AD域管理常见问题

一、权限问题。〔默认为administrator〕身份登录，保证对这台计算机有治理把握权限。一般用户登录保证能在域内为这台计算机创立一个计算机帐号。〔AuthenticatedUsers〕1010帐号复位，或干脆删了再建一个域用户帐号，如joindomain。留意：域治理10提示。域，计算机帐户没有被自动禁用或、手动在AD计算机帐户；2、改用治理员帐户；3、在最初预建帐户时就指明可参与域的用户。xxxADAD2023/03，2023DNSDCIP地址，然后开头进展网络身份DNSDC，只能DCDC，TCP/IPDNSDCDNS参与域时，假设输入的域名为FQDNmcse，必需利用DNSSRVDC，假设客户机的DNSxxxADAD”2023上版本的计算机跨子网〔路由〕参与域时，也就是说，参与域的计算机是2023应当用此方法。mcse，也可以利用扫瞄效劳〔播送方式〕DC，但扫瞄域，但在参与域和以后登录时，2023DNSAPTR2023就无法利用DNS找到它，这本应当是可以的。nslookupDNSDC〔具体见前〕。能找到的话，再ping一下DC看是否通。一、用户名、口令、域写的。看一下欲登录的域是否还存在〔比方子域被非正常删除了，域中唯一的DC〕。二、DNSDNS三、计算机帐号〔如财务主管渡假去了〕，出错提示为“无法与域连接„„，域把握器不行用„„，找不到计算机帐户„„”，而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中，将计算机帐号启用即可。对于Windows2023/XP/03，默认计算机帐户密码的更换周期为30由于某种缘由该计算机帐户的密码与LSA机密不同步，登录时就会消灭出错方法：重设计算机帐户，或将该计算机重参与到域。B1。五、跨域登录中的问题在2023及以上计算机上登录到域的过程是这样的：域成员计算机依据本机SRVDCDC，验证后登录。假设是在林中跨域登录，是首先查询DNS效劳器，问林的GC是谁。所以要GC〔不愿定是本林的DNS如何解决本地或域治理员密码丧失？本地治理员密码丧失，可通过删除 sam文件〔2023SP3以前〕或通过中的ERDCommander2023了，接下来我们将具体争论使用此盘解决治理员密码丧失问题。1WINPE”230M；2、下载后解压缩，将其内容刻录成光盘；3XP，StartERDCommander20234、消灭选择菜单，选择第一项：ERDCommander2023；5XP7XPStart/AdministrativeTools/Locksmith；8ERDCommander2023locksmith9Administrator，重设其密码；〔此时切不行手动重启动计算机，否则此修改将无效〕10Start/LogoffOK；rebootCommander2023NT/2023/XP/03作系统和版本，及是否DC，所以用户在操作时，重设密码的方法都是一样的。03，重设密码时要留意符合密码策略中要求的符合简洁性要求，且密码最7，否则重设的密码会无效。无法使用域内的共享打印机？络打印机，为用户重安装打印机，当时可以打印，但不久问题又会消灭。用户反映说有时能打印，有时就是不能打印。〔惯性地选择登录到本地机〕，Windows个小毛病，它并不象你访问共享文你“拒绝访问，无法连接”、〔在不同的操作系统或应用程序中提示会所不同〕。31。：录。员身份登录时，把握本机没问驱动等。这样做了以后，用户以域用户身份登录，同时他又是本地治理员。2Guesteveryone全，所以不推举。烦。无法访问域内的共享资源？问。一般是由于目标计算机上启用了guest，而guest用户没有权限造成的。会遇到的问题：基于UNC路径的I形式来访问时的故障，如在开头/运行：ping的前提下，假设\\提示：“\\文件名、名目名或卷标语法不正确”。检查：效劳是否安装、是否选中，或重装一下。操作：网上邻居/右键/属性/本地连接/右键/属性serverworkstation提示：录效劳未启动”。标语法不正确。”：“\\网络未连接或启动”。连其它计算机，也是一样的提示。检查：相应效劳是否已经正常启动。操作：我的电脑/右键/治理/效劳和应用程序/效劳下〕的影响提示：访问任何计算机均提示：“找不到网络路径”。给无视了。操作：我的电脑/属性/网络标识/属性/计算机名下，修改计算机名。4、XP/03台登录”的影响提示：\\无法访问。您可能没有权限使用网络XP/03启用”改为“禁用”。留意：域帐号访问不受此策略限制。提示：找不到网络路径检查：TCP/IP筛选、IPSEC、RRAS筛选器是否被启用，且TCP端口139和445操作：网上邻居/属性/本地连接/属性：TCP/IP—高级—选项—TCP/IP筛选网上邻居/属性/本地连接/属性：TCP/IP—高级—选项—IP安全机制开头/程序/治理/路由和远程访问/IP/常规/接口/右键属性/常规：输入/输出筛选器。说明：RRAS2023/03Server，IPSEC2023置才有。TCP：139445和你开玩笑。ADADADldifde.exe最终简洁介绍一下利用脚本〔可利用循环功能〕批量创立用户帐号AD1、在“ADS1。密码等。说明：1AD2csvdeldifde/导入操作步骤如下：1、在“ADS1。密码等。3、在DC/运行：cmd4：csvde–fdemo.csv说明：在导入时是不允许用的，如：ObjectGUID、objectSID、pwdLastSetsamAccountType可通过-d–r“ou=test,dc=mcse,dc=com”或-d“cn=users,dc=mcse,dc=com”-r“<Objectclass=user>”1my.csv，并利用复制、粘贴、修改得到多条记录。例如：dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName“mailto:%2Cuser%2CS1%2C512%2CS1@mcse““CN=s1,OU=test,DC=mcse,DC=com“,user,S1,512,“mailto:S1@mcse“S1@mcse“mailto:%2Cuser%2CS2%2C512%2CS2@mcse““CN=s2,OU=test,DC=mcse,DC=com“,user,S2,512,“mailto:S2@mcse“S2@mcse„„„„„„，其它可用字段，我试了一下，见下表〔不全〕：6AD，键入csvde–i–fmy.csv–jc:\说明：-j用于设置日志文件位置，默认为当前路径。此选项可帮助用户在导入不成功时排错。ADAD域用户帐户的导出/导入，并不能代替“AD的用户，通过memberof字段设到一些用户组中去，使它有权利权限。但这与利用“AD状，完全是两回事〕。四、利用脚本创立批量用户帐户1、利用脚本创立用户帐号〔用户可参考下例〕。SetobjDomain=GetObject(“LDAP://dc=fabrikam,dc=com“)SetobjOU=objDomain.Create(“organizationalUnit“,“ou=Management“)objOU.SetInfo说明：在fabrikam域创立一个名叫Management的OU。SetobjOU=GetObject(“LDAP://OU=Management,dc=fabrikam,dc=com“)SetobjUser=objOU.Create(“User“,“cn=AckermanPila“)objUser.Put“sAMAccountName“,“AckermanPila“objUser.SetInfoobjUser.SetPassword“i5A2sj*!“objUser.AccountDisabled=FALSEobjUser.SetInfoManagementOUAckermanPilai5A2sj*!，启用。SetobjOU=GetObject(“LDAP://OU=Management,dc=fabrikam,dc=com“)SetobjGroup=objOU.Create(“Group“,“cn=atl-users“)objGroup.Put“sAMAccountName“,“atl-users“objGroup.SetInfoobjGroup.AddobjUser.ADSPathobjGroup.SetInfo说明：在ManagementOU下创立一个名叫atl-users的用户组，将用户AckermanPilaWscript.echo“Scriptendedsuccessfully“说明：显示“脚本成功完毕”信息2、利用脚本中的循环功能实现批量创立用户帐号SetobjRootDSEGetObject(“LDAP://rootDSE“)SetobjContainer=GetObject(“LDAP://cn=Users,“&_objRootDSE.Get(“defaultNamingContext“))Fori=1To1000SetobjUser=objContainer.Create(“User“,“cn=UserNo“&i)objUser.Put“sAMAccountName“,“UserNo“&iobjUser.SetInfoobjUser.SetPassword“i5A2sj*!“objUser.AccountDisabled=FALSEobjUser.SetInfoNextWScript.Echo“1000Userscreated.“说明：在当前域的UsersUserNo1UserNo10001000户我的计算机不知道怎么回事，系统时间总是被改快1小时？ADPDCPDC仿真主控来把握。1ADPDC内计算机的时区设置是否正确。建立AD域，需要有什么样的权限才行？限即可。2DC，需要该域的域治理员〔DomainAdmins〕权限。3、安装子域的DC，或树的DC，都涉及到林构造的转变，需要林治理员〔EnterpriseAdmins〕权限才行。202303DC？032023AD〔参〕。但微软的产品德外讲究向前兼容，我们可以实现在202303DC03DNS，DCAD，DNS输，都似乎没有版本差异一样。03计算机上安装AD“Active〕上03/I386/adprep，具体第一步：adprep/forestprepadprep/domainprep2023ADADNTFSADdcpromoAD，将其提升为NTFS5.0ADsysvol2023NTFS分区。假设Cwinntwindows所在分区，承受FAT32分区，系统会自动查找下一个可用的NTFS分区来存放系统卷，如d:\sysvol。假设找不到NTFSADconvertFAT32D如下：1、开头/运行：convertd:/fs:ntfs说明：这时并没有真正开头转换，假设懊悔，可以到注册表HLM\当前把握\把握会话治理\BootExecuteConvertd:/fs:ntfs。3FATNTFSADNetBIOSDNS域的完全有效域名FQDNmcsemcse名称，并在网络中检查是否存在重名，需要等一会儿。mcs〔建议用户不要修改此名2023NetBIOSDNS说明：NetBIOS名称，只是为95/98/NT等老版本用户通过“扫瞄效劳”或2023〔它们通过DNS定位域〕，其实NetBIOS名称冲不冲突，都无所谓。这种冲突可能源自于网络中假设已有一个域，名字叫做，DNSNetBIOSmcseNetBIOSmcsemcse0。安装AD完成后，重启登录格外慢，甚至长达20分钟之久。2023/03ServerAD慢，那就要重装系统及ADAD，这样不简洁出问题。ADDNS，应在安装前，将本机TCP/IPDNSADSRV_msdcs。03DNS在这里夹的层次构造有所变化，将_msdcs.域名夹提升了一级，直接放到DNS然后到计算机治理/NetLogonDNSSRV〔windows\system32\cacheDNS。DC安装子域失败。“由于以下缘由，操作失败：ADxxx法运行指定的操作。”GCGC20232023GC得在同一台计算机上。〔查seize〕DC，DC后，才可连入网络，以保证域命名主控的林唯一性。修改用户密码需要几分钟，甚至更长的时间。台DC承受到密码变化的恳求，它必需通知PDC仿真主控。假设是PDC仿真主机失效，收到该恳求的DC必需经过一段时间的查找后，确认真的找不到PDC仿真主PDC确信其已无法正常工作，可强制传给〔查封seize〕域内的任意一台DC。原来PDC正常卸载AD时的常见问题DC/AD1、卸载时会提示给的本地治理员设置