AD域管理常見(jiàn)問(wèn)題

一、權(quán)限問(wèn)題?！材J(rèn)為administrator〕身份登錄，保證對(duì)這臺(tái)計(jì)算機(jī)有治理把握權(quán)限。一般用戶登錄保證能在域內(nèi)為這臺(tái)計(jì)算機(jī)創(chuàng)立一個(gè)計(jì)算機(jī)帳號(hào)?！睞uthenticatedUsers〕1010帳號(hào)復(fù)位，或干脆刪了再建一個(gè)域用戶帳號(hào)，如joindomain。留意：域治理10提示。域，計(jì)算機(jī)帳戶沒(méi)有被自動(dòng)禁用或、手動(dòng)在AD計(jì)算機(jī)帳戶；2、改用治理員帳戶；3、在最初預(yù)建帳戶時(shí)就指明可參與域的用戶。xxxADAD2023/03，2023DNSDCIP地址，然后開(kāi)頭進(jìn)展網(wǎng)絡(luò)身份DNSDC，只能DCDC，TCP/IPDNSDCDNS參與域時(shí)，假設(shè)輸入的域名為FQDNmcse，必需利用DNSSRVDC，假設(shè)客戶機(jī)的DNSxxxADAD”2023上版本的計(jì)算機(jī)跨子網(wǎng)〔路由〕參與域時(shí)，也就是說(shuō)，參與域的計(jì)算機(jī)是2023應(yīng)當(dāng)用此方法。mcse，也可以利用掃瞄效勞〔播送方式〕DC，但掃瞄域，但在參與域和以后登錄時(shí)，2023DNSAPTR2023就無(wú)法利用DNS找到它，這本應(yīng)當(dāng)是可以的。nslookupDNSDC〔具體見(jiàn)前〕。能找到的話，再ping一下DC看是否通。一、用戶名、口令、域?qū)懙??？匆幌掠卿浀挠蚴欠襁€存在〔比方子域被非正常刪除了，域中唯一的DC〕。二、DNSDNS三、計(jì)算機(jī)帳號(hào)〔如財(cái)務(wù)主管渡假去了〕，出錯(cuò)提示為“無(wú)法與域連接??，域把握器不行用??，找不到計(jì)算機(jī)帳戶??”，而不是直接提示“計(jì)算機(jī)帳號(hào)已被禁用”?？傻紸D用戶和計(jì)算機(jī)中，將計(jì)算機(jī)帳號(hào)啟用即可。對(duì)于Windows2023/XP/03，默認(rèn)計(jì)算機(jī)帳戶密碼的更換周期為30由于某種緣由該計(jì)算機(jī)帳戶的密碼與LSA機(jī)密不同步，登錄時(shí)就會(huì)消滅出錯(cuò)方法：重設(shè)計(jì)算機(jī)帳戶，或?qū)⒃撚?jì)算機(jī)重參與到域。B1。五、跨域登錄中的問(wèn)題在2023及以上計(jì)算機(jī)上登錄到域的過(guò)程是這樣的：域成員計(jì)算機(jī)依據(jù)本機(jī)SRVDCDC，驗(yàn)證后登錄。假設(shè)是在林中跨域登錄，是首先查詢DNS效勞器，問(wèn)林的GC是誰(shuí)。所以要GC〔不愿定是本林的DNS如何解決本地或域治理員密碼喪失？本地治理員密碼喪失，可通過(guò)刪除 sam文件〔2023SP3以前〕或通過(guò)中的ERDCommander2023了，接下來(lái)我們將具體爭(zhēng)論使用此盤解決治理員密碼喪失問(wèn)題。1WINPE”230M；2、下載后解壓縮，將其內(nèi)容刻錄成光盤；3XP，StartERDCommander20234、消滅選擇菜單，選擇第一項(xiàng)：ERDCommander2023；5XP7XPStart/AdministrativeTools/Locksmith；8ERDCommander2023locksmith9Administrator，重設(shè)其密碼；〔此時(shí)切不行手動(dòng)重啟動(dòng)計(jì)算機(jī)，否則此修改將無(wú)效〕10Start/LogoffOK；rebootCommander2023NT/2023/XP/03作系統(tǒng)和版本，及是否DC，所以用戶在操作時(shí)，重設(shè)密碼的方法都是一樣的。03，重設(shè)密碼時(shí)要留意符合密碼策略中要求的符合簡(jiǎn)潔性要求，且密碼最7，否則重設(shè)的密碼會(huì)無(wú)效。無(wú)法使用域內(nèi)的共享打印機(jī)？絡(luò)打印機(jī)，為用戶重安裝打印機(jī)，當(dāng)時(shí)可以打印，但不久問(wèn)題又會(huì)消滅。用戶反映說(shuō)有時(shí)能打印，有時(shí)就是不能打印。〔慣性地選擇登錄到本地機(jī)〕，Windows個(gè)小毛病，它并不象你訪問(wèn)共享文你“拒絕訪問(wèn)，無(wú)法連接”、〔在不同的操作系統(tǒng)或應(yīng)用程序中提示會(huì)所不同〕。31。：錄。員身份登錄時(shí)，把握本機(jī)沒(méi)問(wèn)驅(qū)動(dòng)等。這樣做了以后，用戶以域用戶身份登錄，同時(shí)他又是本地治理員。2Guesteveryone全，所以不推舉。煩。無(wú)法訪問(wèn)域內(nèi)的共享資源？問(wèn)。一般是由于目標(biāo)計(jì)算機(jī)上啟用了guest，而guest用戶沒(méi)有權(quán)限造成的。會(huì)遇到的問(wèn)題：基于UNC路徑的I形式來(lái)訪問(wèn)時(shí)的故障，如在開(kāi)頭/運(yùn)行：ping的前提下，假設(shè)\\提示：“\\文件名、名目名或卷標(biāo)語(yǔ)法不正確”。檢查：效勞是否安裝、是否選中，或重裝一下。操作：網(wǎng)上鄰居/右鍵/屬性/本地連接/右鍵/屬性serverworkstation提示：錄效勞未啟動(dòng)”。標(biāo)語(yǔ)法不正確?！保骸癨\網(wǎng)絡(luò)未連接或啟動(dòng)”。連其它計(jì)算機(jī)，也是一樣的提示。檢查：相應(yīng)效勞是否已經(jīng)正常啟動(dòng)。操作：我的電腦/右鍵/治理/效勞和應(yīng)用程序/效勞下〕的影響提示：訪問(wèn)任何計(jì)算機(jī)均提示：“找不到網(wǎng)絡(luò)路徑”。給無(wú)視了。操作：我的電腦/屬性/網(wǎng)絡(luò)標(biāo)識(shí)/屬性/計(jì)算機(jī)名下，修改計(jì)算機(jī)名。4、XP/03臺(tái)登錄”的影響提示：\\無(wú)法訪問(wèn)。您可能沒(méi)有權(quán)限使用網(wǎng)絡(luò)XP/03啟用”改為“禁用”。留意：域帳號(hào)訪問(wèn)不受此策略限制。提示：找不到網(wǎng)絡(luò)路徑檢查：TCP/IP篩選、IPSEC、RRAS篩選器是否被啟用，且TCP端口139和445操作：網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級(jí)—選項(xiàng)—TCP/IP篩選網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級(jí)—選項(xiàng)—IP安全機(jī)制開(kāi)頭/程序/治理/路由和遠(yuǎn)程訪問(wèn)/IP/常規(guī)/接口/右鍵屬性/常規(guī)：輸入/輸出篩選器。說(shuō)明：RRAS2023/03Server，IPSEC2023置才有。TCP：139445和你開(kāi)玩笑。ADADADldifde.exe最終簡(jiǎn)潔介紹一下利用腳本〔可利用循環(huán)功能〕批量創(chuàng)立用戶帳號(hào)AD1、在“ADS1。密碼等。說(shuō)明：1AD2csvdeldifde/導(dǎo)入操作步驟如下：1、在“ADS1。密碼等。3、在DC/運(yùn)行：cmd4：csvde–fdemo.csv說(shuō)明：在導(dǎo)入時(shí)是不允許用的，如：ObjectGUID、objectSID、pwdLastSetsamAccountType可通過(guò)-d–r“ou=test,dc=mcse,dc=com”或-d“cn=users,dc=mcse,dc=com”-r“<Objectclass=user>”1my.csv，并利用復(fù)制、粘貼、修改得到多條記錄。例如：dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName“mailto:%2Cuser%2CS1%2C512%2CS1@mcse““CN=s1,OU=test,DC=mcse,DC=com“,user,S1,512,“mailto:S1@mcse“S1@mcse“mailto:%2Cuser%2CS2%2C512%2CS2@mcse““CN=s2,OU=test,DC=mcse,DC=com“,user,S2,512,“mailto:S2@mcse“S2@mcse??????，其它可用字段，我試了一下，見(jiàn)下表〔不全〕：6AD，鍵入csvde–i–fmy.csv–jc:\說(shuō)明：-j用于設(shè)置日志文件位置，默認(rèn)為當(dāng)前路徑。此選項(xiàng)可幫助用戶在導(dǎo)入不成功時(shí)排錯(cuò)。ADAD域用戶帳戶的導(dǎo)出/導(dǎo)入，并不能代替“AD的用戶，通過(guò)memberof字段設(shè)到一些用戶組中去，使它有權(quán)利權(quán)限。但這與利用“AD狀，完全是兩回事〕。四、利用腳本創(chuàng)立批量用戶帳戶1、利用腳本創(chuàng)立用戶帳號(hào)〔用戶可參考下例〕。SetobjDomain=GetObject(“LDAP://dc=fabrikam,dc=com“)SetobjOU=objDomain.Create(“organizationalUnit“,“ou=Management“)objOU.SetInfo說(shuō)明：在fabrikam域創(chuàng)立一個(gè)名叫Management的OU。SetobjOU=GetObject(“LDAP://OU=Management,dc=fabrikam,dc=com“)SetobjUser=objOU.Create(“User“,“cn=AckermanPila“)objUser.Put“sAMAccountName“,“AckermanPila“objUser.SetInfoobjUser.SetPassword“i5A2sj*!“objUser.AccountDisabled=FALSEobjUser.SetInfoManagementOUAckermanPilai5A2sj*!，啟用。SetobjOU=GetObject(“LDAP://OU=Management,dc=fabrikam,dc=com“)SetobjGroup=objOU.Create(“Group“,“cn=atl-users“)objGroup.Put“sAMAccountName“,“atl-users“objGroup.SetInfoobjGroup.AddobjUser.ADSPathobjGroup.SetInfo說(shuō)明：在ManagementOU下創(chuàng)立一個(gè)名叫atl-users的用戶組，將用戶AckermanPilaWscript.echo“Scriptendedsuccessfully“說(shuō)明：顯示“腳本成功完畢”信息2、利用腳本中的循環(huán)功能實(shí)現(xiàn)批量創(chuàng)立用戶帳號(hào)SetobjRootDSEGetObject(“LDAP://rootDSE“)SetobjContainer=GetObject(“LDAP://cn=Users,“&_objRootDSE.Get(“defaultNamingContext“))Fori=1To1000SetobjUser=objContainer.Create(“User“,“cn=UserNo“&i)objUser.Put“sAMAccountName“,“UserNo“&iobjUser.SetInfoobjUser.SetPassword“i5A2sj*!“objUser.AccountDisabled=FALSEobjUser.SetInfoNextWScript.Echo“1000Userscreated.“說(shuō)明：在當(dāng)前域的UsersUserNo1UserNo10001000戶我的計(jì)算機(jī)不知道怎么回事，系統(tǒng)時(shí)間總是被改快1小時(shí)？ADPDCPDC仿真主控來(lái)把握。1ADPDC內(nèi)計(jì)算機(jī)的時(shí)區(qū)設(shè)置是否正確。建立AD域，需要有什么樣的權(quán)限才行？限即可。2DC，需要該域的域治理員〔DomainAdmins〕權(quán)限。3、安裝子域的DC，或樹(shù)的DC，都涉及到林構(gòu)造的轉(zhuǎn)變，需要林治理員〔EnterpriseAdmins〕權(quán)限才行。202303DC？032023AD〔參〕。但微軟的產(chǎn)品德外講究向前兼容，我們可以實(shí)現(xiàn)在202303DC03DNS，DCAD，DNS輸，都似乎沒(méi)有版本差異一樣。03計(jì)算機(jī)上安裝AD“Active〕上03/I386/adprep，具體第一步：adprep/forestprepadprep/domainprep2023ADADNTFSADdcpromoAD，將其提升為NTFS5.0ADsysvol2023NTFS分區(qū)。假設(shè)Cwinntwindows所在分區(qū)，承受FAT32分區(qū)，系統(tǒng)會(huì)自動(dòng)查找下一個(gè)可用的NTFS分區(qū)來(lái)存放系統(tǒng)卷，如d:\sysvol。假設(shè)找不到NTFSADconvertFAT32D如下：1、開(kāi)頭/運(yùn)行：convertd:/fs:ntfs說(shuō)明：這時(shí)并沒(méi)有真正開(kāi)頭轉(zhuǎn)換，假設(shè)懊悔，可以到注冊(cè)表HLM\當(dāng)前把握\(chéng)把握會(huì)話治理\BootExecuteConvertd:/fs:ntfs。3FATNTFSADNetBIOSDNS域的完全有效域名FQDNmcsemcse名稱，并在網(wǎng)絡(luò)中檢查是否存在重名，需要等一會(huì)兒。mcs〔建議用戶不要修改此名2023NetBIOSDNS說(shuō)明：NetBIOS名稱，只是為95/98/NT等老版本用戶通過(guò)“掃瞄效勞”或2023〔它們通過(guò)DNS定位域〕，其實(shí)NetBIOS名稱沖不沖突，都無(wú)所謂。這種沖突可能源自于網(wǎng)絡(luò)中假設(shè)已有一個(gè)域，名字叫做，DNSNetBIOSmcseNetBIOSmcsemcse0。安裝AD完成后，重啟登錄格外慢，甚至長(zhǎng)達(dá)20分鐘之久。2023/03ServerAD慢，那就要重裝系統(tǒng)及ADAD，這樣不簡(jiǎn)潔出問(wèn)題。ADDNS，應(yīng)在安裝前，將本機(jī)TCP/IPDNSADSRV_msdcs。03DNS在這里夾的層次構(gòu)造有所變化，將_msdcs.域名夾提升了一級(jí)，直接放到DNS然后到計(jì)算機(jī)治理/NetLogonDNSSRV〔windows\system32\cacheDNS。DC安裝子域失敗。“由于以下緣由，操作失敗：ADxxx法運(yùn)行指定的操作。”GCGC20232023GC得在同一臺(tái)計(jì)算機(jī)上?！膊閟eize〕DC，DC后，才可連入網(wǎng)絡(luò)，以保證域命名主控的林唯一性。修改用戶密碼需要幾分鐘，甚至更長(zhǎng)的時(shí)間。臺(tái)DC承受到密碼變化的懇求，它必需通知PDC仿真主控。假設(shè)是PDC仿真主機(jī)失效，收到該懇求的DC必需經(jīng)過(guò)一段時(shí)間的查找后，確認(rèn)真的找不到PDC仿真主PDC確信其已無(wú)法正常工作，可強(qiáng)制傳給〔查封seize〕域內(nèi)的任意一臺(tái)DC。原來(lái)PDC正常卸載AD時(shí)的常見(jiàn)問(wèn)題DC/AD1、卸載時(shí)會(huì)提示給的本地治理員設(shè)置