设置ad域用户的登陆脚本
A. 如何利用限制AD用户登陆
方法一:
点击“开始->运行”并输入“DSA.MSC” ->打开“Active Directory 用户和计算机”。
右键点击需要进行设置的用户->“属性”->“帐户”->“登陆到”->“下列计算机”。
添加指定的计算机。
假设我们只允许域用户登录自己的电脑,而不能登录其它电脑。
域中可以限制AD 账户仅能在指定的时间指定的计算上登录,是否可以针对域中的客户端进行设定。
仅有指定的AD 账户可以登录到此计算机?分析:gpedit.msc白名单法:“本地计算机”策略 -> 计算机配置 -> Windows 设置 -> 安全设置仿袜渣 -> 本地策略 -> 用户权利指派 -> 在本地登录去掉里面所有的用户,只填加你的用户帐号(注:帐号可以是域用户帐号)
这样,这台电脑就只有填加的这个用户能登录了
方法二
如果你的电脑使用人比较多,但有一两人比较不自觉,你不想让他们用你的电脑,那看下面黑名单法:备悄“本地计算机”策略 -> 计算机配置 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权利指派 -> 拒绝本地登录
效果和上面差不多,在黑名单上的人就不能使用你的电脑了附:运行>secpol.msc>本地策略>用户权限分配>允许在本地登陆
把Users 去掉,把你想登陆的帐号或组(本地 域都可以)加进去!
以上操作都在客户端电脑进行! 域环境下我是在AD 组策略中修改的,当然客户端修改也是可以的
方法三
客户机本地管理员登陆该机.在策略>用户权力指派>拒绝本地登陆>添加 如domain Users 组。
可以让用户在本机策略里面的“用户权力分配”,的本机登录只保留administrator 的好核权限。将用户帐号添加到这个里面就可以了。其他用户就不可以登录这台电脑了。域管理员是可以的。
英文版:运行gpedit.msc - Computer Configuration - Windows Settings - Security Settings - Local Policy-User Rights Assignment 里的 Log on locally 去掉 Users。添加需要的用户
B. 请教 一个关于域控登陆脚本执行的问题.请解答
1域控制器上的内容是完全相同的,区别只是第一台域控制器(主域控制器)上拥有FSMO。2FSMO的英文全称为.这些角色包括:★架构主机(Schemamaster)-架构主机角色是林范围的角色。★域命名主机(Domainnamingmaster)-域命名主机角色是林范围的角色,每个林一个。★RID主机(RIDmaster)-RID主机角色是域范围的角色,每个域一个。此角色用于分配RID池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。★PDC模拟器(PDCemulator)-PDC模拟器角色是域范围的角色,每个域一个。将数据库更新发送到WindowsNT备份域控制器的域控制器需要具备这个角色。此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。★结构主机(Infrastructuremaster)-结构主机角色是域范围的角色,每个域一个。此角色供域控制器使用,用于成功运行adprep/forestprep命令,以及更新跨域引用的对象的SID属性和可分辨名称属性。ActiveDirectory安装向导(Dcpromo.exe)将这五种FSMO角色全部分配给林根域中的第一台域控制器.3FSMO也可以在不同域控制器之间切换,通过角色抢夺实现。4因此一个域中可以有任意多个域控制器,但只有一个拥有FSMO角色。
C. 如何在命令行下添加域用户启动脚本
1、“开始-运行-输入gpedit.msc”,启动组策略。在本地计算机策略的计算机配置下的windows设置中我们可以看到脚本(启动/关闭)的选项。(双击关机-添加-浏览你自己的脚本就行了)在这里我们就可以随意的添加启动和关机脚本了。这样当系统启动后/关闭前都会首先自动执行我们设置好的启动脚本。
2、当我们应用了启动/关机脚本的时候,会在系统目录下的system32\grouppolicy\machine\scripts目录下生成一个scripts.ini的隐藏文件,他记录的实际上是脚本调用信息,该文件格式如下:[startup]0cmdline=加载的启动脚本名称(bat或VBS等)
D. 求BAT脚本:在AD域中,客户端自动判断当前登录用户信息,自动映射到对于网络文件夹问题
我一般是在域服务器上为用户分组,并把部门的共享文件夹赋权限给不同的组。
用户的共享文件夹名与其账户名一样,这样就可以用%USERNAME%来代替用户名了。
用户的共享文件夹的共享名称最好是隐藏的,这样不会干扰其他用户。
这样就只需一个批处理,全部用户使用了。
E. 如何设置域用户登录文件
参颂桥考这歼樱凯个吧氏唤, http://bbs.winos.cn/viewthread.php?tid=58997
F. 关于设置域用户"登录脚本"的方法
在域服务器上的SYSVOL加入*.bat文件,然后在AD里给用户配置即可
G. ad域怎样用DOS添加用户
现在说下DSADD批量创建用户的方法,首先在使用DSADD之前先讲下LDAP协议,目录服务使用LDAP这个公用协议来查找和定位对象,LDAP可以描述对象在那个域,对象在那个OU,对象自己的名字。通常它的语法为“OU=OU对象,CN=非域非OU对象,DC=域对象”。比如:CN=Solo,OU=IT,OU=desktop,DC=china,DC=com.
接下来我们来看一看DSADD的语法:
dsadd computer - 将计算机添加到目录
dsadd contact - 将联系人添加到目录
dsadd group - 将组添加到目录。
dsadd ou - 将组织单位添加到目录
dsadd user - 将用户添加到目录。
语法
dsadd user UserDN [-samid SAMName] [-upn UPN] [-fn FirstName] [-mi Initial] [-ln LastName] [-display DisplayName] [-empid EmployeeID] [-pwd {Password | *}] [-desc Description] [-memberof Group;...] [-office Office] [-tel PhoneNumber] [-email Email] [-hometel HomePhoneNumber] [-pager PagerNumber] [-mobile CellPhoneNumber] [-fax FaxNumber] [-iptel IPPhoneNumber] [-webpg WebPage] [-title Title] [-dept Department] [-company Company] [-mgr Manager] [-hmdir HomeDirectory] [-hmdrv DriveLetter:] [-profile ProfilePath] [-loscr ScriptPath] [-mustchpwd {yes | no}] [-canchpwd {yes | no}] [-reversiblepwd {yes | no}] [-pwdneverexpires {yes | no}] [-acctexpires NumberOfDays] [-disabled {yes | no}] [{-s Server | -d Domain}] [-u UserName] [-p {Password | *}] [-q] [{-uc | -uco | -uci}]
参数
UserDN
必需。指定要添加的用户的可分辨名称。如果省略可分辨名称,则将从标准输入 (stdin) 中获取该名称。
-samid SAMName
指定 SAM 名称作为该用户的唯一 SAM 帐户名(例如,Linda)。如果未指定,dsadd 将尝试使用 UserDN 的公用名 (CN) 值的至多前 20 个字符创建 SAM 帐户名。
-upn UPN
指定要添加的用户的用户主体名称(例如 )。
-fn FirstName
指定要添加的用户的名字。
-mi Initial
指定要添加的用户的中间名首字母。
-ln LastName
指定要添加的用户的姓氏。
-display DisplayName
指定要添加的用户的显示名。
-empid EmployeeID
指定要添加的用户的雇员 ID。
-pwd {Password | *}
指定将用户密码设置为 Password 或 *。如果设置为 *,将提示您输入用户密码。
-desc Description
指定要添加的用户的描述。
-memberof GroupDN ...
指定希望用户加入的组的可分辨名称。
-office Office
指定要添加的用户的办公室位置。
-tel PhoneNumber
指定要添加的用户的电话号码。
-email Email
指定要添加的用户的电子邮件地址。
-hometel HomePhoneNumber
指定要添加的用户的家庭电话号码。
-pager PagerNumber
指定要添加的用户的寻呼机号码。
-mobile CellPhoneNumber
指定要添加的用户的移动电话号码。
-fax FaxNumber
指定要添加的用户的传真号码。
-iptel IPPhoneNumber
指定要添加的用户的 IP 电话号码。
-webpg WebPage
指定要添加的用户的 Web 页的 URL。
-title Title
指定要添加的用户的称谓。
-dept Department
指定要添加的用户的部门。
-company Company
指定要添加的用户的公司信息。
-mgr ManagerDN
指定要添加的用户的管理器的可分辨名称。
-hmdir HomeDirectory
指定要添加的用户的主目录位置。如果 HomeDirectory 是作为通用命名约定 (UNC) 路径给出,则必须使用 -hmdrv 参数指定要映射到此路径的驱动器号。
-hmdrv DriveLetter:
指定要添加的用户的主目录驱动器号(例如,E:)。
-profile ProfilePath
指定要添加的用户的配置文件路径。
-loscr ScriptPath
指定要添加的用户的登录脚本路径。
-mustchpwd {yes | no}
指定用户是否必须在下次登录时更改其密码(yes 必须更改,no 不必更改)。默认情况下,用户不必更改密码 (no)。
-canchpwd {yes | no}
指定用户是否可以更改其密码(yes 可以更改,no 根本不能更改)。默认情况下,允许用户更改密码 (yes)。如果 -mustchpwd 参数的值为 yes,则该参数的值必须为 yes。
-reversiblepwd {yes | no}
指定是否应使用可逆加密来存储用户密码(yes 表示应该,no 表示不应该)。默认情况下,用户不能使用可逆加密 (no)。
-pwdneverexpires {yes | no}
指定用户密码是否永不过期(yes 表示是,no 表示不是)。默认情况下,用户密码会过期 (no)。
-acctexpires NumberOfDays
指定从今天算起用户帐户将到期的天数。0 值表示将今天的结束时间设置为到期时间。正值表示将将来的时间设置为到期时间。负值表示将以前的时间设置为到期时间。值 never 将帐户设置为永不过期。例如,0 值表示该帐户在今天结束时过期。值 -5 表示该帐户 5 天前就已经到期,并将以前的时间设置为到期日期。值 5 表示该帐户将在 5 天后到期。
-disabled {yes | no}
指定是否禁用用户帐户登录(yes 禁用登录,no 允许登录)。默认情况下,启用用户帐户登录 (no)。
{-s Server | -d Domain}
连接到指定的远程服务器或域。默认情况下,计算机与登录域中的域控制器相连接。
-u UserName
指定用户要用于登录到远程服务器的用户名。默认情况下,-u 使用用户登录时的用户名。您可以使用下列任一格式指定用户名:
用户名(例如 Linda)
域\用户名(例如 widgets\Linda)
用户主体名称 (UPN)(例如 )
-p {Password | *}
指定使用密码或 * 登录到远程服务器。如果键入 *,将提示您输入密码。
-q
将所有输出降低为标准输出(安静模式)。
Dsadd user的语法内容比较多大家可以参考自己的实际情况去跟相应的参数。
eg:添加工号test001到printer的OU,显示名及说明都是Solo,并添加ippd-printer群组,密码为China123,强制下次登录修改密码;
dsadd user "cn=test001,ou=printer,ou=desktop,dc=ecmms,dc=foxconn" -upn -desc Solo -display Solo -memberof "cn=ippdprinter,ou=user,ou=ippd,ou=rd,ou=ecmms,dc=ecmms,dc=foxconn" -pwd Foxconn123 -mustchpwd yes
H. 如何将登录脚本分配给本地用户的配置文件
概要
本文介绍如何将一个登录脚本分配给基于 Windows XP 的工作站或基于 Windows 的服务器上的一个本地用户帐户的配置文件。此登录脚本在该本地用户本地登录到计算机时运行,在该用户登录到域时不运行。
更多信息
为完成此过程,您必须作为管理员或管理员组的一名成员进行登录。如果您的计算机连接到了网络,网络策略设置也会影响您完成此过程的能力。
如要将登录脚本分配给用户配置文件,请按照下列步骤操作:
1、单击开始,然后单击控制面板。
2、双击管理工具,然后双击计算机管理。
3、在控制台树中,展开“本地用户和组”,然后单击用户。
4、单击您想使用的用户帐户。
5、单击操作,然后单击属性。
6、单击配置文件选项卡,然后在“登录脚本”下键入该脚本的路径和文件名称。
7、单击应用,然后单击确定。
以下信息可以帮助您正确地将文件夹设置为共享:
本地登录脚本的默认位置是 %SystemRoot%\System32\Repl\Import\Scripts 文件夹。您必须通过使用共享名“netlogon”将此文件夹设置为共享文件夹。
如果您不想在默认位置创建“netlogon”共享,请将该脚本放置在用户登录期间能够访问到的任何一个文件夹中。我们建议共享此文件夹。
如果登录脚本存储在域控制器登录脚本路径 (Sysvol\DomainName\Scripts) 的一个子文件夹中,请把相对路径置于此文件名的前面,例如,Clerks.bat 或者 Our_users\user_1.cmd
I. ad域单点登录哪种方式可以实现实时注销
D域服务器配置组策略,加载sso_setup.exe脚本(登录脚本),当用户以域账号正常登录AD域服务器时,获取到相应组策略,执行sso_setup.exe脚本向网关发送认证登录报文。当域用户从域中注销时,执行sso_setup.exe脚本向网关发送注销报文,AD域服务器首次配置完成后,整个认证登录、注销过程都不需要用户参与。
J. Windows AD域通过GPO设置客户端电脑本地管理员账号密
0x01 介绍
在实际生产环境中,由于Windows AD域的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限,而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理员密码,所以这时候就需要批量变更客户端的本地管理员密码。
0x02 环境介绍
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已经将客户端加入域
0x03 操作步骤
1. 首先在DC上用于与计算机控制台,新建一个计算机OU,便于管理,将刚加入域的计算机移动到这个OU中。
2. 在DC上打开组策略管理工具,新建一条策略,命名自己能看懂即可
3. 并对此策略进行设置,依次展开 计算机配置— 策略 — Windows设置 —安全设置 — 安全选项 — 账户:重命名系统管理员账户 将administrator用户重命名其他,此处修改为Local_admin。
4. 然后再回到Windows设置 — 脚本(启动/关机),新建一条启动脚本。
#启动脚本内容:意思为新建administrator用户,密码设置为passwd1!,启用此账户
net user administrator passwd1! /active:yes
将脚本内容复制到txt,另存为cmd后缀或者bat后缀文档,然后点开启动属性,点开显示文件,出来路径,将脚本文件粘贴到路径中,再点开编辑浏览到刚才路径,选中写好的开机脚本文件。
另外,有时候还有特殊需求,比如域中客户端用户由于一些特殊原因需要本地管理员权限,有这个需求的时候又不可能每次到跑到客户端操作电脑,因 此可以使用受限制的群组,设定,当域中某些特定用户需要有本机管理员权限的时候就可以直接在AD服务器上操作即可。
5. 回到用户和计算机管理工具,在Users中新建一个组,命名为Local-admins并将张三加入到此用户组测试。
6. 再回到组策略管理工具中,此处依旧挂载在这条GPO策略上,找到计算机配置 — Windows设置 — 安全设置 — 受限制的组 新建Administrators 组,并将默认需要添加到客户端本地管理员的用户与用户组添加进来。
7. 确定后关闭这条GPO编辑页,回到组策略管理工具,找到之前新建的yeah-Computers计算机组的OU,右键链接到现有GPO找到刚新建的GPO,链接确定。
8. 此时,到DC服务器中强制刷新组策略。
#强制刷新组策略命令
gpupdate /force
9. 找一台客户端验证策略是否生效,以本地管理员用户Local_admin登录,查看策略是否生效,因为应用的是计算机策略,只能在本地管理员账号下看到策略是否应用。
#查看当前用户计算生效gpo
gpresult/r
#如发现策略没应用,可多执行几次强制刷新策略命令
gpupdate /force
10. 可以看到策略已经应用,我们再切换用户,以张三登录客户端,右键点击计算机,计算机管理–本地用户和组–组–administrators,可以发现当前已经有我们设定的用户组位于本地管理组中了。
到此已经完成需求的所有操作,即通过GPO统一设置域内计算机本地管理员账户重命名为Local_admin,并在AD上新建一个Local-Admins用户组,将这个组加入到客户端本地管理员组中,后续需要用到本地管理员的域用户只要在AD上将用户加入到这个组即拥有本地管理员权限