大橙子网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
此设置适合Windows AD域(Windows LDAP),非Windows AD域(比如 Free LDAP)请参考 LDAP用户统一登录 。
创新互联是一家业务范围包括IDC托管业务,雅安服务器托管、主机租用、主机托管,四川、重庆、广东电信服务器租用,四川雅安电信机房,成都网通服务器托管,成都服务器租用,业务范围遍及中国大陆、港澳台以及欧美等多个国家及地区的互联网数据服务公司。
1、进入“系统常用管理功能 ” - “Windows域用户统一登录 ”, 如下图:
2、设置域验证的方式,域名称和域IP等参数
3、设置参数后重启文档服务,可以用域账号直接登录文档系统
可以用域账号直接登录,也可以实现混合用户登录
4、同步域组和域用户
可以导入选择的域组、用户账号,实现组织结构同步
AD的全称是Active Directory。AD域是Windows网络中独立运行的单位,域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。
两个域之间不但可以按需要相互进行管理,还可以跨网分配文件和打印机等设备资源,使不同的域之间实现网络资源的共享与管理,以及相互通信和数据传输。
扩展资料:
工作组与域的区别
1、工作组网实现的是分散的管理模式,每一台计算机都是独自自主的,用户账户和权限信息保存在本机中,同时借助工作组来共享信息,共享信息的权限设置由每台计算机控制。在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器,由浏览主控服务器提供的。
而域网实现的是主/从管理模式,通过一台域控制器来集中管理域内用户帐号和权限,帐号信息保存在域控制器内,共享信息分散在每台计算机中,但是访问权限由控制器统一管理。这就是两者最大的不同。
2、在“域”模式下,资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作,相当于一个单位的门卫一样,称为“域控制器(Domain Controller,简写为DC)”。
3、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。
如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。而工作组只是进行本地电脑的信息与安全的认证。
参考资料来源:百度百科-windows域
0x01 介绍
在实际生产环境中,由于Windows AD域的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限,而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理员密码,所以这时候就需要批量变更客户端的本地管理员密码。
0x02 环境介绍
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已经将客户端加入域
0x03 操作步骤
1. 首先在DC上用于与计算机控制台,新建一个计算机OU,便于管理,将刚加入域的计算机移动到这个OU中。
2. 在DC上打开组策略管理工具,新建一条策略,命名自己能看懂即可
3. 并对此策略进行设置,依次展开 计算机配置— 策略 — Windows设置 —安全设置 — 安全选项 — 账户:重命名系统管理员账户 将administrator用户重命名其他,此处修改为Local_admin。
4. 然后再回到Windows设置 — 脚本(启动/关机),新建一条启动脚本。
#启动脚本内容:意思为新建administrator用户,密码设置为passwd1!,启用此账户
net user administrator passwd1! /active:yes
将脚本内容复制到txt,另存为cmd后缀或者bat后缀文档,然后点开启动属性,点开显示文件,出来路径,将脚本文件粘贴到路径中,再点开编辑浏览到刚才路径,选中写好的开机脚本文件。
另外,有时候还有特殊需求,比如域中客户端用户由于一些特殊原因需要本地管理员权限,有这个需求的时候又不可能每次到跑到客户端操作电脑,因 此可以使用受限制的群组,设定,当域中某些特定用户需要有本机管理员权限的时候就可以直接在AD服务器上操作即可。
5. 回到用户和计算机管理工具,在Users中新建一个组,命名为Local-admins并将张三加入到此用户组测试。
6. 再回到组策略管理工具中,此处依旧挂载在这条GPO策略上,找到计算机配置 — Windows设置 — 安全设置 — 受限制的组 新建Administrators 组,并将默认需要添加到客户端本地管理员的用户与用户组添加进来。
7. 确定后关闭这条GPO编辑页,回到组策略管理工具,找到之前新建的yeah-Computers计算机组的OU,右键链接到现有GPO找到刚新建的GPO,链接确定。
8. 此时,到DC服务器中强制刷新组策略。
#强制刷新组策略命令
gpupdate /force
9. 找一台客户端验证策略是否生效,以本地管理员用户Local_admin登录,查看策略是否生效,因为应用的是计算机策略,只能在本地管理员账号下看到策略是否应用。
#查看当前用户计算生效gpo
gpresult/r
#如发现策略没应用,可多执行几次强制刷新策略命令
gpupdate /force
10. 可以看到策略已经应用,我们再切换用户,以张三登录客户端,右键点击计算机,计算机管理–本地用户和组–组–administrators,可以发现当前已经有我们设定的用户组位于本地管理组中了。
到此已经完成需求的所有操作,即通过GPO统一设置域内计算机本地管理员账户重命名为Local_admin,并在AD上新建一个Local-Admins用户组,将这个组加入到客户端本地管理员组中,后续需要用到本地管理员的域用户只要在AD上将用户加入到这个组即拥有本地管理员权限
Active Directory
什么是活动目录?
Active Directory 可帮助 IT 团队监控各种网络对象,授予和撤销不同的用户权限,并将各类策略在网络中顺利实施。例如,管理员可以创建一组用户并为他们分配对服务器上目录的特定访问权限。然而,随着网络的发展,管理员可能很难跟踪用户、登录详细信息、资源分配详细信息和权限。Active Directory 是最重要的 IT 基础架构工具之一,它可以帮助管理员管理用户配置流程、安全性和审计,并提供从单个位置访问每个用户帐户的权限。在 Active Directory 的帮助下,用户可以按逻辑组织成组和子组,以提供访问控制。
AD域管理
在 Active Directory 中,数据存储为对象。对象可以理解为单个元素,例如用户、组、应用程序或设备。对象可以是资源或安全主体,如用户或组。每个对象都有一个名称和属性。例如,用户名可能是名称字符串和与用户相关联的信息的组合。
Active Directory 结构由三个主要组件组成:域、树和林。可以将多个对象(例如使用同一 AD 数据库的用户或设备)分组到一个域中。域具有域名系统 (DNS) 结构。多个域可以组合形成一个称为树的组。树形结构使用连续的名称空间以逻辑层次结构排列域。树中的不同域共享安全连接并在层次结构中相互信任。这意味着第一个域可以隐式信任层次结构中的第三个域。多棵树的集合称为森林。管理员可以在各个级别分配特定的访问权限和通信权限。此外,森林还包括目录架构、共享目录、域配置和应用程序信息。全局编录服务器提供林中所有对象的列表,架构定义林中对象的类和属性。组织单位 (OU) 管理组、用户和设备。每个域都可以包含自己的 OU。
域树结构
Active Directory 提供多种服务,例如域服务、轻量级目录服务、证书服务、联合服务和权限管理服务。这些服务属于 Active Directory 域服务 (AD DS)。AD DS 随 Windows Server 一起提供,旨在管理客户端系统。AD DS 可以被认为是 Active Directory 的主要服务;它存储目录信息并负责用户和域之间的交互。当用户尝试通过网络连接到设备、服务器或资源时,AD DS 会检查授予用户的登录凭据和访问权限。SharePoint Server 和 Exchange Server 等其他产品也依赖 AD DS 进行资源访问。
Active Directory 证书服务 (AD CS) 创建、共享和管理证书。这些证书使用户能够通过 Internet 安全地交换信息。
Active Directory 轻型目录服务 (AD LDS) 具有与 AD DS 相同的功能。AD LDS 可以使用轻量级目录访问协议 (LDAP) 存储目录数据,并在单个服务器上运行多个实例。LDAP 应用程序协议存储与目录服务中的对象相关的数据,例如用户名和密码,并在网络上共享它们。
Active Directory 联合身份验证服务 (AD FS) 使用单点登录 (SSO) 的概念来验证用户,并允许他们在单个会话中访问不同网络上的多个应用程序。使用 SSO,用户只需为每项服务登录一次。
Active Directory 权限管理服务 (AD RMS) 通过加密服务器上的内容来保护机密和离散信息免遭未经授权的访问。
Active Directory 附带 Microsoft Server 操作系统,并提供多种功能和服务。Active Directory 可帮助 IT 专业人员将访问权限分配给新员工(帐户配置)并撤销离开公司的员工的访问权限(帐户取消配置)。虽然 Active Directory 域服务在组织中发挥着至关重要的作用,但它本身并不提供针对网络犯罪的安全性。如果存在可疑活动,IT 团队需要手动查看日志并花时间查明需要纠正的区域。这是因为 Active Directory 附带的集成工具在企业级别可能不是非常有效或有用。
因此,我们还可以利用第三方工具对域进行有效管理,接下来就给大家介绍几款AD域管理、审计、自助服务工具。