“AD域控管理及实际应用中的问题集锦”的版本间的差异
小 (Aker移动页面AD域控管理组权限管理及问题集锦至AD域控管理及实际应用中的问题集锦) |
(→域控管理中管理问题拔萃) |
||
(未显示同一用户的7个中间版本) | |||
第16行: | 第16行: | ||
对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。 | 对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。 | ||
− | = | + | =域控管理中管理问题拔萃= |
− | + | * OU中建立的Enterprise admins账户可以删除OU中Domain Admins的账户,包括重置、禁用等,因此,E-Admins拥有OU完全管理权限。 | |
− | + | * 建立一个Domain Admins,用于安装软件,但不可访问域控,不可本地登录。目的:用做IT安装域用户本机软件的临时账户,避免domain admins账户泄露,导致域控风险。 | |
− | + | # 账户建立,隶属于中增加:domain admins | |
− | + | # gpmc.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名) | |
− | + | # gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名) | |
− | + | # gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝从网络访问这台计算机 (添加用户名) | |
− | ## | + | # 完成 |
+ | * 域账户软件使用权限问题,如QQ安全管家(原理是运用软件管理插件赋予升级后的QQ安全管家完全权限): | ||
+ | # 在该域账户下使用域管理账户安装QQ安全管家; | ||
+ | # 启动QQ安全管家,启动软件管理 | ||
+ | # 使用软件管理(四叶草)工具更新QQ安全管家 | ||
+ | # 重启QQ安全管家,即获得了该域账户下QQ安全管家的完全权限。 | ||
+ | |||
+ | =修改域控内置管理账户的密码注意事项= | ||
+ | # 主辅域控热同步情况下,可以直接修改administrator的密码,通常情况下会实时同步到辅域控,辅域控管理密码也会自动同步更改,无需手工修改辅域控密码; | ||
+ | # 域控管理账户变更会导致整个网络管理系统需要更改: | ||
+ | ## 行为管理服务器的“认证服务器”LDAP账户,“单点登录”域控制器账户; | ||
+ | ## 防火墙与行为管理服务器同等需要更新账户; | ||
+ | ## 企业内部NAS的LDAP认证服务需要更新账户; | ||
+ | # 上述未同步更新情况下,会导致单点登录用户无法上网,如果没有意识到是LDAP账户同步问题,可能会引导网络管理员去查找DNS服务器问题;(2020年3月20日 老鹿在嘉兴机房应用实绩中的事例) | ||
+ | # 因此建议IS管理员,对于新接入机房的设备和服务应用中记录LDAP应用的分支,最好有个List,一旦因为安全问题需要不定期修改AD内置管理账户情况下,能够不遗漏整个网络系统中因此造成的异常,这些异常很有可能导致办公的瘫痪。 | ||
+ | |||
+ | =在域控制器中更改域内所有电脑管理员密码= | ||
+ | * 原理:在域控制器中建一个开机脚本,使电脑启动时都需执行这一脚本,这样每台电脑只要一重启都会重置一次密码. | ||
+ | # 首先,把下面代码保存后缀为.vbs的文件: | ||
+ | #: strComputer = “.” | ||
+ | #: Set objUser = GetObject(”WinNT://” & strComputer & “/Administrator, user”) objUser.SetPassword “windows9598me2000xpvista” | ||
+ | #: objUser.SetInfo | ||
+ | # 其中 objUser.SetPassword “windows9598me2000xpvista”中: “”中间的就是密码。 | ||
+ | # 添加完脚本后注意刷新组策略。 |
2021年3月1日 (一) 17:22的最新版本
部分定义
- domain user获取远程登录域控权限
- 隶属于: Remote desktop users
- secpol.msc 本地—控制面板—用户权限管理—远程桌面共享中加入:用户名
- domqin user管理域用户帐户修改、新增、删除
- 隶属于 account operators
- Domain users软件安装和使用权限的开启设置
- 所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
- 通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
- 通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了。 对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。
域控管理中管理问题拔萃
- OU中建立的Enterprise admins账户可以删除OU中Domain Admins的账户,包括重置、禁用等,因此,E-Admins拥有OU完全管理权限。
- 建立一个Domain Admins,用于安装软件,但不可访问域控,不可本地登录。目的:用做IT安装域用户本机软件的临时账户,避免domain admins账户泄露,导致域控风险。
- 账户建立,隶属于中增加:domain admins
- gpmc.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名)
- gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名)
- gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝从网络访问这台计算机 (添加用户名)
- 完成
- 域账户软件使用权限问题,如QQ安全管家(原理是运用软件管理插件赋予升级后的QQ安全管家完全权限):
- 在该域账户下使用域管理账户安装QQ安全管家;
- 启动QQ安全管家,启动软件管理
- 使用软件管理(四叶草)工具更新QQ安全管家
- 重启QQ安全管家,即获得了该域账户下QQ安全管家的完全权限。
修改域控内置管理账户的密码注意事项
- 主辅域控热同步情况下,可以直接修改administrator的密码,通常情况下会实时同步到辅域控,辅域控管理密码也会自动同步更改,无需手工修改辅域控密码;
- 域控管理账户变更会导致整个网络管理系统需要更改:
- 行为管理服务器的“认证服务器”LDAP账户,“单点登录”域控制器账户;
- 防火墙与行为管理服务器同等需要更新账户;
- 企业内部NAS的LDAP认证服务需要更新账户;
- 上述未同步更新情况下,会导致单点登录用户无法上网,如果没有意识到是LDAP账户同步问题,可能会引导网络管理员去查找DNS服务器问题;(2020年3月20日 老鹿在嘉兴机房应用实绩中的事例)
- 因此建议IS管理员,对于新接入机房的设备和服务应用中记录LDAP应用的分支,最好有个List,一旦因为安全问题需要不定期修改AD内置管理账户情况下,能够不遗漏整个网络系统中因此造成的异常,这些异常很有可能导致办公的瘫痪。
在域控制器中更改域内所有电脑管理员密码
- 原理:在域控制器中建一个开机脚本,使电脑启动时都需执行这一脚本,这样每台电脑只要一重启都会重置一次密码.
- 首先,把下面代码保存后缀为.vbs的文件:
- strComputer = “.”
- Set objUser = GetObject(”WinNT://” & strComputer & “/Administrator, user”) objUser.SetPassword “windows9598me2000xpvista”
- objUser.SetInfo
- 其中 objUser.SetPassword “windows9598me2000xpvista”中: “”中间的就是密码。
- 添加完脚本后注意刷新组策略。