“AD域控管理及实际应用中的问题集锦”的版本间的差异
小 (Aker移动页面AD域控管理组权限管理及问题集锦至AD域控管理及实际应用中的问题集锦) |
|||
| 第16行: | 第16行: | ||
对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。 | 对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。 | ||
| − | = | + | =域控管理中管理应用的问题拔萃= |
# OU中建立的Enterprise admins账户可以删除OU中Domain Admins的账户,包括重置、禁用等,因此,E-Admins拥有OU完全管理权限。 | # OU中建立的Enterprise admins账户可以删除OU中Domain Admins的账户,包括重置、禁用等,因此,E-Admins拥有OU完全管理权限。 | ||
# 建立一个Domain Admins,用于安装软件,但不可访问域控,不可本地登录。目的:用做IT安装域用户本机软件的临时账户,避免domain admins账户泄露,导致域控风险。 | # 建立一个Domain Admins,用于安装软件,但不可访问域控,不可本地登录。目的:用做IT安装域用户本机软件的临时账户,避免domain admins账户泄露,导致域控风险。 | ||
| 第24行: | 第24行: | ||
## gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝从网络访问这台计算机 (添加用户名) | ## gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝从网络访问这台计算机 (添加用户名) | ||
## 完成 | ## 完成 | ||
| + | |||
| + | =域控管理中操作的问题拔萃= | ||
| + | # 修改域控内置管理账户的密码注意事项: | ||
| + | ## 主辅域控热同步情况下,可以直接修改administrator的密码,通常情况下会实时同步到辅域控,辅域控管理密码也会自动同步更改,无需手工修改辅域控密码; | ||
| + | ## 域控管理账户变更会导致整个网络管理系统需要更改: | ||
| + | * 行为管理服务器的“认证服务器”LDAP账户,“单点登录”域控制器账户; | ||
| + | * 防火墙与行为管理服务器同等需要更新账户; | ||
| + | * 企业内部NAS的LDAP认证服务需要更新账户; | ||
| + | ## 上述未同步更新情况下,会导致单点登录用户无法上网,如果没有意识到是LDAP账户同步问题,可能会引导网络管理员去查找DNS服务器问题;(2020年3月20日 老鹿的应用实绩中遇到) | ||
2020年3月20日 (五) 10:01的版本
部分定义
- domain user获取远程登录域控权限
- 隶属于: Remote desktop users
- secpol.msc 本地—控制面板—用户权限管理—远程桌面共享中加入:用户名
- domqin user管理域用户帐户修改、新增、删除
- 隶属于 account operators
- Domain users软件安装和使用权限的开启设置
- 所有软件都安装在固定的Program Files目录,并通组策略赋予Program Files目录Domain Users组完全控制权限
- 通过组策略赋予注册表HKLM_SOFTWARE键Domain Users组完全控制权限
- 通过组策略赋予Domain Users组system32目录完全控制权限
通过以上3个地方的修改,90%的软件都可以正常运行了。 对于一些特殊的软件,我们用Filemon和Regmon来进行监控,找出所需的文件或注册表值,来适当放开权限。以上操作过程相当烦琐。
域控管理中管理应用的问题拔萃
- OU中建立的Enterprise admins账户可以删除OU中Domain Admins的账户,包括重置、禁用等,因此,E-Admins拥有OU完全管理权限。
- 建立一个Domain Admins,用于安装软件,但不可访问域控,不可本地登录。目的:用做IT安装域用户本机软件的临时账户,避免domain admins账户泄露,导致域控风险。
- 账户建立,隶属于中增加:domain admins
- gpmc.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名)
- gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝本地登录 (添加用户名)
- gdedit.msc 计算机配置-- windows设置 -- 安全设置 --本地策略 -- 用户权限分配 --拒绝从网络访问这台计算机 (添加用户名)
- 完成
域控管理中操作的问题拔萃
- 修改域控内置管理账户的密码注意事项:
- 主辅域控热同步情况下,可以直接修改administrator的密码,通常情况下会实时同步到辅域控,辅域控管理密码也会自动同步更改,无需手工修改辅域控密码;
- 域控管理账户变更会导致整个网络管理系统需要更改:
- 行为管理服务器的“认证服务器”LDAP账户,“单点登录”域控制器账户;
- 防火墙与行为管理服务器同等需要更新账户;
- 企业内部NAS的LDAP认证服务需要更新账户;
- 上述未同步更新情况下,会导致单点登录用户无法上网,如果没有意识到是LDAP账户同步问题,可能会引导网络管理员去查找DNS服务器问题;(2020年3月20日 老鹿的应用实绩中遇到)
