部署域控制器

安装部署域控制器 本软件系统的主要技术实现手段是通过网络把远端服务器上的映像文件完全仿真成本地磁盘。在这个仿真的“本地磁盘”上同样可以引导和启动操作系统以及运行其他软件，并保持原貌不做任何的更改。虚拟硬盘的加载与真实硬盘处于同一层面，因而不存在任何兼容性问题。若客户端系统使用的是微软支持域功能的桌面操作系统，则同样可以完成加域操作，并和有盘系统一样接受活动目录（ActiveDirectory）的管理以及进行其他相关应用。 1.ActiveDirectory相关 a)什么是活动目录（ActiveDirectory）？ 活动目录是一种目录服务，目录服务包括三方面的功能：组织网络中的资源，提供对资源的管理，对资源的访问控制。活动目录服务通过将网络中各种资源的信息保存到一个数据库中来为网络中的用户和管理员提供对这些资源的访问，管理和控制，这个数据库叫做活动目录数据库。 b)关于目录与目录服务 要想理解什么是活动目录（ActiveDirectory），必须先理解什么是目录（Directory）和目录服务（DirectoryService）。在计算机中使用的“目录”和现实生活中使用的“目录”很相似，都是存储以某种方式相关联的信息集。如通讯录存储用户名称和相应的电话号码，还可能包括关于该用户的的地址或其他信息。 目录服务就是用户通过其提供的服务来使用目录中的信息。用于识别网络中的各种资源，使用户和应用程序能够访问这些资源，并将这些资源集中存储，使用和管理这些资源的全部信息，因而简化了查找和管理这些资源的过程。 c)如何实现活动目录服务？ 域是活动目录的一种实现形式，也是活动目录最核心的管理单位和复制单位。一个域由域控制器和成员计算机及用户组成。域控制器（DomainControler）就是安装了活动目录服务的一台计算机，简称DC。在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户都有一个域用户账号。域管理员可以在域控制器上实现对域用户账号和计算机账号及其他资源的管理。 域还是一种复制单位，我们在域中可以安装多台域控制器，域管理员可以在任何一台域控制器上创建和修改活动目录对象。域控制器之间可以自动的同步，或者复制这样一种更新。 2.创建活动目录服务——部署域控制器 域控制器，DomainController，是实现ActiveDirectory的载体和控制单位。要良好的进行活动目录服务，域控的安装部署以及管理至关重要。 部署网络中的第一台域控制器 实验环境

组策略的管理(账户锁定策略)

组策略的管理（账户锁定策略） 2. 账户锁定策略 账户锁定策略用于域账户或本地用户账户，用来确定某个账户被系统锁定的情况和时间长短。要设置“账户锁定策略”，可打开组策略控制台，依次展开“计算机配置”→“Windows设置”→“安全设置”→“账户策略”→“账户锁定策略”。 （1）账户锁定阈值 该安全设置确定造成用户账户被锁定的登录失败尝试的次数。无法使用锁定的账户，除非管理员进行了重新设置或该账户的锁定时间已过期。登录尝试失败的范围可设置为0~999之间。如果将此值设为0，则将无法锁定账户。 对于使用Ctrl+Alt+Delete或带有密码保护的屏幕保护程序锁定的计算机上，失败的密码尝试计入失败的登录尝试次数中。 在组策略窗口中，双击“账户锁定阈值”选项，显示“账户锁定阈值属性”对话框，选中“定义这个策略设置”复选框，在“账户不锁定”文本框中输入无效登录的次数，例如3，则表示3次无效登录后，锁定登录所使用的账户。 建议启用该策略，并设置为至少3次，以避免非法用户登录。 （2）账户锁定时间 该安全设置确定锁定的账户在自动解锁前保持锁定状态的分钟数。有效范围从0~ 99 999分钟。如果将账户锁定时间设置为0，那么在管理员明确将其解锁前，该账户将被锁定。

如果定义了账户锁定阈值，则账户锁定时间必须大于或等于重置时间。 打开“账户锁定时间”的属性对话框，选中“定义这个策略设置”复选框，在“账户锁定时间”文本框中输入账户锁定时间，例如30，则表示账户被锁定的时间为30分钟，30分钟后方可使用再次使用被锁定的账户。 默认值为无，因为只有当指定了账户锁定阈值时，该策略设置才有意义。 （3）复位账户锁定计数器 该安全设置确定在登录尝试失败计数器被复位为0（即0次失败登录尝试）之前，尝试登录失败之后所需的分钟数，有效范围为1~99 999分钟之间。 如果定义了账户锁定阈值，则该复位时间必须小于或等于账户锁定时间。 打开“复位账户锁定计数器”的属性对话框，选中“定义这个策略设置”复选框，在“复位账户锁定计数器”文本框中输入账户锁定复位的时间，例如30，表示30分钟后复位被锁定的账户。 只有当指定了账户锁定阈值时，该策略设置才有意义。

域组策略应用详解

Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构