一些AD调试

Posted 2020-07-31

统一更改默认本地管理员密码

    对于加入域的用户，为了防止使用本地管理员登录计算机。进行组策略通过一更改默认管理员密码（administrator）

    登录域控制器——打开“组策略管理器”控制台——编辑默认的“Default Domain Policy”——“用户配置”——“首选项”——“控制面板设置”——“本地用户和组”选项。

    右侧空白处，单击鼠标右键，在弹出的快捷菜单中选择“新建”选项，在弹出的级联菜单中选择“本地用户”命令。

    命令执行后，打开“新建本地用户属性”对话框。“用户名”文本框中设置本地管理员的用户名称。注意，根据需要定制本地管理员名称。“密码”和“确认密码”文本框中键入本地管理员用户使用的新密码。设置密码权限管理方式。

    单击“确定”，显示“密码警告”对话框。提示密码存储位置。注意，密码以加密方式存储。

    单击“确定”，完成策略设置。

    备注：自测试，策略生效需要一些时间，在各类客户机（win7/win8/winxp）才能生效。

用户登录时只能登录到域

    以Windows 7操作系统为例说明，如果用户登录过程中输入的用户名为“.\XXXX”，则登录本地。在部署AD DS域服务的网络环境中，不允许使用本地用户登录，只能使用域用户登录到域或者本地管理员用户登录到本地。本地管理员用户统一管理，本地管理员（默认管理员“administraotrs”）密码作为机密资料管理，不对任何用户公开。

    1.部署域策略

    “组策略管理器”控制台，选择目标组策略对象——编辑“Default Domain Policy”——选择“计算机配置”——“策略”——“Windows 设置”——“安全设置”——“本地策略”——“用户权限分配”选项——“用户权限分配”选项——“允许本地登录”策略，默认下该测试没有设置。

    启用“允许本地登录”策略，将需要限制的用户或者组添加到列表中，本例中允许本地管理员组和域登录到本地计算机，因此需要“Domain Users”组和“administrators”组添加到允许的用户列表中。

    测试设置完成后，使用“gpupdate /force”命令刷新新策略。

    2.客户端计算机验证

    使用刚在本机建立的User用户，无法登录本地登录。

    注意：“Domain Users”需要添加到“允许本地登录”策略，否则以域用户无法登录计算机。

  

本文出自 “rainy的IT技术博客” 博客，转载请与作者联系！