AD账户锁定策略
摘要:AD账户锁定策略在一个域中可以有多套,密码策略只能有一套
阅读全文
posted @
2015-12-16 11:21
momingliu11
阅读(969)
推荐(0) 编辑
AD诊断命令
摘要:dcdiagrepadmin /showrepl"启动从dc02到dc01的复制"cmd /c "repadmin /replicate dc02 dc01 dc=uxin,dc=youxinpai,dc=com"
阅读全文
posted @
2015-07-07 11:13
momingliu11
阅读(579)
推荐(0) 编辑
设置AD用户属性
摘要:设置AD用户属性proxyaddresses的值$test01 = [adsi]"LDAP://cn=test01,ou=oo,ou=admins,dc=ddv,dc=com"$test01.proxyaddresses="t2@ddv.com"$test01.setinfo()
阅读全文
posted @
2014-12-19 16:45
momingliu11
阅读(973)
推荐(0) 编辑
域账户-配置文件
摘要:AD-域账户属性-配置文件:配置文件路径:漫游用户配置,当用户登录或注销时,在本地计算机的更改会同步或被同步到网络上的远程位置输入如下:\\10.4.34.42\UserShare\%UserName%,应用后 %UserName%会显示为当前用户名,配置完成后如下图所示:UserShare为服务器...
阅读全文
posted @
2014-10-31 10:57
momingliu11
阅读(2518)
推荐(0) 编辑
将某个组中的账户移动到新的OU下
摘要:将某个组中的账户移动到新的OU下#定义组名$groupname = "testg"#定义新的OU名称$newou = "OU=oo,OU=Admins,dc=ddv,dc=com"$members = (get-adgroup $groupname -properties member).membe...
阅读全文
posted @
2014-09-11 18:21
momingliu11
阅读(361)
推荐(0) 编辑
远程使用Gpupdate(Hash,哈希)
摘要:function Start-GPUpdate{param([String[]]$ComputerName)$code = {$rv = 1 |Select-Object -Property ComputerName, ExitCode$null = gpupdate.exe /force$rv.E...
阅读全文
posted @
2014-06-13 17:46
momingliu11
阅读(640)
推荐(0) 编辑
组策略链接顺序优先级
摘要:“链接顺序”最低的 GPO 最后处理,因此具有最高的优先级。
阅读全文
posted @
2014-01-28 09:09
momingliu11
阅读(493)
推荐(0) 编辑
导出DC列表
摘要:$DomainName = (gwmi win32_computersystem).Domain$dn0 = $DomainName.Split(".")[0]$dn1 = $DomainName.Split(".")[1]$dn2 = $DomainName.Split(".")[2]If ( $dn2 -eq $null ) {$OU = "OU=Domain Controllers,DC=$dn0,DC=$dn1"}Else {$OU = "OU=Domain Controllers,DC=$dn0
阅读全文
posted @
2014-01-27 11:04
momingliu11
阅读(337)
推荐(0) 编辑
修改墓碑生存时间
摘要:1. Windows 2000和Windows 2003不带SP1的默认墓碑生存时间是60天,Windows 2003 SP1及其之后版本的默认墓碑生存时间是180天。2. 修改墓碑生存时间的方法如下:运行adsiedit.msc,展开“Configuration”->“CN=configuration,DC=xxx......”->“CN=Services”->“CN=Windows NT”,右击“CN=Directory Service”->“属性”-> TombstoneLifetime:180。3. 由于配置分区是在整个森林中同步的,所以这个设置会自动复制
阅读全文
posted @
2014-01-27 10:08
momingliu11
阅读(2125)
推荐(0) 编辑
授予普通域用户远程桌面连接DC/客户端权限
摘要:普通域用户通过远程桌面登录DC:1)将该用户加入到 Remote Desktop Users组中如果未将用户加入到”Remote Desktop Users“组中,则用户在远程桌面连接时出现如下错误提示:2)编辑 Default Domain Controllers Policy策略,授予该域用户“允许通过远程桌面服务登录”权限,同时也需要授予“Domain Admins”组该权限,否则Administrator也将无法登录。如果未授予用户 “允许通过远程桌面服务登录” 权限,则在用户远程桌面连接时出现如下错误提示:注:只将用户加入到Remote Desktop Users组中,或者只授予用户
阅读全文
posted @
2013-12-25 10:12
momingliu11
阅读(7283)
推荐(0) 编辑
AD新建用户、组、OU
摘要:#新建用户 import-csv d:\AD\Users.csv | Foreach {New-ADUser -Name $_.Name -Path $_.Path -samAccountName $_.SamAccountName -UserPrincipalName $_.Userprincip
阅读全文
posted @
2013-12-24 14:57
momingliu11
阅读(3550)
推荐(0) 编辑
委派RODC管理员
摘要:将某个普通域用户(或组)委派为RODC管理员:委派完成后,其用户就可以直接在RODC上登陆,执行管理员操作。默认委派的RODC管理员密码是不会被缓存在RODC上的,当RODC与RWDC之间的网络不可用时,委派的管理员就无法再登录RODC。通过如下方式可以进行缓存,如下将用户abc密码从DC01缓存到ADDC02(RODC)上:1)密码复制策略-添加-允许该账户的密码复制到RODC(用户abc隶属于rusers组,该组为RODC委派的管理员组)2-1)密码复制策略-高级-预设密码:添加用户(或计算机,不可以添加组) 预设密码:RODC在账户尝试登录之前 复制和缓存账户的密码2-2)使用命令行方.
阅读全文
posted @
2013-12-15 14:31
momingliu11
阅读(2276)
推荐(0) 编辑
SRV记录说明
摘要:SRV记录是DNS服务器的数据库中支持的一种资源记录的类型,它记录了哪台计算机提供了哪个服务这么一个简单的信息 SRV 记录:一般是为Microsoft的活动目录设置时的应用。DNS可以独立于活动目录,但是活动目录必须有DNS的帮助才能工作。为了活动目录能够正常的工作,DNS服务器必须支持服务定位(SRV)资源记录,资源记录把服务名字映射为提供服务的服务器名字。活动目录客户和域控制器使用SRV资源记录决定域控制器的IP地址。 SRV记录功能包括(基于它们在DNS控制台的分组) _MSDCS。这个分组中,SRV记录是根据它们的状态来收集的。各种状态包括DC、域调用、GC以及PDC。DC...
阅读全文
posted @
2013-12-15 13:01
momingliu11
阅读(2344)
推荐(0) 编辑
Klist
摘要:显示当前缓存的 Kerberos 票证的列表。有关如何使用此命令的示例语法klist [- lh] [-li ] 票证 |tgt |清除参数参数说明-lh表示以十六进制表示高一部分用户的登录标识符 (LUID)。如果 –lh 或 –li 都不存在,则此命令将默认为定为当前登录的用户。-li表示用户的登录标识符 (LUID) 以十六进制表示的低部分。如果 –lh 或 –li 都不存在,则此命令将默认为定为当前登录的用户。票证列出当前缓存的票证授予票证,并在指定的登录会话服务票证。这是默认选项。tgt显示初始 Kerberos 票证授予票证 (TGT)。清除使您可以删除指定的登录会话的所有限制。/
阅读全文
posted @
2013-12-13 23:24
momingliu11
阅读(5404)
推荐(0) 编辑
Nltest
摘要:查看登陆到的DC:nltest:查询工作站与域控间的信任关系:返回包含用户 hvuser 的DC:DSA操作不能继续因为一个DNS查找错误⑴使用Nltest /dsgetdc: /pdc /force /avoidself命令确定是否返回了正确的主域控制器;⑵如果使用REPLMON或者REPADMIN命令报告此处有一个连接对象但是没有一个复制链接,问题可能出在KCC上;⑶在主域控制器上运行以下命令:nltest /DBFLAG:0x2000FFFF和nltest /DSGETDC: /GC,然后根据输出信息判断错误出在什么地方;⑷运行nltest /dsgetdc: /gc /force确定你
阅读全文
posted @
2013-12-13 22:51
momingliu11
阅读(7723)
推荐(0) 编辑
常用组策略
摘要:禁用桌面右键菜单:用户配置-管理模板-Windows组件-文件资源管理器:删除文件资源管理器的默认上下文菜单禁用任务管理器:用户配置-管理模板-系统-Ctrl+Alt+Del选项:删除“任务管理器”可移动存储访问(WIN7):计算机配置-管理模板-系统:所有可移动存储类: 拒绝所有权限可移动存储访问(XP):修改注册表、修改DLL文件权限
阅读全文
posted @
2013-10-28 11:26
momingliu11
阅读(534)
推荐(0) 编辑
Windows Server 2012远程刷新客户端组策略,IE代理设置
摘要:Windows Server 2012远程刷新客户端组策略:1.PowerShell命令对单台计算机进行刷新:Invoke-GPUpdate -RandomDelayInMinutes 0 -Computer win2012 # 0表示立即刷新,最大值为44640分钟2.在组策略管理控制台中,选中某个OU,右键 刷新组策略,对整个OU下计算机进行刷新:检查组策略DC复制状态,可以在域级别查看,也可以在单个GPO级别查看:http://technet.microsoft.com/library/jj134176.aspxWindows Server 2012 IE代理设置:用户配置-首选项-控.
阅读全文
posted @
2013-10-11 16:28
momingliu11
阅读(2979)
推荐(0) 编辑
组策略--下发计划任务到计算机
摘要:计算机配置-首选项-Windows设置-控制面板-计划任务 Configure a Scheduled Task Item:(注:Windows Server 2012客户端拿不到该计划任务,2012需要使用 Configure a Scheduled Task Item (At least Windows 7)才可以拿到)For computers that are running Windows Server® 2008 R2, Windows® 7, Windows Server 2008, Windows Vista®, Windows Server 20
阅读全文
posted @
2013-09-12 22:24
momingliu11
阅读(4553)
推荐(0) 编辑
组策略--下发文件到计算机
摘要:计算机配置-首选项-Windows设置-文件操作:替换 (注:如果选择为 更新 的话,如果目标文件已存在,则无法对其文件内容进行更新,只会更新文件属性)源文件:\\win2012\mdt_test\a.txt (注:mdt_test为共享文件夹,添加共享时赋予Authenticated Users组 读取权限,其他权限不需要,赋予Domain Users组权限无效,因为此处针对的是 计算机账户)目标文件:C:\mm\a.txt常用选项卡-项目级别目标--新建项目--安全组--选择一个已有组(该组中包含需要应用该策略的计算机,如果计算机不在该组中,则其计算机不应用该策略)操作区别:Creat..
阅读全文
posted @
2013-09-12 16:50
momingliu11
阅读(3166)
推荐(0) 编辑
组策略--受限制的组
摘要:在组策略中添加 受限制的组 ,该组必须是Windows内置组,否则客户端不会应用该组。如果已经在 客户端计算机的 Event Log Readers组中添加了 用户 testuser1,然后在组策略中添加 受限制的组Event Log Readers,添加用户 testuser2。当客户端计算机应用了该组策略后,客户端计算机的Event Log Readers组中只会存在有testuser2,testuser1会消失,符合LSDOU的覆盖规则;;;;;;当撤销掉该组策略规则后,其客户端计算机的Event Log Readers组中只会存在有用户 testuser1如果将用户 testuser3
阅读全文
posted @
2013-09-04 20:07
momingliu11
阅读(3109)
推荐(0) 编辑
