設置ad域用戶的登陸腳本
A. 如何利用限制AD用戶登陸
方法一:
點擊「開始->運行」並輸入「DSA.MSC」 ->打開「Active Directory 用戶和計算機」。
右鍵點擊需要進行設置的用戶->「屬性」->「帳戶」->「登陸到」->「下列計算機」。
添加指定的計算機。
假設我們只允許域用戶登錄自己的電腦,而不能登錄其它電腦。
域中可以限制AD 賬戶僅能在指定的時間指定的計算上登錄,是否可以針對域中的客戶端進行設定。
僅有指定的AD 賬戶可以登錄到此計算機?分析:gpedit.msc白名單法:「本地計算機」策略 -> 計算機配置 -> Windows 設置 -> 安全設置仿襪渣 -> 本地策略 -> 用戶權利指派 -> 在本地登錄去掉裡面所有的用戶,只填加你的用戶帳號(註:帳號可以是域用戶帳號)
這樣,這台電腦就只有填加的這個用戶能登錄了
方法二
如果你的電腦使用人比較多,但有一兩人比較不自覺,你不想讓他們用你的電腦,那看下面黑名單法:備悄「本地計算機」策略 -> 計算機配置 -> Windows 設置 -> 安全設置 -> 本地策略 -> 用戶權利指派 -> 拒絕本地登錄
效果和上面差不多,在黑名單上的人就不能使用你的電腦了附:運行>secpol.msc>本地策略>用戶許可權分配>允許在本地登陸
把Users 去掉,把你想登陸的帳號或組(本地 域都可以)加進去!
以上操作都在客戶端電腦進行! 域環境下我是在AD 組策略中修改的,當然客戶端修改也是可以的
方法三
客戶機本地管理員登陸該機.在策略>用戶權力指派>拒絕本地登陸>添加 如domain Users 組。
可以讓用戶在本機策略裡面的「用戶權力分配」,的本機登錄只保留administrator 的好核許可權。將用戶帳號添加到這個裡面就可以了。其他用戶就不可以登錄這台電腦了。域管理員是可以的。
英文版:運行gpedit.msc - Computer Configuration - Windows Settings - Security Settings - Local Policy-User Rights Assignment 里的 Log on locally 去掉 Users。添加需要的用戶
B. 請教 一個關於域控登陸腳本執行的問題.請解答
1域控制器上的內容是完全相同的,區別只是第一台域控制器(主域控制器)上擁有FSMO。2FSMO的英文全稱為.這些角色包括:★架構主機(Schemamaster)-架構主機角色是林范圍的角色。★域命名主機(Domainnamingmaster)-域命名主機角色是林范圍的角色,每個林一個。★RID主機(RIDmaster)-RID主機角色是域范圍的角色,每個域一個。此角色用於分配RID池,以便新的或現有的域控制器能夠創建用戶帳戶、計算機帳戶或安全組。★PDC模擬器(PDCemulator)-PDC模擬器角色是域范圍的角色,每個域一個。將資料庫更新發送到WindowsNT備份域控制器的域控制器需要具備這個角色。此外,擁有此角色的域控制器也是某些管理工具的目標,它還可以更新用戶帳戶密碼和計算機帳戶密碼。★結構主機(Infrastructuremaster)-結構主機角色是域范圍的角色,每個域一個。此角色供域控制器使用,用於成功運行adprep/forestprep命令,以及更新跨域引用的對象的SID屬性和可分辨名稱屬性。ActiveDirectory安裝向導(Dcpromo.exe)將這五種FSMO角色全部分配給林根域中的第一台域控制器.3FSMO也可以在不同域控制器之間切換,通過角色搶奪實現。4因此一個域中可以有任意多個域控制器,但只有一個擁有FSMO角色。
C. 如何在命令行下添加域用戶啟動腳本
1、「開始-運行-輸入gpedit.msc」,啟動組策略。在本地計算機策略的計算機配置下的windows設置中我們可以看到腳本(啟動/關閉)的選項。(雙擊關機-添加-瀏覽你自己的腳本就行了)在這里我們就可以隨意的添加啟動和關機腳本了。這樣當系統啟動後/關閉前都會首先自動執行我們設置好的啟動腳本。
2、當我們應用了啟動/關機腳本的時候,會在系統目錄下的system32\grouppolicy\machine\scripts目錄下生成一個scripts.ini的隱藏文件,他記錄的實際上是腳本調用信息,該文件格式如下:[startup]0cmdline=載入的啟動腳本名稱(bat或VBS等)
D. 求BAT腳本:在AD域中,客戶端自動判斷當前登錄用戶信息,自動映射到對於網路文件夾問題
我一般是在域伺服器上為用戶分組,並把部門的共享文件夾賦許可權給不同的組。
用戶的共享文件夾名與其賬戶名一樣,這樣就可以用%USERNAME%來代替用戶名了。
用戶的共享文件夾的共享名稱最好是隱藏的,這樣不會干擾其他用戶。
這樣就只需一個批處理,全部用戶使用了。
E. 如何設置域用戶登錄文件
參頌橋考這殲櫻凱個吧氏喚, http://bbs.winos.cn/viewthread.php?tid=58997
F. 關於設置域用戶"登錄腳本"的方法
在域伺服器上的SYSVOL加入*.bat文件,然後在AD里給用戶配置即可
G. ad域怎樣用DOS添加用戶
現在說下DSADD批量創建用戶的方法,首先在使用DSADD之前先講下LDAP協議,目錄服務使用LDAP這個公用協議來查找和定位對象,LDAP可以描述對象在那個域,對象在那個OU,對象自己的名字。通常它的語法為「OU=OU對象,CN=非域非OU對象,DC=域對象」。比如:CN=Solo,OU=IT,OU=desktop,DC=china,DC=com.
接下來我們來看一看DSADD的語法:
dsadd computer - 將計算機添加到目錄
dsadd contact - 將聯系人添加到目錄
dsadd group - 將組添加到目錄。
dsadd ou - 將組織單位添加到目錄
dsadd user - 將用戶添加到目錄。
語法
dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd {Password | *}] [-desc Description] [-memberof Group;...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]
參數
UserDN
必需。指定要添加的用戶的可分辨名稱。如果省略可分辨名稱,則將從標准輸入 (stdin) 中獲取該名稱。
-samid SAMName
指定 SAM 名稱作為該用戶的唯一 SAM 帳戶名(例如,Linda)。如果未指定,dsadd 將嘗試使用 UserDN 的公用名 (CN) 值的至多前 20 個字元創建 SAM 帳戶名。
-upn UPN
指定要添加的用戶的用戶主體名稱(例如 )。
-fn FirstName
指定要添加的用戶的名字。
-mi Initial
指定要添加的用戶的中間名首字母。
-ln LastName
指定要添加的用戶的姓氏。
-display DisplayName
指定要添加的用戶的顯示名。
-empid EmployeeID
指定要添加的用戶的雇員 ID。
-pwd {Password | *}
指定將用戶密碼設置為 Password 或 *。如果設置為 *,將提示您輸入用戶密碼。
-desc Description
指定要添加的用戶的描述。
-memberof GroupDN ...
指定希望用戶加入的組的可分辨名稱。
-office Office
指定要添加的用戶的辦公室位置。
-tel PhoneNumber
指定要添加的用戶的電話號碼。
-email Email
指定要添加的用戶的電子郵件地址。
-hometel HomePhoneNumber
指定要添加的用戶的家庭電話號碼。
-pager PagerNumber
指定要添加的用戶的尋呼機號碼。
-mobile CellPhoneNumber
指定要添加的用戶的行動電話號碼。
-fax FaxNumber
指定要添加的用戶的傳真號碼。
-iptel IPPhoneNumber
指定要添加的用戶的 IP 電話號碼。
-webpg WebPage
指定要添加的用戶的 Web 頁的 URL。
-title Title
指定要添加的用戶的稱謂。
-dept Department
指定要添加的用戶的部門。
-company Company
指定要添加的用戶的公司信息。
-mgr ManagerDN
指定要添加的用戶的管理器的可分辨名稱。
-hmdir HomeDirectory
指定要添加的用戶的主目錄位置。如果 HomeDirectory 是作為通用命名約定 (UNC) 路徑給出,則必須使用 -hmdrv 參數指定要映射到此路徑的驅動器號。
-hmdrv DriveLetter:
指定要添加的用戶的主目錄驅動器號(例如,E:)。
-profile ProfilePath
指定要添加的用戶的配置文件路徑。
-loscr ScriptPath
指定要添加的用戶的登錄腳本路徑。
-mustchpwd {yes | no}
指定用戶是否必須在下次登錄時更改其密碼(yes 必須更改,no 不必更改)。默認情況下,用戶不必更改密碼 (no)。
-canchpwd {yes | no}
指定用戶是否可以更改其密碼(yes 可以更改,no 根本不能更改)。默認情況下,允許用戶更改密碼 (yes)。如果 -mustchpwd 參數的值為 yes,則該參數的值必須為 yes。
-reversiblepwd {yes | no}
指定是否應使用可逆加密來存儲用戶密碼(yes 表示應該,no 表示不應該)。默認情況下,用戶不能使用可逆加密 (no)。
-pwdneverexpires {yes | no}
指定用戶密碼是否永不過期(yes 表示是,no 表示不是)。默認情況下,用戶密碼會過期 (no)。
-acctexpires NumberOfDays
指定從今天算起用戶帳戶將到期的天數。0 值表示將今天的結束時間設置為到期時間。正值表示將將來的時間設置為到期時間。負值表示將以前的時間設置為到期時間。值 never 將帳戶設置為永不過期。例如,0 值表示該帳戶在今天結束時過期。值 -5 表示該帳戶 5 天前就已經到期,並將以前的時間設置為到期日期。值 5 表示該帳戶將在 5 天後到期。
-disabled {yes | no}
指定是否禁用用戶帳戶登錄(yes 禁用登錄,no 允許登錄)。默認情況下,啟用用戶帳戶登錄 (no)。
{-s Server | -d Domain}
連接到指定的遠程伺服器或域。默認情況下,計算機與登錄域中的域控制器相連接。
-u UserName
指定用戶要用於登錄到遠程伺服器的用戶名。默認情況下,-u 使用用戶登錄時的用戶名。您可以使用下列任一格式指定用戶名:
用戶名(例如 Linda)
域\用戶名(例如 widgets\Linda)
用戶主體名稱 (UPN)(例如 )
-p {Password | *}
指定使用密碼或 * 登錄到遠程伺服器。如果鍵入 *,將提示您輸入密碼。
-q
將所有輸出降低為標准輸出(安靜模式)。
Dsadd user的語法內容比較多大家可以參考自己的實際情況去跟相應的參數。
eg:添加工號test001到printer的OU,顯示名及說明都是Solo,並添加ippd-printer群組,密碼為China123,強制下次登錄修改密碼;
dsadd user "cn=test001,ou=printer,ou=desktop,dc=ecmms,dc=foxconn" -upn -desc Solo -display Solo -memberof "cn=ippdprinter,ou=user,ou=ippd,ou=rd,ou=ecmms,dc=ecmms,dc=foxconn" -pwd Foxconn123 -mustchpwd yes
H. 如何將登錄腳本分配給本地用戶的配置文件
概要
本文介紹如何將一個登錄腳本分配給基於 Windows XP 的工作站或基於 Windows 的伺服器上的一個本地用戶帳戶的配置文件。此登錄腳本在該本地用戶本地登錄到計算機時運行,在該用戶登錄到域時不運行。
更多信息
為完成此過程,您必須作為管理員或管理員組的一名成員進行登錄。如果您的計算機連接到了網路,網路策略設置也會影響您完成此過程的能力。
如要將登錄腳本分配給用戶配置文件,請按照下列步驟操作:
1、單擊開始,然後單擊控制面板。
2、雙擊管理工具,然後雙擊計算機管理。
3、在控制台樹中,展開「本地用戶和組」,然後單擊用戶。
4、單擊您想使用的用戶帳戶。
5、單擊操作,然後單擊屬性。
6、單擊配置文件選項卡,然後在「登錄腳本」下鍵入該腳本的路徑和文件名稱。
7、單擊應用,然後單擊確定。
以下信息可以幫助您正確地將文件夾設置為共享:
本地登錄腳本的默認位置是 %SystemRoot%\System32\Repl\Import\Scripts 文件夾。您必須通過使用共享名「netlogon」將此文件夾設置為共享文件夾。
如果您不想在默認位置創建「netlogon」共享,請將該腳本放置在用戶登錄期間能夠訪問到的任何一個文件夾中。我們建議共享此文件夾。
如果登錄腳本存儲在域控制器登錄腳本路徑 (Sysvol\DomainName\Scripts) 的一個子文件夾中,請把相對路徑置於此文件名的前面,例如,Clerks.bat 或者 Our_users\user_1.cmd
I. ad域單點登錄哪種方式可以實現實時注銷
D域伺服器配置組策略,載入sso_setup.exe腳本(登錄腳本),當用戶以域賬號正常登錄AD域伺服器時,獲取到相應組策略,執行sso_setup.exe腳本向網關發送認證登錄報文。當域用戶從域中注銷時,執行sso_setup.exe腳本向網關發送注銷報文,AD域伺服器首次配置完成後,整個認證登錄、注銷過程都不需要用戶參與。
J. Windows AD域通過GPO設置客戶端電腦本地管理員賬號密
0x01 介紹
在實際生產環境中,由於Windows AD域的限制,桌面對客戶端電腦進行軟體安裝或其他系統配置時,均需要管理員許可權,而網內客戶端眾多,不同客戶端電腦密碼可能都是不同的,也經常忘記本地管理員密碼,所以這時候就需要批量變更客戶端的本地管理員密碼。
0x02 環境介紹
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已經將客戶端加入域
0x03 操作步驟
1. 首先在DC上用於與計算機控制台,新建一個計算機OU,便於管理,將剛加入域的計算機移動到這個OU中。
2. 在DC上打開組策略管理工具,新建一條策略,命名自己能看懂即可
3. 並對此策略進行設置,依次展開 計算機配置— 策略 — Windows設置 —安全設置 — 安全選項 — 賬戶:重命名系統管理員賬戶 將administrator用戶重命名其他,此處修改為Local_admin。
4. 然後再回到Windows設置 — 腳本(啟動/關機),新建一條啟動腳本。
#啟動腳本內容:意思為新建administrator用戶,密碼設置為passwd1!,啟用此賬戶
net user administrator passwd1! /active:yes
將腳本內容復制到txt,另存為cmd後綴或者bat後綴文檔,然後點開啟動屬性,點開顯示文件,出來路徑,將腳本文件粘貼到路徑中,再點開編輯瀏覽到剛才路徑,選中寫好的開機腳本文件。
另外,有時候還有特殊需求,比如域中客戶端用戶由於一些特殊原因需要本地管理員許可權,有這個需求的時候又不可能每次到跑到客戶端操作電腦,因 此可以使用受限制的群組,設定,當域中某些特定用戶需要有本機管理員許可權的時候就可以直接在AD伺服器上操作即可。
5. 回到用戶和計算機管理工具,在Users中新建一個組,命名為Local-admins並將張三加入到此用戶組測試。
6. 再回到組策略管理工具中,此處依舊掛載在這條GPO策略上,找到計算機配置 — Windows設置 — 安全設置 — 受限制的組 新建Administrators 組,並將默認需要添加到客戶端本地管理員的用戶與用戶組添加進來。
7. 確定後關閉這條GPO編輯頁,回到組策略管理工具,找到之前新建的yeah-Computers計算機組的OU,右鍵鏈接到現有GPO找到剛新建的GPO,鏈接確定。
8. 此時,到DC伺服器中強制刷新組策略。
#強制刷新組策略命令
gpupdate /force
9. 找一台客戶端驗證策略是否生效,以本地管理員用戶Local_admin登錄,查看策略是否生效,因為應用的是計算機策略,只能在本地管理員賬號下看到策略是否應用。
#查看當前用戶計算生效gpo
gpresult/r
#如發現策略沒應用,可多執行幾次強制刷新策略命令
gpupdate /force
10. 可以看到策略已經應用,我們再切換用戶,以張三登錄客戶端,右鍵點擊計算機,計算機管理–本地用戶和組–組–administrators,可以發現當前已經有我們設定的用戶組位於本地管理組中了。
到此已經完成需求的所有操作,即通過GPO統一設置域內計算機本地管理員賬戶重命名為Local_admin,並在AD上新建一個Local-Admins用戶組,將這個組加入到客戶端本地管理員組中,後續需要用到本地管理員的域用戶只要在AD上將用戶加入到這個組即擁有本地管理員許可權