AD域管理常見問題

一、權限問題。〔默認為administrator〕身份登錄，保證對這臺計算機有治理把握權限。一般用戶登錄保證能在域內為這臺計算機創(chuàng)立一個計算機帳號?！睞uthenticatedUsers〕1010帳號復位，或干脆刪了再建一個域用戶帳號，如joindomain。留意：域治理10提示。域，計算機帳戶沒有被自動禁用或、手動在AD計算機帳戶；2、改用治理員帳戶；3、在最初預建帳戶時就指明可參與域的用戶。xxxADAD2023/03，2023DNSDCIP地址，然后開頭進展網(wǎng)絡身份DNSDC，只能DCDC，TCP/IPDNSDCDNS參與域時，假設輸入的域名為FQDNmcse，必需利用DNSSRVDC，假設客戶機的DNSxxxADAD”2023上版本的計算機跨子網(wǎng)〔路由〕參與域時，也就是說，參與域的計算機是2023應當用此方法。mcse，也可以利用掃瞄效勞〔播送方式〕DC，但掃瞄域，但在參與域和以后登錄時，2023DNSAPTR2023就無法利用DNS找到它，這本應當是可以的。nslookupDNSDC〔具體見前〕。能找到的話，再ping一下DC看是否通。一、用戶名、口令、域寫的?？匆幌掠卿浀挠蚴欠襁€存在〔比方子域被非正常刪除了，域中唯一的DC〕。二、DNSDNS三、計算機帳號〔如財務主管渡假去了〕，出錯提示為“無法與域連接??，域把握器不行用??，找不到計算機帳戶??”，而不是直接提示“計算機帳號已被禁用”?？傻紸D用戶和計算機中，將計算機帳號啟用即可。對于Windows2023/XP/03，默認計算機帳戶密碼的更換周期為30由于某種緣由該計算機帳戶的密碼與LSA機密不同步，登錄時就會消滅出錯方法：重設計算機帳戶，或將該計算機重參與到域。B1。五、跨域登錄中的問題在2023及以上計算機上登錄到域的過程是這樣的：域成員計算機依據(jù)本機SRVDCDC，驗證后登錄。假設是在林中跨域登錄，是首先查詢DNS效勞器，問林的GC是誰。所以要GC〔不愿定是本林的DNS如何解決本地或域治理員密碼喪失？本地治理員密碼喪失，可通過刪除 sam文件〔2023SP3以前〕或通過中的ERDCommander2023了，接下來我們將具體爭論使用此盤解決治理員密碼喪失問題。1WINPE”230M；2、下載后解壓縮，將其內容刻錄成光盤；3XP，StartERDCommander20234、消滅選擇菜單，選擇第一項：ERDCommander2023；5XP7XPStart/AdministrativeTools/Locksmith；8ERDCommander2023locksmith9Administrator，重設其密碼；〔此時切不行手動重啟動計算機，否則此修改將無效〕10Start/LogoffOK；rebootCommander2023NT/2023/XP/03作系統(tǒng)和版本，及是否DC，所以用戶在操作時，重設密碼的方法都是一樣的。03，重設密碼時要留意符合密碼策略中要求的符合簡潔性要求，且密碼最7，否則重設的密碼會無效。無法使用域內的共享打印機？絡打印機，為用戶重安裝打印機，當時可以打印，但不久問題又會消滅。用戶反映說有時能打印，有時就是不能打印。〔慣性地選擇登錄到本地機〕，Windows個小毛病，它并不象你訪問共享文你“拒絕訪問，無法連接”、〔在不同的操作系統(tǒng)或應用程序中提示會所不同〕。31。：錄。員身份登錄時，把握本機沒問驅動等。這樣做了以后，用戶以域用戶身份登錄，同時他又是本地治理員。2Guesteveryone全，所以不推舉。煩。無法訪問域內的共享資源？問。一般是由于目標計算機上啟用了guest，而guest用戶沒有權限造成的。會遇到的問題：基于UNC路徑的I形式來訪問時的故障，如在開頭/運行：ping的前提下，假設\\提示：“\\文件名、名目名或卷標語法不正確”。檢查：效勞是否安裝、是否選中，或重裝一下。操作：網(wǎng)上鄰居/右鍵/屬性/本地連接/右鍵/屬性serverworkstation提示：錄效勞未啟動”。標語法不正確。”：“\\網(wǎng)絡未連接或啟動”。連其它計算機，也是一樣的提示。檢查：相應效勞是否已經(jīng)正常啟動。操作：我的電腦/右鍵/治理/效勞和應用程序/效勞下〕的影響提示：訪問任何計算機均提示：“找不到網(wǎng)絡路徑”。給無視了。操作：我的電腦/屬性/網(wǎng)絡標識/屬性/計算機名下，修改計算機名。4、XP/03臺登錄”的影響提示：\\無法訪問。您可能沒有權限使用網(wǎng)絡XP/03啟用”改為“禁用”。留意：域帳號訪問不受此策略限制。提示：找不到網(wǎng)絡路徑檢查：TCP/IP篩選、IPSEC、RRAS篩選器是否被啟用，且TCP端口139和445操作：網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級—選項—TCP/IP篩選網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級—選項—IP安全機制開頭/程序/治理/路由和遠程訪問/IP/常規(guī)/接口/右鍵屬性/常規(guī)：輸入/輸出篩選器。說明：RRAS2023/03Server，IPSEC2023置才有。TCP：139445和你開玩笑。ADADADldifde.exe最終簡潔介紹一下利用腳本〔可利用循環(huán)功能〕批量創(chuàng)立用戶帳號AD1、在“ADS1。密碼等。說明：1AD2csvdeldifde/導入操作步驟如下：1、在“ADS1。密碼等。3、在DC/運行：cmd4：csvde–fdemo.csv說明：在導入時是不允許用的，如：ObjectGUID、objectSID、pwdLastSetsamAccountType可通過-d–r“ou=test,dc=mcse,dc=com”或-d“cn=users,dc=mcse,dc=com”-r“<Objectclass=user>”1my.csv，并利用復制、粘貼、修改得到多條記錄。例如：dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName“mailto:%2Cuser%2CS1%2C512%2CS1@mcse““CN=s1,OU=test,DC=mcse,DC=com“,user,S1,512,“mailto:S1@mcse“S1@mcse“mailto:%2Cuser%2CS2%2C512%2CS2@mcse““CN=s2,OU=test,DC=mcse,DC=com“,user,S2,512,“mailto:S2@mcse“S2@mcse??????，其它可用字段，我試了一下，見下表〔不全〕：6AD，鍵入csvde–i–fmy.csv–jc:\說明：-j用于設置日志文件位置，默認為當前路徑。此選項可幫助用戶在導入不成功時排錯。ADAD域用戶帳戶的導出/導入，并不能代替“AD的用戶，通過memberof字段設到一些用戶組中去，使它有權利權限。但這與利用“AD狀，完全是兩回事〕。四、利用腳本創(chuàng)立批量用戶帳戶1、利用腳本創(chuàng)立用戶帳號〔用戶可參考下例〕。SetobjDomain=GetObject(“LDAP://dc=fabrikam,dc=com“)SetobjOU=objDomain.Create(“organizationalUnit“,“ou=Management“)objOU.SetInfo說明：在fabrikam域創(chuàng)立一個名叫Management的OU。SetobjOU=GetObject(“LDAP://OU=Management,dc=fabrikam,dc=com“)SetobjUser=objOU.Create(“User“,“cn=AckermanPila“)objUser.Put“sAMAccountName“,“AckermanPila“objUser.SetInfoobjUser.SetPassword“i5A2sj*!“objUser.AccountDisabled=FALSEobjUser.SetInfoManagementOUAckermanPilai5A2sj*!，啟用。SetobjOU=GetObject(“LDAP://OU=Management,dc=fabrikam,dc=com“)SetobjGroup=objOU.Create(“Group“,“cn=atl-users“)objGroup.Put“sAMAccountName“,“atl-users“objGroup.SetInfoobjGroup.AddobjUser.ADSPathobjGroup.SetInfo說明：在ManagementOU下創(chuàng)立一個名叫atl-users的用戶組，將用戶AckermanPilaWscript.echo“Scriptendedsuccessfully“說明：顯示“腳本成功完畢”信息2、利用腳本中的循環(huán)功能實現(xiàn)批量創(chuàng)立用戶帳號SetobjRootDSEGetObject(“LDAP://rootDSE“)SetobjContainer=GetObject(“LDAP://cn=Users,“&_objRootDSE.Get(“defaultNamingContext“))Fori=1To1000SetobjUser=objContainer.Create(“User“,“cn=UserNo“&i)objUser.Put“sAMAccountName“,“UserNo“&iobjUser.SetInfoobjUser.SetPassword“i5A2sj*!“objUser.AccountDisabled=FALSEobjUser.SetInfoNextWScript.Echo“1000Userscreated.“說明：在當前域的UsersUserNo1UserNo10001000戶我的計算機不知道怎么回事，系統(tǒng)時間總是被改快1小時？ADPDCPDC仿真主控來把握。1ADPDC內計算機的時區(qū)設置是否正確。建立AD域，需要有什么樣的權限才行？限即可。2DC，需要該域的域治理員〔DomainAdmins〕權限。3、安裝子域的DC，或樹的DC，都涉及到林構造的轉變，需要林治理員〔EnterpriseAdmins〕權限才行。202303DC？032023AD〔參〕。但微軟的產(chǎn)品德外講究向前兼容，我們可以實現(xiàn)在202303DC03DNS，DCAD，DNS輸，都似乎沒有版本差異一樣。03計算機上安裝AD“Active〕上03/I386/adprep，具體第一步：adprep/forestprepadprep/domainprep2023ADADNTFSADdcpromoAD，將其提升為NTFS5.0ADsysvol2023NTFS分區(qū)。假設Cwinntwindows所在分區(qū)，承受FAT32分區(qū)，系統(tǒng)會自動查找下一個可用的NTFS分區(qū)來存放系統(tǒng)卷，如d:\sysvol。假設找不到NTFSADconvertFAT32D如下：1、開頭/運行：convertd:/fs:ntfs說明：這時并沒有真正開頭轉換，假設懊悔，可以到注冊表HLM\當前把握\把握會話治理\BootExecuteConvertd:/fs:ntfs。3FATNTFSADNetBIOSDNS域的完全有效域名FQDNmcsemcse名稱，并在網(wǎng)絡中檢查是否存在重名，需要等一會兒。mcs〔建議用戶不要修改此名2023NetBIOSDNS說明：NetBIOS名稱，只是為95/98/NT等老版本用戶通過“掃瞄效勞”或2023〔它們通過DNS定位域〕，其實NetBIOS名稱沖不沖突，都無所謂。這種沖突可能源自于網(wǎng)絡中假設已有一個域，名字叫做，DNSNetBIOSmcseNetBIOSmcsemcse0。安裝AD完成后，重啟登錄格外慢，甚至長達20分鐘之久。2023/03ServerAD慢，那就要重裝系統(tǒng)及ADAD，這樣不簡潔出問題。ADDNS，應在安裝前，將本機TCP/IPDNSADSRV_msdcs。03DNS在這里夾的層次構造有所變化，將_msdcs.域名夾提升了一級，直接放到DNS然后到計算機治理/NetLogonDNSSRV〔windows\system32\cacheDNS。DC安裝子域失敗。“由于以下緣由，操作失敗：ADxxx法運行指定的操作。”GCGC20232023GC得在同一臺計算機上?！膊閟eize〕DC，DC后，才可連入網(wǎng)絡，以保證域命名主控的林唯一性。修改用戶密碼需要幾分鐘，甚至更長的時間。臺DC承受到密碼變化的懇求，它必需通知PDC仿真主控。假設是PDC仿真主機失效，收到該懇求的DC必需經(jīng)過一段時間的查找后，確認真的找不到PDC仿真主PDC確信其已無法正常工作，可強制傳給〔查封seize〕域內的任意一臺DC。原來PDC正常卸載AD時的常見問題DC/AD1、卸載時會提示給的本地治理員設置