1. 首頁 > 云知道 > >

Active Directory 活動目錄域故障解決實例

云知道

Q1、普通域用戶無法在DC上登錄?
為了保護域控制器,默認能在DC上登錄的用戶只有:Administrators、Account operators、Backup operators、Server operators、Print operators這些特定的管理組 。要想使普通域用戶有權在DC上登錄,可以將其加入到這些組中 。
但更多時候,我們不想讓用戶有過多的權利權限,也可以在開始/程序/管理工具/域控制器的安全策略/本地策略/用戶權利分配/允許在本地登錄下通過添加,指派其在DC上登錄的權利即可 。
Q2、在03域中添加用戶時,總是提示我不符合密碼策略,怎么辦?
對于03,默認域的安全策略與2000域不同 。要求域用戶的口令必須符合復雜性要求,且密碼最小長度為7 ??诹畹膹碗s性包括三條:一是大寫字母、小寫字母、數字、符號四種中必須有3種,二是密碼最小長度為6,三是口令中不得包括全部或部分用戶名 。
我們可以設置復雜一些的密碼,也可以重新設默認域的安全策略來解決 。操作如下:
開始/程序/管理工具/域安全策略/帳戶策略/密碼策略:
¨密碼必須符合復雜性要求:由“已啟用”改為“已禁用”;
¨密碼長度最小值:由“7個字符”改為“0個字符” 。
欲策略設置馬上生效,可利用gpupdate進行刷新 。(具體見前)
如果添加的是本地用戶,解決辦法與此相同,只不過修改的是本地安全策略 。
Q3、在2000/03域中,前網管設置了一個開機登陸時的提示頁面,已過時,現想取消,如何操作?
登錄到本機時出現,則在管理工具/本地安全策略,或開始/運行:gpedit.msc中配置 。若是登錄到域時出現,則在管理工具/域的安全策略,或AD用戶和計算機/屬性/組策略中配置 。具體會涉及到:安全設置/本地策略/安全選項下的這兩條,
¨交互式登錄:用戶試圖登錄時消息標題
¨交互式登錄:用戶試圖登錄時消息文字
Q4、如何設置不讓用戶修改計算機的配置(如TCP/IP等)?
可以利用本地策略或基于域的組策略鎖定,具體操作:
1、本地:開始/運行:gpedit.msc ?;?br /> 2、域:開始/程序/管理工具/AD用戶和計算機/域名上/右鍵/屬性/組策略/默認域的組策略
3、在用戶配置/管理模板/網絡/網絡及撥號連接:禁止訪問LAN連接的屬性 。
說明:
1、若利用本地策略實現,本地管理員,可以重新設置策略解開 。
2、若利用域策略實現,只是域用戶受此限制 。本地管理員,不受此限制 。
所以應該不給用戶本地管理員口令,讓用戶以非本地管理員/域用戶身份登錄 。為了保證用戶能安裝軟件或做其它管理工作,可將其加入本地的Power Users組 。
Q5、非管理員用戶無法登錄到終端服務器?
欲使用戶能利用“終端服務客戶端軟件”或“遠程桌面”登錄到2000/03 Server,對于2000S需要在服務器上安裝終端服務,對于03S只需在我的電腦/右鍵/屬性/遠程/遠程桌面下,選中“允許用戶遠程連接到這臺計算機”即可 。對于管理員默認即可通過TS登錄進來 。
非管理員用戶通過終端服務無法登錄,除了網絡連接方面的問題以外,主要有以下五個方面的原因:
1、終端服務器同時是DC,而普通用戶無權在DC上登錄 。
解決辦法:具體見前 。
2、安全策略/本地策略/用戶權利分配:通過終端服務允許登錄 。
這是03特有的,2000沒有這條安全策略 。解決辦法,
方法一、在我的電腦/右鍵/屬性/遠程/遠程桌面下,選中“允許用戶遠程連接到這臺計算機”選項后,單擊“選擇遠程用戶”/添加 。用戶將被自動加入到Remote Desktop Users組,而這個組默認有“通過終端服務允許登錄”的權利 。

推薦閱讀