管理员不在客户端,如何把客户加入到域中
管理员不在客户端,如何把客户加入到域中
一、安装好系统和软件后,修改注册表,设置开机自动用本地系统管理员登录,编写加入域处理放在开机启动项中;
二、关机并备份系统;
三、自动加入域批处理,网上大把的资料,请自行查询有两种,一种BAT、一种VBS;
四、批处理的后面要加上删除启动项中的文件和删除注册表的自动登录;
以后碰上问题让用户直接开机时选择菜单恢复备份,重起后会用系统管理员登录并加入域并删除相对应的文件和注册表,再自动重启即可用原来的域用户登录机子。
下面是参考:
特殊说明,必须在集成系统时copy netdom.exe C:\WINDOWS\system32
此文件可以从系统安装光盘或在网上下载
将以上文件另存为bat文件即可
@echo off
::加入域,并在10秒后重启电脑
netdom join %computername% /domain:https://www.360docs.net/doc/4b2111845.html, /UserD:admin /PasswordD:abc /REBoot:10
::生成注册表文件Sample.reg
@echo Windows Registry Editor Version 5.00>>Sample.reg
::进入开机自动登录修改项
@echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]>>Sample.reg
::取消自动登录
@echo "AutoAdminLogon"="0">>Sample.reg
::删除默认登录密码
@echo "DefaultPassword"=->>Sample.reg
::将Sample.reg导入注册表
@regedit /s Sample.reg
::删除Sample.reg注册表文件
@del/a/q Sample.reg
::删除自启动文件
@del/a/q C:\Docume~1\Administrator\「开始」菜单\程序\启动\AD.bat
一、如果客户机没有加入域中或者已经退出域,可以按以下方法操作:
1。在DC添加机器账号
netdom add c123(待加入域的计算机名)/domain:https://www.360docs.net/doc/4b2111845.html, /userd:administrator(域的管理员帐号) /passwordd:123456(域的管理员帐号的密码)回车,会提示这命令成功。
这时你会发现 AD——》COMPUTERS 下多一个C123 计算机。
2。建立机器帐号并把机器帐号添加到域
netdom join c123(待加入域的计算机名)/domain:abc(域)/userd:administrator(域的管理员帐号) /passwordd:123456(域的管理员帐号的密码)/usero:administrator(待加入域的计算机管理员帐号)/passwordo:123456789(待加入域的计算机管理员帐号密码) /reboot 回车。客户机C123 就会重启,这时已经加入abc域了。
按照这个顺序,先netdom add,再运行 netjoin(单独运行其中一个,最终都没有成功),可以将一台没有加入到域中的电脑加入域,并且在客户端能够正常登录,同时,AD的computers容器中也会生成一个正确的计算机帐号。
二、如果客户端目前已经加入域,因为在ad的computers容器中不小心删除的计算机帐户的
此类情况将会出现客户端登录时无法连接域,如果手工直接在AD的computers 容器中新建计算机帐户,客户端还是无法登录的,此时需运行 netdom move 命令。如:netdom move 127.0.0.1 /domain:https://www.360docs.net/doc/4b2111845.html, /userd:username /passwordd:password ,以客户端管理员权限的用户在客户端运行。当然你也可以把它作为登录脚本,让客户端自动运行,前提是要解决用户端登录时用户名的权限。成功能运行该命令后,注销一下,客户端就能正常登录了,而且在DC 的COMPUTERS中,能生成正常的计算机帐户。
在域里面添加权限
公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权 限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置” 启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
加入域工具常见问题
加入域工具常见问题 1、未知省份错误 工具出现如上图所示提示框的原因是由于用户没有归属省份,请与工程师联系修正此错误。 2、终端加入域问题及解决 01、终端加入域报2698错误 故障处理: 2698错误基础信息是:此版本的Windows不能加入到域。一般此错误是由于用户尝试在WinXP HOME版上执行加入域造成。目前无法加入域。 请重新安装商业版的操作系统,有关商业版的安装介质和使用许可请与系统管理员联系。 02、终端加入域报1231错误 故障处理: 1231错误基础信息是:无法访问网络。一般此错误是由某个必须启动的服务没有成功启动造成的。终端加入域前应检查TCP/IP NetBIOS Helper服务是否启动, TCP/IP NetBIOS Helper服务必须启动。 03、终端加入域后无法在桌面创建文件 故障处理: 由于终端的Profile权限没有被赋予完全控制权限。请重新配置用户Profile 的权限,将权限配置为完全控制权限。然后退出域,重新加入域。 04、终端加入域后,域帐号登录无法看到原用户桌面图标等用户配置文件项 故障处理: 由于终端的Profile权限没有被赋予完全控制权限。请浏览到C:\document and
settings\,右键点选当前本机用户profile的文件夹,选择“属性”,在文件夹属性对话框中选择“安全”标签页,将本机administrators组添加为完全控制权限。 05、终端加入域后,终端用户帐号被锁定,无法登录域 故障处理: 由于终端帐号被服务器锁定,所以无法登录到域请终端部署人员联系终端部署管理人员通过工具修改,或在服务器上解除相应帐号的被锁定状态。 06、终端加入域时报系统不支持加入商业网络 故障处理: 这是产品的本身功能限制问题,WindowsXP Home版与Windows Me这部分操作系统属于家庭版,目前无法加入商业网络。 重新安装商业版的操作系统,有关商业版的安装介质和使用许可请与系统管理员联系。 07、终端加入域时报不能定位域控制器,请更新DnsHostName和ServicePrincipalName 故障处理: 由于DNS解析有误,请检查计算机的DNS配置和WINS配置是否正确,如果是DHCP的客户端,请在控制台窗口(在运行栏中输入cmd命令)中运行ipconfig/all命令,查看结果是否正确: DNS: WINS:如果配置正确,但问题则可能因为暂时的网络条件恶化,请换时间重新尝试。 如果以上两个方法都无法排除问题,请联系信息员或IT支持人员。 08、终端加入域后,原先安装的一些软件无法正常运行 故障处理: 由于部分软件采用安装时绑定计算机名或Netbios更换计算机名称后需要重新安装该软件。否则无法正常运行如果重新安装有困难,则建议不要更改计算机名称,直接加入域。如果加入域对该应用软件有影响,则建议不要加入域,不将此终端包含在本次工程范围内。
电脑加入域步骤
前言 为何要加入域? 域(Domain)是一个共用“目录服务数据库”的计算机和用户的集合,加入域成员计算机和域用户都共用这个域的“目录服务数据库”,域管理员可以基于域的“目录服务数据库”来进行集中管理、共享资源。如用户、组、计算机帐号、权限设置、组策略设置等。目录服务为用户提供唯一的用户和密码,用户只需一次登录,即可访问本域或有信任关系的其它域上的所有资源(当然用户得有权限才行),而不需要多次提供用户和密码登录。在Windows 2000/XP/2003工作站加入到域后,更可以接受域控制器的补丁更新和安全防护。
1我的电脑如何加入域 1.1 加入域的步骤 以WindowsXP为例。 1、首先需要将“本地连接”中的DNS服务器地址指向具体的ip。 2、右键点击“我的电脑”,选择“属性”,在“系统属性”中选择“计算机 名”中的“更改”后: 3、在“隶属于”中点选“域”,并输入域名:*https://www.360docs.net/doc/4b2111845.html,,后点击确定,如果 之前的DNS没有配置刚才设定的ip时,这一步会提示错误。 4、点击“确定”后,会提示要求域管理员用户和密码验证; 5、成功的话出现欢迎对话框,随后系统会要求重启,按照要求操作才能将域 生效。 1.2 重新登录后的操作 重启动后在登录时,点击选项,出现“登录到”的选择栏,选择域名; 用户名输入各自拼音的全称;初始密码为先输入拼音的简拼即第一个字母。 系统登录后会出现全新的界面,桌面都和原来不一样了。不要着急,没关系,只是保存在另一个地方,等会考过来就复原了。 这个等下做,我们先进入“控制面板”,点击“用户帐户”,会提示您不是本
机管理员,要先输入本机之前的密码后,点击确定就可以进入查看“用户帐户” 点击“添加”,如下图 在上图中,输入域用户的帐号与密码 输入后,点下一步,选择“其他”中的Administrators后,点击完成。 成功后根据系统提示注销,再进入系统你的用户将会具有管理员权限。
2003域中限制用户安装和卸载软件的权限
何在2003域中限制用户安装和卸载软件的权限,我应该怎么通过设置 策略实现? 可以考虑“power users”组,改组是受限制的。尽管“power users”组的成员比“administrators”组的成员的系统访问权限要低,但“power users”组成员依然可以有较大权限来访问系统。如果您的组织中使用了“power users”组,则应仔细地控制该组的成员,并且不要实现用于“受限制的组”设置的指导。 “受限制的组”设置可在windows xp professonal 的“组策略对象编辑器”中的如下位置进行配置: 计算机配置\windows 设置\安全设置\受限制的组 通过将需要的组直接添加到gpo 命名空间的“受限制的组”节点上,管理员可以为gpo 配置受限制 的组。 如果某个组受限制,您可以定义该组的成员以及它所属的其他组。不指定这些组成员将使该组完全 受限。只有通过使用安全模板才能使组受限。 查看或修改“受限制的组”设置: .打开“安全模板管理控制台。 注意:默认情况下,“安全模板管理控制台”并没有添加到“管理工具”菜单。要添加它,请启动microsoft 管理控制台(mmc.exe) 并添加“安全模板”加载项 2.双击配置文件目录,然后双击配置文件。 3.双击“受限制的组”项。 4.右键单击“受限制的组” 5.选择“添加组” 6.单击“浏览”按钮,再单击“位置”按钮,选择需浏览的位置,然后单击“确定”。 注意:通常这会使列表的顶部显示一个本地计算机。 7.在“输入对象名称来选择”文本框中键入组名并按“检查名称”按钮。 单击“高级”按钮,然后单击“立即查找”按钮,列出所有可用组。 选择需要限制的组,然后单击“确定”。 单击“添加组”对话框上的“确定”来关闭此对话框。 对于所列出的组来说,将添加当前不是所列组成员的任何组或用户,而当前已是所列组成员的所有 用户或组将从安全模板中删除。 为完全限制“power users”组,此组的所有用户和组成员的设置都将删除。对于组织中不准备使用的内置组(例如“backup operators”组),建议您限制它。 如何使用组策略的进行软件分发和如何制作.msi文件?
runas应用,普通域用户的管理员权限
Runas的使用方法 域用户没有管理员权限,但是很多的软件却必须有管理员权限才能运行,不论你如何将C:D:E的安全策略调整至域用户“完全控制”的安全策略,不运行就是不运行。 XP虽然停止更新,但仍然是公司的主力。最近装了几台win7的系统,这个域用户没有权限的问题更加突出。于是穷尽各种搜索终于有了收获。使用runas命令可以解决域用户没有权限的问题。 本文只对新手,像我这样半路出家来当IT的人,将自己的经验分享也是无上的光荣啊。 Runas命令简介: Runas允许用户使用其他权限运行指定的工具和程序,而不是当前用户登录提供的权限。 是不是很拗口,不错。说白了就是允许你在当前登入的用户名下使用管理员的权限。 不多说走起。 Win7就是好,控制面板—用户—选项下面多了个—凭据管理功能,让你不再每次运行的时候输入密码,一次输入永久使用。 以域用户要运行QQ软件为例: 1、首先确认你的win7系统的本地或者域管理员用户名和密码有效。或者是具 有和管理员同等权限的其他用户也可。假设我们现在举例的管理员名称和密码均是:admin,本机名称为:dell-PC,系统域名为:dellserver 2、在电脑桌面的空白处,右击鼠标---新建---快捷方式----输入一下命令: Runas /user:dell-pc\admin /savecred “D:/program files(x86)/Tencent/QQ.exe”或者 Runas /user:dellserver\admin /savecred “D:/program files(x86)/tencent/QQ.exe”
3、在新建的快捷方式图标上右键—属性—更换图标为QQ的图标 4、在安全选项卡中,设置当前用户的权限为“读取”,运行,不允许修改。 5、将快捷方式,复制到没有权限的域用户桌面双击运行弹出命令窗口: 输入管理员密码一次。以后便不用再输入了,系统已经记住凭据了。 注意事项:1. runas 后面的空格。 2./user:dell-pc\admin 管理员用户名的反斜杠。 3. /savecred 保存凭证 以上是自己的一点收获分享了。
3种用组策略将域帐号加入本地管理员组的方法
3种用组策略将域帐号加入本地管理员组的方法 1、对于WIN2003域控制器(DC)环境,使用计算机策略的“受限制的组”
2、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用用户配置首选项中“本地用户和组”.用在将登录帐号自动加入本地管理员组的场合。 3、对于WIN2008/2008R2(尽可能用R2的DC)的DC环境,使用计算机配置首选项中“本地用户和组”,用在将重要的域组加入客户端本地管理员组的场合。
下面让我细细道来。 第1种方法的步骤很简单: .在域中创建一个test01\g1组帐号,将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组,然后把一些元素添入选项,参照本文第1幅图.刷新域客户机的组策略,就可以看到test01\g1组被自动加入到本地管理员组了,如下图 第2种方法:
为了避免干扰,我创建了另一个2008R2的域来验证第2种方法,该域WINXP03客户机的初始本地管理员成员如下: 为了使GPO“首选项”能作用到客户端,需要在域客户端安装客户端扩展集组件(CSE),URL为: https://www.360docs.net/doc/4b2111845.html,/zh-cn/library/cc731892(WS.10).aspx 根据客户端OS类型选相应组件下载,并安装到WINXP03客户机中,如下图(XMLLite XML无需安装):
在2008R2上开始设置GPO的用户配置项,按下图添加对客户端本地Administrators的操作策略 操作中的“更新”代表更新域客户端Administrators组中的成员,“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组,只要域帐号一登录,就把它加入本地管理员组
域用户权限设置 (改变及装软件)
http: 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答: 根据您的描述,我对这个问题的理解是: 普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能.而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限.这里您可以有两种选择. 1.告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2.把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限.a.右键“我的电脑”,选择“管理”
b.选择“本地用户和组” c.选择“组”, d.选择其中的“administrators”并双击 c.然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou”的OU中.您需要赋予权限的服务是“DNSsever” 1.在“server ou”上添加一个组策略.给它定义一个名字. 2.编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3.从右面栏中找到“dns server”服务,双击. 4.选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5.在弹出窗口中,选择添加. 6.输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1.需要修改服务,驱动,系统文件的.(例如Google输入法) 2.一些老程序会要求系统的控制权限. 3.安装前先检查用户的组身份,不属于管理员直接拒绝.
客户端不能加入域的解决方法和步骤
客户端不能加入域?解决资料整合 加入域出现以下错误,windows无法找到网络路径,请确认网络路径正确并且目标计算机不忙或已关闭?核心提示: 在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 故障现象:单位有一台运行Windows XP系统的办公用计算机,由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。按照正常的操作步骤进行设置,在“系统属性”的“计算机名”选项卡中加入域的时候,系统要求输入有权限将计算机加入域的用户名和密码(这表示已经找到域控制器)。然而,在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 解决方法: 由于客户端计算机能够找到域控制,因此可以确定网络的物理连接和各种协议没有问题。此外,由于可以在该计算机上找到域控制器,说明DNS解析方面也是正常的。那为什么能找到域控制器却又提示无法找到网络路径呢?这很可能是未安装“Microsoft网络客户端”造成的。在“本地连接属性”窗口的“常规”选项卡中,确保“Microsoft网络客户端”处于选中状态,然后重新执行加入域的操作即可。 “Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一,利用该组件可以使本地计算机访问Microsoft网络上的资源。如果不选中该项,则本地计算机没有访问Microsoft网络的可用工具,从而导致出现找不到网络路径的提示。本例故障的解决方法启示用户,为系统安装常用的组件和协议可以避免很多网络故障的发生, 计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信. 服务端(域控制器):Microsoft网络文件和打印共享和网络负载平衡没选择上去, 一定要选择上Microsoft网络文件和打印共享和网络负载平衡。 客户端要加入域,相关的服务要开始:
域用户权限
域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的。 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能。而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行。 而域管理员是自动加入到了本机的“administrator”组的。 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限。 这里您可以有两种选择。 1。告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能。 2。把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限。 a。右键“我的电脑”,选择“管理” b。选择“本地用户和组” c。选择“组”, d。选择其中的“administrators”并双击 c。然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了。
另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话。可以通过修改组策略来实现。 我们假定这些server在一个名叫“server ou”的OU中。您需要赋予权限的服务是“DNS sever” 1。在”server ou”上添加一个组策略。给它定义一个名字。 2。编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务”3。从右面栏中找到“dns server”服务,双击。 4。选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5。在弹出窗口中,选择添加。 6。输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限。 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1。需要修改服务,驱动,系统文件的。(例如Google输入法) 2。一些老程序会要求系统的控制权限。 3。安装前先检查用户的组身份,不属于管理员直接拒绝。 由于各种程序,特别是第三方程序的细节我们很难确定,而且有时候安装的问题不一定会立刻显示出来,我们还是建议您使用管理员权限去安装程序。
域用户本地权限设置
域用户本地权限设置文档 一、情况说明 本章节内容将会对域环境中的本地权限进行一些说明,并且会说明为什么域用户登陆本地机器后不能安装服务的原因,下一章节将会给出具体解决步骤,如急需解决问题的情况下可直接跳过本章节阅读下一章节内容。 在AD上建立域用户的时候,默认是隶属于Domain Uses用户组 我们登陆到加入域的客户端机器上,打开用户管理模块,我们可以发现,Domain Users组只隶属于本地的Users组,在本地的administrators组中没有Doamin Users组;然而安装windows服务必须是本地administrators组中的用户才可以安装。
从上图中可以看到,Domain Admins组默认就是在本地的administratos组中
的,这就解释了为什么通常情况下本地管理员和域管理员都能安装windows服务。 但是有些ghost安装的winXP会把本地administrators组中的Domain admins 删除,后果就导致了只有本地管理员能安装windows服务,域管理员不能安装windows服务。 为了能使加入域的客户端电脑能够安装windows服务,就需要获得本地的administrators组的权限,有如下几种方法 1、通过组策略强制把Domain Admins加入到每个客户端的本地 administrators组中,然后通过大通的权限获取机制安装大通windows服务。 2、通过组策略把Domain Users加入到每个客户端的本地administrators组 中,这样所有登陆的域用户都可以安装服务,全部安装完成后再通过组策略把Domain Users从每个客户端的本地administrators组中移除。 下一章节就是解决步骤。 二、解决步骤 方法1: 创建datong.vbs,内容如下: Set ws = WScript.CreateObject ( "WScript.Shell" ) compname = ws.ExpandEnvironmentStrings ( "%COMPUTERNAME%" ) Set adGrp = GetObject ( "WinNT://" & compname & "/Administrators,group" ) adGrp.Add ( "WinNT://Domain Admins,group" ) 在AD中右键点击“域(例如https://www.360docs.net/doc/4b2111845.html,)”——>属性——>组策略 “新建”——“组策略名称随便取”——“编辑”
部署活动目录将客户机加入域
实验背景:benet公司的网络中有100台计算机。公司需要集中管理计算机和用户账户以及网络资源,这就需要建立域环境来实现,域名为https://www.360docs.net/doc/4b2111845.html,。 公司网络拓扑: DC1 服务器角色:域控服务器IP:192.168.100.1/24 DC2 服务器角色:域控服务器IP:192.168.100.2/24 Client1 192.168.100.10 Client2 192.168.100.11 Client3 192.168.100.13 Client4 192.168.100.14 Client5 192.168.100.15 Client6 192.168.100.16行政部门\人事部门工程部门\销售部门\财务部门 需求描述: 在服务器dc1上安装https://www.360docs.net/doc/4b2111845.html,域 将客户机cient1-----client6加入域中 实验步骤: 一.搭建实验环境 根据实验要求我们搭建实验所需要的环境 准备两台虚拟机,一台为全新的windows server 2008,一台为全新的windows2003虚拟机,其中windows server 2008作为dc1的域控,windows server 2003作为client1客户机 1.准备两台全新的虚拟机 Windows server 2008
Windows server 2003 2.修改计算机名称 修改windows 2008计算机名称为dc1,修改windows 2003计算机名称为client1,修改完成后重新启动计算机 (1)修改windows 2008计算机名称为dc1 右击计算机,选择属性---高级计算机属性---计算机名称
如何突破公司电脑域账号限制获得管理员权限
【基本思路】 利用PE工具启动电脑,清除Administrator账号的密码,进而重新开机直接登录管路员账号。 [ 现在PE工具非常多,在此,我仅以其中一款为案例说明详细步骤] 一、制作前准备(注意:操作前备份好u盘数据) 1.电脑内存不能小于512MB 2.U盘的容量大于512MB 3.下载U盘启动盘制作工具 【老毛桃U盘启动盘制作工具Build20111206】下载地址: https://www.360docs.net/doc/4b2111845.html,:90/老毛桃WinPe-u盘版.rar 二、制作U盘启动盘 双击【老毛桃U盘启动盘制作工具Build20111206】,选择你的U盘,画面如下图:
点击“一键制成USB启动盘”按钮(注意操作前备份重要数据) 制作成功,如下图,此时可以拔出你的U盘
注意:由于U盘系统文件隐藏,你会发现u盘空间会减少330M左右,请不要担心此时没有制作成功
三、重启进入BIOS设置U盘启动(提示:请先插入U盘后,再进入BIOS) 在计算机启动的第一画面上按"DEL"键进入BIOS(可能有的主机不是DEL有的是F2或F1.请按界面提示进入),选择Advanced BIOS FEATURES ,将Boot Sequence(启动顺序),设定为USB-HDD模式,第一,设定的方法是在该项上按PageUP或PageDown键来转换选项。设定好后按ESC一下,退回BIOS主界面,选择Save and Exit(保存并退出BIOS设置,直接按F10也可以,但不是所有的BIOS都支持)回车确认退出BIOS设置。 四、进入【U盘启动盘制作工具】启动菜单界面 点击09即可清除原有Administrator账户密码了。
管理员不在客户端,如何把客户加入到域中
管理员不在客户端,如何把客户加入到域中 一、安装好系统和软件后,修改注册表,设置开机自动用本地系统管理员登录,编写加入域处理放在开机启动项中; 二、关机并备份系统; 三、自动加入域批处理,网上大把的资料,请自行查询有两种,一种BAT、一种VBS; 四、批处理的后面要加上删除启动项中的文件和删除注册表的自动登录; 以后碰上问题让用户直接开机时选择菜单恢复备份,重起后会用系统管理员登录并加入域并删除相对应的文件和注册表,再自动重启即可用原来的域用户登录机子。 下面是参考: 特殊说明,必须在集成系统时copy netdom.exe C:\WINDOWS\system32 此文件可以从系统安装光盘或在网上下载 将以上文件另存为bat文件即可 @echo off ::加入域,并在10秒后重启电脑 netdom join %computername% /domain:https://www.360docs.net/doc/4b2111845.html, /UserD:admin /PasswordD:abc /REBoot:10 ::生成注册表文件Sample.reg @echo Windows Registry Editor Version 5.00>>Sample.reg ::进入开机自动登录修改项 @echo [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]>>Sample.reg ::取消自动登录 @echo "AutoAdminLogon"="0">>Sample.reg ::删除默认登录密码 @echo "DefaultPassword"=->>Sample.reg ::将Sample.reg导入注册表 @regedit /s Sample.reg
域用户权限设置 (改变及装软件)
https://www.360docs.net/doc/4b2111845.html,/share/detail/19389613 域用户权限设置 公司为了安全加入域后,发现有一些问题,就是有的用户需要重新启动一些服务但是提示没有权限,如何才能把指定的服务器的管理权限给普通域用户。还有像google输入法之类的升级的时候提示“不是管理员,无法升级”。不知道怎么解决? 回答:根据您的描述,我对这个问题的理解是:普通的域用户的权限问题。 分析: ===== 您说到的这些情况,windows域就是设计为这样的. 默认的域用户在登录一台客户机的时候,域用户自动加入了客户机本地的“user”组,这个组只有一些基本的使用功能. 而您提到的重启服务,安装程序这样的操作,是需要本机管理员权限来进行. 而域管理员是自动加入到了本机的“administrator”组的. 建议: ==== 如果您的确需要让这些用户有这些控制权限,您可以给他们本机的“administrator”权限. 这里您可以有两种选择. 1. 告诉他们一个本机的管理员帐号,让他们在需要的时候切换用户来实现需要的功能. 2. 把域用户加入到本机的“administrator”组使得用户始终有本机的完全控制权限. a. 右键“我的电脑”, 选择“管理” b. 选择“本地用户和组” c. 选择“组”, d. 选择其中的“administrators”并双击 c. 然后把需要的域用户添加到这个组就可以实现普通的域访问权限和本机的管理员权限并存了. 另外,如果您需要某些用户对服务器的某些服务有管理权限,但是又不想赋予他们管理员权限的话.可以通过修改组策略来实现. 我们假定这些server在一个名叫“server ou” 的OU中.您需要赋予权限的服务是“DNS sever” 1. 在“server ou”上添加一个组策略.给它定义一个名字. 2. 编辑这个组策略,展开“计算机配置\windows设置\安全设置\系统服务” 3. 从右面栏中找到“dns server” 服务,双击. 4. 选择“定义这个策略设置”启动模式按照您本来的需求设置,然后点击“编辑安全设置” 5. 在弹出窗口中,选择添加. 6. 输入您需要的用户(组),然后在下面的权限栏中,赋予那个用户(组) “启动,停止和暂停”权限. 关于安装程序,您可以还可以把用户加入到本地的“power user”组,这个组的成员有权限装一部分的软件,但是涉及以下方面的程序无法安装: 1. 需要修改服务,驱动,系统文件的.(例如Google输入法) 2. 一些老程序会要求系统的控制权限. 3. 安装前先检查用户的组身份,不属于管理员直接拒绝.
取消普通域用户帐号加域权限
通常来说,没有做什么特别的设定的话,都是手动加域,且使用的是管理员帐号,这种情况下是有风险的,容易被人记忆密码。所以,如果可以设置一个普通用户帐号,专门用来执行加域操作,就会降低此类风险。其实默认情况下,域每一个普通帐号都可以将10台电脑加入域内,这是一个很大的隐患。估计很多人都没有试过吧。 加域分两种,一种是将新电脑加入域内,一种是将已经加入过域的电脑,因为故障无法登录域或手动退域,原计算机帐号仍在的情况下加入域建立连接。第二种情况又分上次加域使用的帐号和当前加域使用的帐号是否相同且权限是否一致。而退域,用任何帐号都可以。 下面错误只在本文范畴内,不讨论其他情况。 加域可能的报错A: 就是第二种情况时,加域帐号(权限)不一致。
可能的报错B: 超过普通用户将电脑加域的数值。 取消普通域用户帐号将计算机加入域的权限 域环境,默认普通用户默认能将10台计算机加入到域,如果在考虑到安全因素,需要更改默认设置。一般域内建立的用户默认都是Domain Users组里的,下面将介绍如何取消普通域用户帐号将计算机加入域的权限 方法/步骤 1、在PDC上单击“开始”-“所有程序”- “管理工具”打开“ADSI 编辑器”
2、在打开的ADSI编辑器右击-“连接到”-点击确定。 右键“DC=xxx DC="com" 单击“属性”
3 、找到“ms-DS-MachineAccountQuota”,将其数值由默认的10改成0
这样普通用户就不能将新电脑计算机加入域了。XP会提示“访问拒绝”,Win7会提示错误B(见文章开始部分)。 修改完毕不需要重新启动。即刻生效。 授权特定普通域用户将计算机加入域 进全局组策略修改。 这种情况下,此帐号的确可以在MachineAccountQuota=0的情况下将新
域控制器上设置用户配置文件类型(本地、漫游、强制)
有四个类型,分别是本地、漫游、强制、临时。本地就是你的配置文件保存在本地计算机。漫游就是保存在你域控的文件夹中,强制也是保存在域控上,不过你对用户配置目录下做任何更改都不会上传到域控的那个文件夹上,也就是你做的更改不会保存到域控中。比如你要在桌面上新建一个文档,重启后就没有了。临时是遇到系统故障,或磁盘空间不足,系统就会临时建立一个配置文件,同样也是不保存的。 实验环境 使用VMW虚拟机,客户端为Windows XP SP2,服务器端为Windows Server 2003 SP2企业版。 首先将服务器端安装好活动目录,无需任何设置,默认安装即可,并将客户端加入到域。 下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User,我这里以“小五”为用户名,如下图
2、在服务器端建立保存用户配置文件的共享文件夹,本文在c盘建立了一个user文件夹,用来保存所有用户配置文件,然后再user文件夹下建立一个“小五”文件夹,用来保存“小五”用户的配置文件。这里面一定要注意权限的设置,在共享文件夹中的权限去掉everyone,然后找到我们域中的用户“小五”,给他所有权限。 3、进一步权限设置,如图
这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游,如图
192.168.1.201为我们的服务器,后面所接的“user/小五”为保存用户配置文件的共享文件夹 主文件夹相当于用户的“我的文档”,这里面映射到服务器上,更能保证用户文件安全性与可靠性。 现在配置基本完成,我们从客户端登录一下试试看
客户端加域问题及处理方案总结
1. 加域后如何退出域? 解释: 退域步骤:右键我的电脑→属性→计算机名→更改→在隶属于区域选择”工作组”→输入 WORKGROUP→点击确定→在弹出验证对话框里输入”域账户和密码”→点击确定。以给出的文档里有退 域的操作步骤。 2. 提醒:在加域过程中如遇到PC装有SQL,加域后不能正常使用。 解决办法:在加域后需要重新设定SQLSERVER服务的身份验证,步骤:开始→运行→services.msc→右键 SQL server→属性→登录→点击此账号输入域用账号和密码→应用。 3. 加域后的客户端操作系统由XP更换WIN7怎么操作? 解决办法:建议先退域,更换操作系统后重新加域,退域步骤:右键我的电脑→属性→计算机名→更改→ 在隶属于区域选择”工作组”→输入WORKGROUP→点击确定→在弹出验证对话框里输入”域账户和密码” →点击确定。 4. 新员工需要用到离职人员的计算机,该怎么处理? 解决方法:根据新员工的工号,更改相应的计算机名称,把新员工的AD账号加入到本地管理员组中。 5. 文件服务器还存在原来的域环境中,怎么办? 解决办法:客户端加入到新的域后,通过IP地址进行访问文件服务器,会弹出相应的对话框并提示输入 账号密码,需输入原有域的相应访问账号和密。 6. 公用PC机更改计算机名称失败。 解决办法: 经过排查,网络管理员做了限制,打开限制后更改计算机名称完成。 7. 如果用户更换新计算机旧计算机给新用户使用该怎么处理? 解决办法:更改计算机名(按照总部命名规则更改)在administrators组中添加对应用户名或重新安 装操作系统重新加域。 8. 多人使用同一台计算机应该怎么做? 解决办法:将使用同一台计算机的域用账号加入到本地Administrators组里,步骤:选中我的电脑点击 鼠标右键→管理→本地用户和组→组→双击administrators→添加→输入使用同一台计算机的域用账号 →点击检查名称→确定。 9. 加域后不能正常打印。 解决办法:重新添加打印机.操作步骤:控制面板→双击打印机→点击添加打印机→点击下一步→选择网 络打印机或连接到其他计算机的打印机→点击下一步→选择连接到这台打印机→输入”\\IP地址\打印 机名称→点击下一步→选择打印机→点击下一步→确定”。 1. 实践加域时出现RPC服务器不可用。 解决办法:端口关闭导致,建议开启端口。AD服务器之间无法通信(135、137、42)。管理人员表示,两 台服务器并未做端口限制,初步判断是由于AD组件损坏相关服务无法启动导致相关端口无法正常通信。 , 1. 已有DNS服务器,该怎么做? 解决办法: 在已有的DNS服务器上做转发。 1. newsid工具在加域之前是否都得使用? 解释:如果操作系统是XP并且是ghost则需要运行newsid工具,OEM版则不需要,手动更改计算机名即可。 如果操作系统是win7并且是ghost,数量较少则不建议运行newsid,如果是大批量ghost,首先要备份C 盘数据,之后在运行newsid工具,因为newsid只支持到XP操作系统,win7则不保证运行newsid后不会 出现各种问题。
取消、修改普通域用户将计算机加入域的权限
简介 普通用户加入域后默认是在Domain Users 组里,该组中用户具有将10台计算机加入域的权限,在一些安全要求极高的企业是绝对不允许的,存在较高的风险,所以需要禁止普通domain users 组中用户加域权限;但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域,但是不能将超管的密码外泄所以需要专门用来加域的用户; Windows server 2003 禁用普通domain users组的加域权限(管理员账号不受此限制) 1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台,在控制台中添加adsiedit(如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI) 2. 打开后依次展开图中指示,右击dc=accp,dc=com选择属性,找到ms-DC-MachineAccountQuota,其默认值为10,将此值改为0,并单击OK; Windows server 2008 禁用普通domain users组的加域权限(管理员账号不受此限制) 1. 使用管理员的账号登陆域控制器,开始>管理工具>ADSIEdit; 3. 右键ADSI编辑器,点击连接到,保持默认点击确定;
4. 在DC=benet,DC=com处右击属性(域级别),选择ms-DS-MachineAccountQuota属性,双击,修改其值为0,并单击OK; 微软指南 1. 微软帮助文档:https://www.360docs.net/doc/4b2111845.html,/kb/243327/zh-cn Windows server 2003授权特定普通域用户将计算机加入域 1. 打开AD管理工具,选择https://www.360docs.net/doc/4b2111845.html,(域级别),右击属性,选择委派控制
客户机不能加入域的终极解决方法
客户机不能加入域的终极解决方法 客户机加入域时的错误各种各样,但总的来说,客户机不能加入域的解决方法部外乎以下几种: 1、将客户机的第一DNS设为AD的IP,一般DNS都时和AD集成安装的,清空缓存并重新注册( OK 啦) ipconfig /flushdns 清空DNS ipconfig /registerdns 重新申请DNS 2、关闭客户端防火墙 3、只留IP为AD的第一DNS,第二DNS设为空 4、在AD服务器的DNS建立客户机的SRV记录 5、启动DNS和TCP/IP NetBIOS Helper Service服务 6、更改主机名并在服务器上删除已经存在的DNS记录,重启 7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟), 8、如果AD服务器是经营防火墙进行了地址转换,则需要修改DNA的[A]对应的服务器地址为转换后的地址,否则终端无法入加域管理。 计算机无法加入域|不能联系域控制器 1.您无法用NetBois域名加入域。 2.组策略无法正常应用。 3.无法打开网上领居和访问共享文件。 这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。我建议您做如下的检查: 建议一:如果您的域中有Wins服务器,请检查客户机的Wins配置看是不是指向Wins服务器。另外,请 打开Wins服务器,看https://www.360docs.net/doc/4b2111845.html,记录正确注册。 建议二:如果TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服务)没有在客户端计算机上运行,可能会出现此问题。要解决此问题,请启动TCP/IP NetBIOS 支持服务。要启动NetBIOS 支持服务,请按照下列步骤操作:
客户端不能加入域解决方法
客户端不能加入域解决方法 加入域出现以下错误,windows无法找到网络路径,请确认网络路径正确并且目标计算机不忙或已关闭?核心提示: 在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 故障现象:单位有一台运行Windows XP系统的办公用计算机,由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。按照正常的操作步骤进行设置,在“系统属性”的“计算机名”选项卡中加入域的时候,系统要求输入有权限将计算机加入域的用户名和密码(这表示已经找到域控制器)。然而,在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 解决方法: 由于客户端计算机能够找到域控制,因此可以确定网络的物理连接和各种协议没有问题。此外,由于可以在该计算机上找到域控制器,说明DNS解析方面也是正常的。那为什么能找到域控制器却又提示无法找到网络路径呢?这很可能是未安装“Microsoft网络客户端”造成的。在“本地连接属性”窗口的“常规”选项卡中,确保“Microsoft网络客户端”处于选中状态,然后重新执行加入域的操作即可。 “Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一,利用该组件可以使本地计算机访问Microsoft网络上的资源。如果不选中该项,则本地计算机没有访问Microsoft网络的可用工具,从而导致出现找不到网络路径的提示。本例故障的解决方法启示用户,为系统安装常用的组件和协议可以避免很多网络故障的发生, 计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信. 服务端(域控制器):Microsoft网络文件和打印共享和网络负载平衡没选择上去, 一定要选择上Microsoft网络文件和打印共享和网络负载平衡。 客户端要加入域,相关的服务要开始: