10、禁用客户端ip功能注意:策略实施应该是在域策略下,而非部门下 步骤:组策略编辑→Default Domain Policy 右击→编辑→计算机配置→策略→windows设置→安全设置→系统服务→Network Connections→改成自动→编辑安全设置→删除所有组或用户名→添加→Domain Admins、Everyone→前者给完整权限,后者给读取权限→应用,确定→刷新全区策略,重启客户端。11、文档共享(漫游用户)步骤:(1)在域控C盘下新建共享文件夹“文档共享”→右击共享→给everyone读写权限→AD用户与计算机→选中需要漫游用户→右击属性→配置文件→配置文件路径:\\域服务器IP文档共享\%username%→应用确定→刷新组策略。(2)进入C盘下→右击“文档共享”文件夹→属性→安全→高级→所有者→编辑→选中Administrator和(替换子容器和对象的所有者)→应用确定,重启客户端。(3)进入“共享文档”→右击用户文件夹→属性→安全→编辑→添加→高级→立即查找→选中对应的客户端→确定一键到底→刷新组策略(guupdate /force),重启客户端,此时,域内添加到漫游中的可以脱离物理机,文件随账号漫游。
12、文件夹重定向步骤:(1)在域控C盘下新建共享文件夹“文件”→右击共享→给everyone读写权限→组策略管理→组织单位(部门)→创建策略(OU)→命名为“文件夹重定向”→右击编辑→用户配置下→策略→windows设置→文件夹重定向→文档→右击属性→目标下设置行:基本--将每个人的文件夹重定向到同一个位置(注意在右面设置选项下含增加兼容性操作)→目标文件夹位置行:在根目录路径下位每一用户创建一个文件夹→根路径行:浏览(注意此处应为网络路径)应用、确定→刷新组策略。(2)进入C盘下→右击“文件”→属性→安全→高级→所有者→编辑→选中administrator和替换子容器和对象的所有者→确定。再次进入“文件”→访问用户文件夹→右击My Documents→右击属性→安全→编辑→添加→高级→立即查找→添加相应的用户→给完整权限→确定到底。
13、远程调用(2003)说明:防火墙注意关闭。步骤:(1)域控端→右击计算机→勾选“启用远程协助病允许从这台计算机发送邀请”→勾选“启用这台计算机上的远程桌面病选择远程用户”→添加→高级→立即查找→对应的客户端用户→确定关系。(2)客户端→cmd→mstsc→输入目的计算机Ip地址→勾选“资源可互相复制”。
14、压缩数据库步骤:命令行→services.msc--右击停止Active Directory Domain Services→cmd→cd /→mkdir temp→ntdsutil(进入域控模式)→?(显示帮助参数)→Activate Instance ntds(激活域控)→file(对文件进行操作)→?(显示帮助参数)→compact to c (压缩到指定目录)→copy c:”\temp\ntds.dit” ”c:\Windows\NTDS\ntds.dit”→Enter→yes(到此时压缩数据库结束)
15、迁移数据库步骤:在C盘下建立两个文件夹targetntds(存放数据库)、targetlog(存放日志)→cmd→
ntdsutil→Activate InStance ntds→file→info(列出磁盘信息)→?(显示帮助参数)→Move DB to c:\targetndtds 和 Move logs to c:\targetlog→info(查看日志、数据存放位置)→启动服务Active Directory Domain Services→打开AD用户与计算机验证是否操作成功。
16、禁止所有用户加入域,只允许主管可以将计算机加入域步骤:(1)ADSI编辑器→右击ADSI编辑器→连接到→勾选“选择或键入域服务器(s)”:lv.com(域控的域名)→确定→点击“默认命名上下文”→右击“DC=lv,DC=com”→属性→将“ms-DS-MachineAccountQuota”→”10”修改成”0”.(2)AD用户与计算机→右击“市场部”(组织单位)→委派控制(E)→下一步→添加→高级→立即查找→王经理(主管)→确定→下一步→勾选要委派的任务→创建、删除和管理用户账户、重置用户密码并强制在下次登录时更改密码、读取所有用户信息→下一步→完成→强制刷新组策略→重新启动客户端。
17、权限的委派与回收步骤:(1)AD用户与计算机→右击“部门”→委派控制→添加→高级→立即查找→下一步→勾选权限→下一步→完成,刷新组策略。(2)AD用户与计算机→查看(对话框的菜单栏)→高级功能→右击“部门”→属性→安全→选中需要收回权限的部门或用户→高级→删除相应权限(注意此时显示的权限和添加时的字样不同,可以拉长对话框)→应用→确定,刷新组策略。
18、关闭事件跟踪器步骤:cmd→gpedit.msc→计算机配置→管理模板→系统→显示“关闭事件跟踪器”→禁用
19、审核策略(审核登录事件)步骤:(1)策略→计算机配置→windows设置→安全设置→本地策略→审核策略→启动(2)查看审核策略:服务器管理器→诊断→事件查看器→windows日志→安全→即可查看日志