关于AD里面用户权限问题 - Windows - 51CTO技术论坛

社区导航: 专家门诊网络技术操作系统数据库程序设计系统应用考试认证 CIO及信息化站长交流综合交流下载基地 51CTO产品服务

【设为首页 | 收藏本站】

51CTO技术论坛» Windows » 关于AD里面用户权限问题 [ 打印] [ 订阅] [ 收藏] [ 推荐给朋友] [ 本帖文本页]

论坛跳转:

有 118 人正在关注专家在线(【第77期专家门诊】剖析网络扫描原理、常用工具、防护措施及实践经验)，您不想去看看吗？离专家在线结束还有:00时 00分00秒

该主题悬赏的20无忧币已被全部领完

wen360
技术员

帖子 157
精华 0
无忧币 325
积分 479
阅读权限 30
来自 (保密)

注册日期 2006-11-21

最后登录 2008-7-10

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-12 11:15　　标题：关于AD里面用户权限问题
＜上一帖 | 下一帖＞

请教一下，可不可以把一个用户只能改 1.计算机名字 2.进域退域啊这2个权限

网络工程师到底该不该去考CCIE认证？

2007-10-12 11:15

1楼

[ 顶部 ]

龍騰嵙技

助理工程师

帖子 1174
精华 4
无忧币 2987
积分 1719
阅读权限 40
来自 (保密)

注册日期 2007-9-19

最后登录 2008-7-18

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-12 11:31　　标题：回复 #1 wen360 的帖子

参考答案如下：

一、认识Windows 的域
本小节重点从理论上阐述域的概念、作用和Windows 中域的产生。 51CTO技术论坛c8meB7]]KG
一台Windows 计算机，它要么隶属于工作组，要么隶属于域。所以说到域，我们就不得不提一下工作组，工作组是MS 的概念，一般的普遍称谓是对等网。工作组通常是一个由不多于10 台计算机组成的逻辑集合，如果要管理更多的计算机，MS 推荐你使用域的模式进行集中管理，这样的管理更有效。你可以使用域、活动目录、组策略等等各种功能，使你网络管理的工作量达到最小。当然这里的10 台只是一个参考值，11 台甚至20 台，如果你不想进行集中的管理，那么你仍然可以使用工作组模式。工作组的特点就是实现简单，不需要域控制器DC，每台计算机自己管理自己，适用于距离很近的有限数目的计算机。另外工作组名并没有太多的实际意义，只是在网上邻居的列表中实现一个分组而已；再就是对于“计算机浏览服务”，每一个工作组中，会自动推选出一个主浏览器，负责维护本工作组所有计算机的NetBIOS 名称列表。用户可以使用默认的workgroup，也可以任意起个名字，同一工作组或不同工作组在访问时也没有什么分别。域（Domain）是一个共用“目录服务数据库”的计算机和用户的集合，实现起来要复杂一些，至少需要一台计算机安装NT/2000/03 Server 版本使其充当DC，来实现集中式的管理。若考虑到容错的话，至少需要两台。对于NT4 域就是一台PDC（具有唯一性），一至多台BDC，对于2000/03 域，已经没有PDC 和BDC 的概念，要容错就需要两至多台DC。域是逻辑分组，与网络的物理拓扑无关，可以很小，比如只有一台DC；也可以很大，包括遍布世界各地的计算机，比如大型跨国公司网络上的域（当然实际中他们多采用多域结构，还可以利用AD 站点来优化AD 复制）。这个“目录服务数据库”，在NT4 时，保存用户帐号名称和密码等安全安全信息，以及安全规则设置，又被称作安全帐号管理（SAM）数据库，简称SAM 库。在非DC 上的本地的SAM库与DC 上域所用的SAM 库类似，只不过对于NT4 域的SAM 库文件，保存有整个域的用户和计算机，用“域用户管理器”和“服务器管理器”来管理，本地的SAM 库文件，保存有本地机的用户，由“用户管理器”来管理。 bbs.51cto.comgAd,igg(S
从2000 开始，MS 引入了活动目录AD，DC 通过AD 来提供目录的服务，例如它负责维护AD 数据库、审核用户的账户和密码是否正确、将AD 数据库复制到其它的DC 等。AD 库的核心文件就是winnt\ntds\ntds.dit 文件。注意组策略的具体设置值，并不存在这个文件中，而是保存在winnt\sysvol\sysvol 这个共享夹下，用于向其它DC 复制，传播给域成员，来生效。但需要说明的是：2000/XP/03 的非DC 域成员计算机上仍使用和NT4 一样的SAM 库文件来保存本地帐号。正是由于所有域成员计算机和域用户都共用这个域的“目录服务数据库”，域管理员就可以基于域的“目录服务数据库”来进行集中管理、共享资源，如用户、组、计算机帐号、权限设置、组策略设置等等。目录服务为管理员提供从网络上任何一个计算机上查看和管理用户和网络资源的能力。目录服务也为用户提供唯一的用户名和密码，用户只需一次登录，即可访问本域或有信任关系的其它域上的所有资源（当然用户得有权限才行），而不需要多次提供用户
名和密码登录。
qBq7E{9Yx
e&`
W1h
二、构建Windows 2000 的域
这个过程简单说就是：选一台2000S/AS 计算机，运行AD 安装向导，在其上安装活动目录，使其成为DC。然后将其它的计算机加入到这个域。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离:P@6h
A7AOo{
说明：至于是用2000S，还是用2000AS，对于一般的用户差别不大。2000S 支持最多4 个
CPU，最大4G 内存；2000AS 支持最多8 个CPU，最大内存8G，还支持群集功能。但这些我们一般用户都用不到，所以对于普通用户来说，选择S 或AS 都是一样的。 u-J:l0B
lX4PS6o d
1、系统要求
*一台2000S 或2000AS 独立或成员服务器，2000DS 只有OEM 版，随厂商硬件发售，平常我们是见不到的。 9f#M4Rd3m(j
* 其上必须有一个NTFS 5.0 分区，用来保存AD 的sysvol 文件夹。注意：2000 的NTFS 分区是NTFS 5.0，NT4 的是NTFS 4.0，NT4 必须安装SP4 后，才可访问2000 的NTFS 分区。
* 网络上必须有可用的DNS 服务器，并且必须支持SRV 记录（Service Locaion Resource Record）和动态更新功能。如：MS Win2000S DNS，UNIX 的DNS BIND 8.12 及以上版本，使用已有的NT4 DNS 是不行的。
说明： 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离W7}`(ie;B/U
构建NT4 域并不需要DNS 的支持，但2000 域必须有DNS，且满足上述要求。SRV 记录的作用是指明域和站点（site）的DC、PDC 仿真、GC 是谁。动态更新也是2000DNS的新特色，管理员不必再象NT4 DNS 那样手动为计算机创建或修改相应记录，在域成员计算机
重启，或改名、改IP 时依赖周期性更新，自动动态实现。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离EQg7N}5`
如果没有DNS 服务器的话，也不一定非得预装DNS，可以在安装AD 过程中，选择在本机上安装2000 DNS。而且推荐初学者使用这种方法，因为系统会根据你提供的FQDN 域名，自动创建好DNS 区域（zone），并配置成AD 集成区域，仅安全动态更新。如果需要向外连或反向 bbs.51cto.com/sDn@5G:t
解析，用户只需配置上转发器和反向区域即可，不需要的话，直接就可以用了。如果决定在安装AD 过程中在本机安装DNS，应在安装前，将本机TCP/IP 配置/DNS 服务器指向自己，这样在安装AD 完成后重启时，SRV 记录将被自动注册到DNS 服务器的区域当中
去的，生成四个以下划线开头的文件夹，如_msdcs，03DNS 在这里夹的层次结构有所变化，但本质没变。当然如果忘了指，也可以后补上，只不过需要多重启一次。 51CTO技术论坛H[@ow*CDSN&e
2、安装步骤、注意事项、常见问题、经验技巧
（1）启动AD 安装向导
方法一：开始/程序/管理工具/配置服务器/ Active Directory /启动AD 安装向导。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离+s(td8g }B^
方法二：熟练后一般常用，开始/运行：dcpromo。 #bq"TPu:V-FmS
（2）安装选项：指定服务器角色
三个界面，实现四种组合： p1y+T$pn(}(y
新域 8uU6?+@\[
附加DC
新树 Zu7gW
U
子域 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离CY,r Vzj-L3y9K
新林 q!X`+H7S.v5TY
加入林 &`goSh5kE
即： 6{ T.k[W`"u1Y
* 新域—新树—新林
* 附加DC
* 新域—子域
* 新域—新树—加入林 rP/|veeT
全新安装：新域—新树—新林，这样来建立第一个域中的第一台DC。 ^-[
UhH,v5wmFY
2000 的多域模型采用层次结构，不同于NT4 域的平面结构，NT4 的多个域之间只是通过信任关系关联起来。接下来以下图为例，对2000 的域、树、林进行简要说明：
ms.com 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离 a9R9wM[y
/ \ 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离2I0F7vls;s
trainning.mcse.com lotus.com
这整个是一个林，ms.com 为林根域，有两个树，一个由ms.com 和它的子域trainning.ms.com组成，另一个由lotus.com 单独组成，林中有ms.com，trainning.ms.com，lotus.com 三个域。相关
概念如下： 51CTO技术论坛Ca%tCUNAz'k
林根域：在林中第一个建立的域，如：ms.com
树：共用连续的命名空间的多层域，如ms.com 和trainning.ms.com
树根域：树最高层的域，名最短。如：ms.com
说明： d&E1w+}'Rjs?+\
2000 可采用多层域结构，但最有效、最简便的管理方法仍是单域，所以大家在实际工作中要记住一个原则“能用单域解决，就不用多域”。再者2000AD 是针对大中型网络设计的，而我们一般管理的网络也就几百个节点，属于小型网络，一般来讲用一个单域结构就够用了，不要人为将管理环境复杂化。在实验中，我们甚至可以一个林中只有一个树，一个树中只有一个域，一个域里只有一台DC。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离%HxwX etU%d
另外前面已经说过了，域是逻辑分组，与网络的物理拓扑无关，不要总试图规划一个子网
一个域。当然实际中多个子网一个域，子网中若有95/98/NT 老计算机，无法利用DNS 直接登录到域，可以安装一台WINS 服务器解决问题。将所有计算机，包括WINS 服务器本身的TCP/IP
配置中的WINS 服务器指向此WINS 服务器即可。
（3）安装选项：新域的DNS 全名
说明：
在这里应该输入新域的完全有效域名FQDN，形如：mcse.com。系统会打算以mcse 作为此 51CTO技术论坛"m4[d"j2e
域的NetBIOS 名称，并在网络中检查是否存在重名，需要等一会儿。不重名则设为mcse，建议用户不要修改此名；重名则设为mcse0，建议用户最好换个名字。这也就是说，网络中如果已有一个域，名字叫做mcse.org，也会出现NetBIOS 名称冲突的问题。 (x(Jc^)F*Lg
（4）安装选项：为新域指定一个NetBIOS 名称 51CTO技术论坛ujl/Itff
说明：
NetBIOS 名称，只是为95/98/NT 等老版本用户通过“浏览服务”或WINS 来识别这个域用的，如果确信域用户都是2000 及以上系统（它们通过DNS 定位域），其实NetBIOS 名称冲不冲突，都无所谓。
（5）安装选项：指定AD 库和日志文件位置
说明： 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1QXK0MeDK
如果仅是实验，用默认值即可。若是在真正的服务器上，都会有多块物理硬盘，最好分开存放，以提高性能。另外需要强调的是：AD 库和日志文件并不要求非得NTFS 5.0 分区，很多2000/03 书在此语焉不详。 ,bEh5wz
（6）安装选项：指定sysvol 文件夹位置
说明：
是sysvol 这个文件夹要求必须得NTFS 5.0 分区。在它当中存储有DC 间AD 要同步的内容，包括组策略的设置值。
（7）这时网络中若无可用DNS 服务器，就会出现提示：找不到DNS 服务器，需要考虑在本机上安装一个DNS 服务器。可先不必理会，点“确定”，接下来选“是，在本机上安装并配置DNS”。初学者在此不要选“否，我将自己安装并配置DNS”。
（8）几分后，安装完成，需要重启。 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离?S6_ G I3k
说明：
若硬盘或网络上没有可用的2000S 源文件，会提示要2000S 光盘。
最好用新装2000S 来安装AD，这样不容易出问题。如果你是用一个台运行了一段时间的2000S/AS，来安装AD，使其成为DC。重启及登录时可能会很慢（有时可能长达20 分钟），这是较常见的现象。一般2-3 次以后就好了，如果多次重启后还那样，那就要重装系统及AD 了。
3、域成员计算机
（1）将计算机加入到域 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离1YMw?4\8GSX
首先将客户机TCP/IP 配置中所配的DNS 服务器，指向DC 所用的DNS 服务器。然后我的
电脑/右键/属性/网络标识/属性/隶属于，选择域：输入域名，确定。提示输入用户口和口令，确定后提示重启。 51CTO技术论坛b9_m
C.y BcV(b?
说明：
加入域时，如果输入的域名为FQDN 格式，形如mcse.com，必须利用DNS 中的SRV 记录 EO)l[s6N7b
来找到DC，如果客户机的DNS 指的不对，就无法加入到域。
加入域时，如果输入的域名为NetBIOS 格式，如mcse，也可以利用浏览服务（广播方式）
直接找到DC，但它不是一个完善的服务，有时就会不好使。
这样虽然也可把计算机加入到域，而且在等较长时间后也可以登录到域上去，但不推荐。因为客户机的DNS 指的不对，则它无法利用2000DNS 的动态更新动能，也就是说无法在DNS区域中自动生成关于这台计算机的A 记录和PTR 记录。那么同一域另一子网的2000 及以上计算机就无法利用DNS 找到它，这本应是可以的。 bbs.51cto.comO;a8o!{1mAn
再者，管理员无法在客户机上利用域的管理工具来远程管理域，因为这些管理工具必须使用DNS，出错提示：找不到域命名信息（有时客户机的DNS Client 服务有问题也会出现上述提 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离(E~*S0WIg
f9e8N
示，重启服务即可）。这种情况下，要进行远程管理，就只能利用TS（终端服务）基于IP 来连了。 ZF7GN$Z1@EOK
当然用户也可以手动配置WINS 或Lmhosts 文件，来查找DC。这主要用于95/98/NT 老版本计算机跨子网（路由）查找DC 或加入域，因为这些老版本计算机无法利用DNS 来查找DC，浏览服务又是广播方式，只能在本网段进行，因为广播信息是无法通过路由器的，RFC1542 标
准的路由器，可设置成允许DHCP 的广播数据通过，仅是一个特例。需要说明的是：95/98 可以使用域用户帐号登录到域，但并不能加入到域，在AD 中也没有计算机帐号，而NT 可以。计算机加入域成功后，未重启，即已在AD 用户和计算机/computer 容器下生成计算机帐号 ?\p@(Yr;yN.BQ
了，实验中查看时，需要手动刷新一下。而在DNS 中记录必须在计算机重启后（不必登录）或15 分钟后才能自动注册或更新到DNS 区域。但若我们平常修改一个计算机的名字或IP，要马上更新到DNS 区域，倒不一定非得重启，可利用ipconfig /registerdns 命令就行。明白以上讨论可用于排错，不一定非得重启登录后才知道结果。
加入到NT4 域时，需要有管理特权才行；从Windows 2000 开始，微软作了改进：在Windows2000/03 域中，默认Authenticated Users 即可在域中最多创建 10 个计算机帐户。Authenticated Users
指被验证的用户组，也就是说任何经过身份验证的普通域用户都可以加最多10 台计算机到域。
常见问题：在实际中用普通域帐号加计算机到域，有时会不好使，原因是同名计算机帐号（极 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离#|({
T)t:VZL}
可能是它自己已经失效的计算机帐号）已存在而无权覆盖，这时就得用域管理员帐号了。
（2）在加入域的计算机上，用域用户帐号登录到域。
说明： bbs.51cto.comB3F{c}
在域中的非DC 计算机上，可以选择登录到域或本机，这是因为它同时还拥有本地用户帐号。而在DC 上只能选择登录到域了，因为整个域都是DC 的，它没有必要再保留本地帐号了。 51CTO技术论坛
H.@V7z fP&fZ
2000 是个红叉，03 干脆就没有了。安装AD 时，会自动删除本地帐号，即使将来删除AD，也无法将本地帐号复原，而是重新 51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离/oO'G*^5t
生成的。这一点一定要注意：如果本地有EFS 加密的文件，一定要将证书导出或将文件解密后，再在这台计算机上做AD 安装实验。
在2000 及以上计算机上登录到域的过程是这样的：域成员计算机根据本机DNS 配置去找DNS 服务器，DNS 根据SRV 记录告诉它DC 是谁，客户机联系DC，验证后登录。
（3）深入讨论：
如果是在林中跨域登录，是首先查询DNS 服务器，问林的GC 是谁。
前面我们在步骤（1）中强调“加入域前，首先将客户机TCP/IP 配置中所配的DNS 服务器，指向DC 所用的DNS 服务器。”其实如果域中有多个DNS 服务器，也可以指向其它的DNS 服务器，当然这些DNS 服务器之间得有区域复制关系。这样做的目的恰恰是：大中型网络为了平衡DNS 负载。

【失败=成功提问的智慧（1）

2007-10-12 11:31

2楼

[ 顶部 ]

yyl4808

技术员

帖子 275
精华 0
无忧币 480
积分 428
阅读权限 30
来自 (保密)

注册日期 2007-9-5

最后登录 2008-7-4

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-12 12:39　

1搂发的答非所问!!

2007-10-12 12:39

3楼

[ 顶部 ]

zbj268

技术员

帖子 244
精华 0
无忧币 331
积分 313
阅读权限 30
来自 (保密)

注册日期 2007-3-17

最后登录 2008-7-10

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-12 13:47　

估计是不可能。第一条姑且不论，单说第二条，进域退域那是需要管理员帐户和密码的，这个对于一般用户是保密的。所以行不通。再说干什么加入域了还退出来呀。你的工作环境到底是域环境还是工作组呀。

网络工程师到底该不该去考CCIE认证？

2007-10-12 13:47

4楼

[ 顶部 ]

newsfans

新新人类

帖子 13
精华 0
无忧币 1
积分 13
阅读权限 20

注册日期 2007-10-12

最后登录 2008-7-2

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-12 16:01　

貌似只要有创建计算机账户的权限就可以.

网络工程师到底该不该去考CCIE认证？

2007-10-12 16:01

5楼

[ 顶部 ]

xiaohuibin0541 性别:男

助理工程师

帖子 281
精华 1
无忧币 2362
积分 1407
阅读权限 40
来自 (保密)

注册日期 2006-3-14

最后登录 2008-7-3

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-12 16:37　

写脚本看能不能够实现!!!

网络工程师到底该不该去考CCIE认证？

2007-10-12 16:37

6楼

[ 顶部 ]

blacklucifer 性别:男

新新人类

帖子 113
精华 0
无忧币 335
积分 113
阅读权限 20

注册日期 2007-8-22

最后登录 2008-7-15

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-12 17:00　

1、Domain Users本来就有将计算机加入域的权限；计算机加入域和退出域只需要用户在计算机有本地管理员权限；l5?'Ld9rR
2、将计算机改名，需要用户有计算机本地管理员权限，以及对Computers对象的Modify权限。

2007-10-12 17:00

7楼

[ 顶部 ]

wen360
技术员

帖子 157
精华 0
无忧币 325
积分 479
阅读权限 30
来自 (保密)

注册日期 2006-11-21

最后登录 2008-7-10

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-12 21:35　

QUOTE:

原帖由 blacklucifer 于 2007-10-12 17:00 发表
1、Domain Users本来就有将计算机加入域的权限；计算机加入域和退出域只需要用户在计算机有本地管理员权限；51CTO技术论坛:Kz'R-SG
I
2、将计算机改名，需要用户有计算机本地管理员权限，以及对Computers对象的Modify权限。

那具体是那一个的组啊？

网络工程师到底该不该去考CCIE认证？

2007-10-12 21:35

8楼

[ 顶部 ]

blacklucifer 性别:男

新新人类

帖子 113
精华 0
无忧币 335
积分 113
阅读权限 20

注册日期 2007-8-22

最后登录 2008-7-15

离线

[查看资料] [发短消息] [Blog]

发表于:2007-10-17 16:13　

这个没有具体的组，必须使用委派来做。51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离(A$YUGy'adm
组的权限太大。

2007-10-17 16:13

9楼

[ 顶部 ]

waring_id

技术员

帖子 282
精华 0
无忧币 3069
积分 273
阅读权限 30

注册日期 2006-11-6

最后登录 2008-7-22

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-18 17:19　

加入和退出域可以用这个组：　account operators51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离s^Mg(y [K
domain users的加入权限是有限制的。

2007-10-18 17:19

10楼

[ 顶部 ]

lucas

技术员

帖子 329
精华 0
无忧币 775
积分 377
阅读权限 30
来自 (保密)

注册日期 2007-7-9

最后登录 2008-3-13

离线

[查看资料] [发短消息] [Blog]

[个人主页]

发表于:2007-10-19 19:55　

domain user和local admin都是没有权限加域的，因为加域权限只有对域有管理权才可以。
bbs.51cto.com@P~xFC5pTA
斑竹的回答更是让人晕倒，请不要老是网上搜个文章帖过来。bbs.51cto.com0?-U7V:qNr5E
51CTO|计算机|网络|信息|技术|安全|路由器|网管|Windows|Vista|数据库|网站|开发|下载|灌水|零距离O.A%t6IF
楼主你改计算机名字是在AD改，还是local？如果是改AD里的计算机名字的话，可以通过在OU上设置委派，加域权限你可以用楼上说的account operators试试。

【每日必读】头条新闻大扫荡

2007-10-19 19:55

11楼

[ 顶部 ]

龍騰嵙技

助理工程师