在域里面添加权限

作为网管员,很多时候客户端的权限问题乃是最为纠结的一件事了,下面我们向大家介绍下通过组策略的文件系统向客户端赋权,这样的话大大节省了网管员的时间,也避免了客户端因为软件不能正常运行而抱怨不休的情况。

在调整设置的时候，下列问题要注意:该策略是针对计算机的策略是应用在计算机设置上可能客户端组策略结果中无法正常显示出策略应用集，但是却能够正常使用（这也是我纳闷的一点）使用相对路径的时候注意大小写的书写不建议对对所有文件夹赋权，以免客户端对系统盘操作权限过大，照成系统未知问题参考文章:在附件，请下载查看！1、我们在域控上打开组策略管理器，选中需要调整这个设置的组织单元，右键点击新建组策略，在选中新建的策略，右键选择编辑2、在弹出的组策略管理编辑器页面中选择计算机配置--策略--windows设置--安全设置--文件系统，右键点击文件系统，在点击添加文件3、在弹出的对话框里选择对应域用户下面的桌面的对应位置，点击确定。

会弹出右下边的图请注意：这里输入的是绝对路径，（作为域控，肯定不会安装一些日常应用软件，因此而导致服务器上不存在与客户端对应的文件夹，所以我们需要用到相对路径来达到我们的目的），而客户端又有XP和win7之分，大家都知道，win7系统是有Program Files和Program Files（X86）两个文件夹，所以这里我们也要添加两个。

实际环境中不建议把Program Files整个文件夹的权限给domain users 应该针对其中的部分软件安装的文件夹路径赋权，以免造成客户端权限过大而导致系统被更改等等原因，这样的话就有点得不偿失了。

文件夹路劲是可以手动输入的。

在添加无管理员权限的用户桌面的时候，是添加%systemdrive%\users\public\desktop或者%UserProfile%\Desktop这个路劲。

有管理员权限的用户就是用户名所对应的文件夹下面的桌面。

4、点击添加，在弹出的对话框里输入domain users再点击右边的检查名称，然后再点击确定5、选中刚刚添加的domain users，在下面的权限允许里调整权限，调整好后点击应用，再点击确定6、在弹出的对话框中我们设置相应的权限，我们设置的权限为除了完全控制其他全部赋予客户端，然后点击确定，在这一步弹出的页面中询问关于此文件夹的权限问题：添加此权限到所有子文件夹和文件此权限替换所有子文件夹和文件的权限不允许此权限下发到子文件夹和文件这里我们选择替换所有子文件夹和文件的权限，同理添加其他文件夹，权限设置与此一致。

Windows域的权限管理方法1. 概述Windows域是一种由微软推出的网络管理架构，用于集中管理和控制Windows操作系统的计算机、用户和资源。

在一个Windows域中，权限管理是非常重要的一项任务，它能够确保只有授权的用户能够访问和操作特定的资源。

本文将介绍Windows域的权限管理方法，包括用户权限管理、组权限管理和对象权限管理。

2. 用户权限管理用户权限管理是指对Windows域中的用户进行权限控制和管理。

以下是一些常用的用户权限管理方法：2.1. 用户权限分级不同的用户可能需要不同的权限来访问域中的资源。

Windows域提供了一套权限分级机制，可以将用户划分为不同的权限组，例如管理员、普通用户和只读用户等。

管理员拥有最高的权限，可以对域中的所有资源进行管理和操作，而只读用户只能查看资源的内容，无法进行修改。

2.2. 用户角色管理除了权限分级外，Windows域还支持用户角色管理。

用户角色是一组权限集合，可以预先定义好一些常用的角色，并将用户分配给不同的角色。

这样可以简化权限管理，减少管理员的工作量。

当用户加入或退出一个角色时，其权限也会相应地改变。

2.3. 用户密码策略用户密码是保护域中资源的重要措施之一。

Windows域可以设置密码策略，要求用户使用强密码，并定期更换密码。

密码策略可以包括密码长度、密码复杂度要求、密码有效期等。

3. 组权限管理组权限管理是通过将用户分组来管理和分配权限。

以下是一些常用的组权限管理方法：3.1. 域本组和特殊组Windows域中有一些预定义的基本组和特殊组，例如”Administrators”、“Domain Admins”和”Domain Users”等。

这些组都有特定的权限和角色，可以直接使用或进行自定义设置。

通过将用户添加到这些组中，可以一次性地为多个用户分配权限。

3.2. 自定义组除了基本组和特殊组外，Windows域还支持自定义组。

管理员可以根据需要创建自己的组，并为其指定权限和角色。

AD域操作实例1. 什么是AD域？AD（Active Directory）是由微软开发的一种用于管理网络资源的目录服务。

它提供了一种集中管理和控制网络中所有计算机、用户、组织结构和安全策略的方式。

AD域是基于Windows Server操作系统的一种网络架构，可以将多台服务器组织成一个逻辑上的单个域，并通过域控制器进行统一管理。

AD域提供了许多功能，包括用户身份验证、访问控制、组织结构管理和集中化的资源管理。

通过使用AD域，管理员可以轻松地添加、删除和管理用户账户，设置权限和安全策略，并集中管理网络上的共享文件夹、打印机等资源。

2. AD域操作实例下面将介绍几个常见的AD域操作实例，包括创建用户账户、重置密码、添加组成员等。

2.1 创建用户账户在AD域中创建新的用户账户非常简单。

首先打开Windows Server上的“Active Directory Users and Computers”工具，然后按照以下步骤进行操作：1.在左侧树形菜单中选择合适的组织单位（OU）或容器。

2.右键点击选定的OU或容器，在弹出菜单中选择“New” -> “User”。

3.在弹出的对话框中填写用户的必要信息，如用户名、姓名、密码等。

4.点击“Next”并按照需要设置其他选项，如密码过期策略、账户锁定策略等。

5.最后点击“Finish”完成创建。

2.2 重置密码当用户忘记密码或需要更改密码时，管理员可以通过以下步骤在AD域中重置用户密码：1.打开“Active Directory Users and Computers”工具。

2.在左侧树形菜单中找到相应的用户账户，并右键点击选择“ResetPassword”。

3.在弹出的对话框中输入新密码，并确认新密码。

4.点击“OK”完成重置。

2.3 添加组成员在AD域中，可以将多个用户账户组织成组，并为组分配权限和资源。

以下是添加组成员的步骤：1.打开“Active Directory Users and Computers”工具。

1、怎样限制一个域用户登录指定的计算机？（1）、先在域控制器的Active Directory用户和计算机中找到要限制的用户（比如叫insistence）。

（2）、然后右键点击用户insistence的属性，找到账户这一项。

点击登录到，会出现下图。

如果仅让他登录only这台主机就在下列计算机中就需要选中下列结算机然后输入可访问的机器only，点击添加即可！注意：如果想立即看到效果，可以在域控制器上使用命令gpupdate /force强制刷新组策略，然后再在域成员机器上使用该命令刷新就ok了！2怎样让域用户拥有本地管理员权限！（1）右键点击我的电脑→管理，出现下图。

（2）点击本地用户和组→组,出现如下图！（3）右键点击administrators→属性。

（4）点击添加（5）确定，然后根据提示输入一个域控制器上的有足够权限的用户名和密码就ok可！重新用该用户登录就具有本地超级管理员权限了！注意：如果没把该用户加入到本地管理员组中，即使该域用户拥有用控制器上的超级管理员权限，但他在本地计算机上的权限也是guest用户的权限！3、在2003域环境下搭建用Active Directory隔离用户的FTP服务器。

（1）前提是本机有一个固定的ip地址，并且IIS服务中的FTP服务已经安装完毕最主要的是它在域环境中。

（2）开始→程序→管理工具→Internet信息服务（3）右键单击FTP站点→新建FTP站点进行如下操作（4）然后需要安装一个第三方软件来修改ftp用户的文件存放目录和路径。

本软件在windows2003系统盘中:\SUPPORT\TOOLS下的SUPTOOLS.MSI这一文件，双击安装即可（注意：有的SUPTOOLS.MSI中没有这一文件可以下载一个adsiedit.dll文件，然后把它放到C:\WINDOWS\system32下，点击注册即可，安装时先放进adsiedit.dll文件在安装SUPPORTTOOLS.MSI）（5）然后开始→运行→adsiedit.msc→Domain []→OU=ftp→CN=only→然后右键单击only属性找到并双击m slls-FTPDir对其尽心编辑，在里面输入only，这是规定only的访问目录。

修改计算机名及加域
让其他计算机识别本机的重要两个标示就是IP地址和计算机名称，一般情况下，IP和计算机名是相互关联的。

其中，计算机名更容易让别人能识别这台电脑是谁使用的，所以，计算机名一般修改为自己的名字。

如何修改计算机名并加域：
1.右击“我的电脑”，点击“属性”，如图1
图1
2.在“系统属性”对话框中选择“计算机名”标签页，点击“更改”，如图2
图2
3.在“计算机名”处改为自己名字的拼音，“隶属于”选择“域”，并填写：TRZZ，然后“确定”，如图3
图3
4.在跳出的验证对话框中输入账号：trzz，密码也是：trzz，如图4，然后确定，重启电脑。

图4
修改域账号在本机的权限：
加入域后，域账号在本地计算机只是user权限，只能进行一般的操作，无法安装软件，根据情况，可将域账号提升为管理员权限。

1.点击“开始”，“控制面板”，如图5
图5
2.双击打开“用户账户”，需要输入本地计算机的管理员密码，如果不知道管理员密码，是无法继续操作的，如图6
图6 3.在“用户账户”对话框中，点击“添加”，如图7
图7 4.“用户名”输入自己的域账号，“域”填写：TRZZ，如图8
图8 5.权限选择“其他”中的“administrators”，点击“完成”，如图9
图9。

Net share命令共享文件夹并设置共享权限2020年1月7日net share命令net share命令用来管理共享资源，如添加、删除共享目录。

在命令提示符窗口中使用命令“net share”即可查看电脑中共享的资源。

带有$符号的为隐藏的共享资源，当从局域网浏览时将不会显示。

输入命令“net share sp=e:\sp”即可将“e:\sp”文件夹进行共享，共享名为sp。

使用命令“net share sp /delete”即可取消“e:\sp”文件夹的共享。

输入命令“net share 教学视频=e:\sp /remark:"office办公"”即可共享文件并设置共享名及注释。

输入命令“net share 教学视频/users:5”即可将“教学视频”共享资源设置为同时访问的用户不超5个。

输入命令“net share 教学视频/cache:automatic”即可设置为自动缓存方式。

输入命令“net share 教学视频/cache:no”即可设置为禁止自动缓存方式，禁止缓存多应用于共享资源经常更新的情况。

输入命令“net share 教学视频”即可查看“教学视频”共享资源的配置信息。

应用举例通过域控制器在所有域成员上建立“扫描”文件夹，用来存放扫描仪发送来的扫描文件。

扫描仪发送文件使用的是SMB服务，SMB服务要求目标文件夹共享出去。

但是共享权限最好共享给本地计算机上的administrator账户，而不是everyone账户，这样别人就打不开这个共享文件夹而造成泄密。

这个扫描仪使用administrator凭证访问“扫描”文件夹。

打开域控制器上的组策略管理编辑器，依次打开“计算机配置-首选项-文件夹”，创建“扫描”文件夹，不建议勾选“只应用一次”。

测试发现，如果同一计算机名的计算机非首次入域，此策略不会生效。

客户端应用组策略之后，“扫描”文件夹被创建了，NT权限是继承上层的。