域用户权限
域用户本地权限设置
域用户本地权限设置文档一、情况说明本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。
在AD上建立域用户的时候,默认是隶属于Domain Uses用户组我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users组只隶属于本地的Users组,在本地的administrators组中没有Doamin Users组;然而安装windows服务必须是本地administrators组中的用户才可以安装。
从上图中可以看到,Domain Admins组默认就是在本地的administratos组中的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。
但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。
为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法1、通过组策略强制把Domain Admins加入到每个客户端的本地administrators组中,然后通过大通的权限获取机制安装大通windows服务。
2、通过组策略把Domain Users加入到每个客户端的本地administrators组中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。
下一章节就是解决步骤。
二、解决步骤方法1:创建datong.vbs,内容如下:Set ws = WScript.CreateObject ( "WScript.Shell" )compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" )Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" )在AD中右键点击“域(例如)”——>属性——>组策略“新建”——“组策略名称随便取”——“编辑”计算机配置——windows设置——脚本——启动点击“显示文件”,把datong.vbs拷贝到目录中回到策略界面,点击添加,把datong.vbs加入启动策略。
域中3种组作用域的类型、授权范围、成员、权限分配
作用域类型
授权范围
成员
权限分配
说明
本地作用域
本域
森林中的任何域的域用户和全局组、通用组
ADLP规则
全局作用域
整个林以及信任域
本域的域用户和组
AGDLP规则
多域环境中,成员身份信息存储在每个域中
通用作用域
整个林以及信任域
森林中任何域的域用户和全局组、通用组
通用组只能创建在通讯组下,而通讯组只能作电子邮件的通讯,没有安全方面的功能。
域功能级别是windows 2000混合模式,不能创建通用安全组;多域环境中,通用组成员身份信息在全局编录中
注意:具有通用组成员身份不应频繁改动,因这些成员身份的任何改动都将引起整个组的Βιβλιοθήκη 员身份复制到森林中的每个全局编录中。
电脑加入域的操作方法
电脑加入域的操作方法电脑加入域是指将一台个人电脑加入到企业的域中,以便于统一管理和控制。
在企业中,电脑加入域可以实现用户集中管理、共享资源、安全策略统一等好处。
下面是电脑加入域的操作方法:1. 检查网络连接:首先,确保电脑与域控制器所在的网络正常连接。
可以通过ping命令或使用其他网络工具来测试网络连通性。
2. 配置IP地址:电脑需要配置一个与域控制器相同子网的IP地址,以便于进行通信。
打开网络和共享中心,点击“更改适配器设置”,右键点击网络适配器,选择“属性”,在“Internet 协议版本4(TCP/IPv4)”中配置IP地址。
3. 修改计算机名称:电脑的计算机名称必须是唯一的,不与域中其他计算机重复。
打开“控制面板”,点击“系统和安全”,选择“系统”,点击“更改设置”,在“计算机名称”选项卡中,点击“更改”,修改计算机名称。
4. 重启电脑:修改计算机名称后,会提示需要重启电脑才能生效。
点击“确定”后,电脑会重启。
5. 登录域管理员账户:电脑重启后,选择以管理员身份登录。
在登录界面,点击“其他用户”,输入域管理员账户名和密码,点击“登录”。
6. 加入域操作:在登录成功后,右键点击“计算机”图标,选择“属性”。
在系统属性中,点击“更改设置”,在“计算机名、域和工作组设置”中,点击“更改”按钮。
在弹出的对话框中,选择“域”,输入域名称,点击“确定”。
7. 接受域管理员权限确认:加入域后,会弹出需要域管理员确认的对话框。
输入域管理员账户名和密码,点击“确定”。
8. 完成加入域:加入域后,会自动进行电脑的重新启动,以使域设置生效。
电脑重启后,会显示一个输出欢迎信息的屏幕,此时表示电脑已成功加入域。
9. 登录域账户:电脑加入域后,可以通过选择“其他用户”登录域账户进行使用。
输入域账户名和密码,点击“登录”。
注意:加入域后,原有的本地账户将不能进行登录。
10. 配置域用户权限:在电脑加入域后,可以通过域控制器对用户的权限进行管理。
给域账户设置管理员权限
针对Windows Server2003给域账户设置管理员权限【也适用XP】针对袁绪军写的【如何加入域】第5步,在server中没找到用户账户,故用一下步骤取代1、如图,在【我的电脑】上右键,点击【管理】2、如图,在弹出的【计算机管理】页面:选中【本地用户和组】->【组】中,在Administrators 上右键,点击【添加到组】3、如图,点击【添加】4、如图,在弹出的对话框中,点击【高级】5、如图,此时会弹出域服务器的验证。
输入域服务器192.168.0.173的用户名和密码。
点击【确定】6、上一步确定后,如图,点击【立即查找】7、找到刚才加入域的用户“XXX”,选中后,点击【确定】8、如图,再次点击【确定】9、如图,再次点击【确定】,至此,给域账户设置管理员权限完毕。
出师表两汉:诸葛亮先帝创业未半而中道崩殂,今天下三分,益州疲弊,此诚危急存亡之秋也。
然侍卫之臣不懈于内,忠志之士忘身于外者,盖追先帝之殊遇,欲报之于陛下也。
诚宜开张圣听,以光先帝遗德,恢弘志士之气,不宜妄自菲薄,引喻失义,以塞忠谏之路也。
宫中府中,俱为一体;陟罚臧否,不宜异同。
若有作奸犯科及为忠善者,宜付有司论其刑赏,以昭陛下平明之理;不宜偏私,使内外异法也。
侍中、侍郎郭攸之、费祎、董允等,此皆良实,志虑忠纯,是以先帝简拔以遗陛下:愚以为宫中之事,事无大小,悉以咨之,然后施行,必能裨补阙漏,有所广益。
将军向宠,性行淑均,晓畅军事,试用于昔日,先帝称之曰“能”,是以众议举宠为督:愚以为营中之事,悉以咨之,必能使行阵和睦,优劣得所。
亲贤臣,远小人,此先汉所以兴隆也;亲小人,远贤臣,此后汉所以倾颓也。
先帝在时,每与臣论此事,未尝不叹息痛恨于桓、灵也。
侍中、尚书、长史、参军,此悉贞良死节之臣,愿陛下亲之、信之,则汉室之隆,可计日而待也。
臣本布衣,躬耕于南阳,苟全性命于乱世,不求闻达于诸侯。
先帝不以臣卑鄙,猥自枉屈,三顾臣于草庐之中,咨臣以当世之事,由是感激,遂许先帝以驱驰。
AD域权限设置
在组名的命名约定中合并作用域 名称能够反映所属关系(部门或小组名称) 在组名的开头添上域名或其缩写 使用描述符来标识一个组所拥有的最大权限,例如:DL IT London OU Admins
通讯组:
使用短的别名 显示名称里不应包含用户的别名 一个通讯组最多由五个合作者管理
管理组成员
“成员”和“隶属于”属性 演示 “成员”和“隶属于” 确定用户账户的从属组 在组中添加和删除成员
在自己和所有信任的域里可见 林中所有域
通用组
成员
可作为右边表格中 所示组的成员 作用域 权限
通用组规则 混合模式:不适用 本机模式:用户账户、全局组和森林中任何域 的其他通用组
混合模式:不适用 本机模式:任何域中的域本地组和通用组
森林中所有域都可见 森林中所有域
域本地组
成员
可作为右边表格中 所示组的成员 作用域 权限
创建本地和域服务账户 创建新的本地账户(不在本地登录)
DSADD
DSADD 是 Windows Server 2003 Server 新提供的 工具 DSADD 用于将计算机、联系人、组、组织单位或用 户添加到目录中 可通过输入 DSADD /? 获取如何使用该命令的详细 信息
用户账户的属性
用户账户的属性对话框
全局、本地 域、通用
Windows Server 2003
Windows Server 2003
全局、本地 域、通用
全局组
成员
可作为右边表格 中所示组的成员
作用域 权限
全局组规则 混合模式:同一个域中的用户账户 本机模式:同一个域的用户账户和全局组 混合模式: 域本地组 本机模式: 任何域里的通用和域本地组, 以及相同域的全局组
2-1-1 域用户、用户组的权限安全配置
THANK YOU
感谢观看
操作步骤
2.鼠标右键单击窗口左侧的【ADSI 编辑器】,然后点击【连接到】。
操作步骤
3.使用默认配置点击【确定】。连接域控制器。
操作步骤
4.找到域下的密码设置容器(CN=System->CN=Password Settings Container)。然后右键选择【新建】-->【对象】。
操作步骤
5.在【创建对象】界面中使用默认,点击【下一步】。
操作步骤
6.为对象设置一个名称,这里使用与用户组相同的名称,应用服务器管理员设置 名称,为“server admin”。点击【下一步】。
操作步骤
7.设置优先级属性为1,值越小优先级越高。点击【下一步】继续。
操作步骤
8.设置“是否用可还原的加密来存储密码”属性,设置为否,输入“false”,点 击【下一步】。
操作步骤
19.找到“msDS-PSOAppliesTo”属性双击,点击【添加Windows账户】添加 相应的用户组或用户。
操作步骤
20.在【对象属性界面】点击【应用】后点击【确定】,至此配置完成。可以从新 设置一下不同组内的用户密码看看来验证你的策略。
拓展练习
使用ADSI编辑器,在密码设置容器中新建 对象(server admins),设置最小密码长度为 6;密码使用期限从最短的0天到最长的60天; 密码锁定阈值为5;密码锁定时间设定为20分 钟。
操作步骤
16.设置“密码锁定时间”属性,我们也设置20分钟,即20分钟后解锁。输入值 “0:00:20:00”点击【下一步】。
操作步骤
17.最后如果点击【完成】一个对象就建立完成了。再根据其他组要求将来相应组 的密码策略对象。
域用户权限设置 (改变及装软件)
====
如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择.
1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能.
2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限.
关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装:
1.需要修改服务,驱动,系统文件的.(例如控制权限.
分析:
=====
您说到的这些情况,windows域就是设计为这样的.
默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行.
而域管理员是自动加入到了本机的“administrator”组的.
http:
域用户权限设置
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决?
回答:
根据您的描述,我对这个问题的理解是:
普通的域用户的权限问题。
3.安装前先检查用户的组身份,不属于管理员直接拒绝.
由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序.
公司域管理方案
2.域用户管理:
-建立严格的用户账户管理流程,确保用户账户的合法合规;
-对离职员工的账户进行及时禁用或删除,防止未授权访问。
3.域策略设置:
-制定统一的密码策略,包括密码长度、复杂度、更换周期等;
-实施登录失败处理策略,防止暴力破解;
-设置合理的登录权限,对敏感操作进行审计。
2.权限管理流程:
-建立权限申请、审批、变更及回收的标准化流程,提高管理效率;
-定期进行权限审计,及时调整异常权限,保证权限管理的有效性。
3.访问控制策略:
-推行基于角色的访问控制(RBAC),简化权限管理;
-针对重要数据和文件实施严格的访问控制,防止数据泄露。
四、数据安全与保护
1.数据加密策略:
-对关键数据实施加密存储,保障数据的机密性;
-制定加密传输标准,确保敏感信息在传输过程中的安全。
2.数据备份与恢复:
-设计数据备份计划,确保关键数据免受意外损失;
-定期执行数据备份测试,验证备份数据的完整性与可用性。
3.数据泄露预防:
-实施数据泄露防护措施,监控并防止敏感数据的外泄;
-开展员工数据安全培训,提升整体数据保护意识。
五、运维管理
1.运维团队管理:
公司域管理方案
第1篇
公司域管理方案
一、概述
本文档旨在制定一套合法合规的公司域管理方案,以确保公司网络环境的安全、高效与稳定。本方案主要涉及域管理策略、用户权限控制、数据安全防护等方面,旨在规范公司内部员工的行为,提高工作效率,降低运营风险。
二、域管理策略
1.域控制器部署:
-在公司网络环境中部署至少两台域控制器,实现负载均衡,确保域服务的稳定运行;
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
域用户权限设置
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。
还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。
不知道怎么解决?
回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。
分析:
=====
您说到的这些情况,windows域就是设计为这样的。
默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。
而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。
而域管理员是自动加入到了本机的“administrator”组的。
建议:
====
如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。
这里您可以有两种选择。
1。
告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。
2。
把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。
a。
右键“我的电脑”,选择“管理”
b。
选择“本地用户和组”
c。
选择“组”,
d。
选择其中的“administrators”并双击
c。
然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。
可以通过修改组策略来实现。
我们假定这些server在一个名叫“server ou”的OU中。
您需要赋予权限的服务是“DNS sever”
1。
在”server ou”上添加一个组策略。
给它定义一个名字。
2。
编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。
从右面栏中找到“dns server”服务,双击。
4。
选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置”
5。
在弹出窗口中,选择添加。
6。
输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。
关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。
需要修改服务,驱动,系统文件的。
(例如Google输入法)
2。
一些老程序会要求系统的控制权限。
3。
安装前先检查用户的组身份,不属于管理员直接拒绝。
由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。