活动目录域故障解决实例(二)
前面我们讲过安全策略是组策略的子集(一部分),我们会首先讨论和安全策略相关的实例,然后才是其
它的策略。
B1、普通域用户无法在DC上登录?
为了保护域控制器,默认能在DC上登录的用户只有:Administrators、Account operators、Backup
operators、Server operators、Print operators这些特定的管理组。要想使普通域用户有权在DC上登录,可以
将其加入到这些组中。
但更多时候,我们不想让用户有过多的权利权限,也可以在开始/程序/管理工具/域控制器的安全策略/本
地策略/用户权利分配/允许在本地登录下通过添加,指派其在DC上登录的权利即可。
B2、在03域中添加用户时,总是提示我不符合密码策略,怎么办?
对于03,默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求,且密码最小长度为
7。口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三
是口令中不得包括全部或部分用户名。我们可以设置复杂一些的密码,也可以重新设默认域的安全策略来解决。
操作如下:
开始/程序/管理工具/域安全策略/帐户策略/密码策略:
¨ 密码必须符合复杂性要求:由“已启用”改为“已禁用”;
¨ 密码长度最小值:由“7个字符”改为“0个字符”。
欲策略设置马上生效,可利用gpupdate进行刷新。(具体见前)
如果添加的是本地用户,解决办法与此相同,只不过修改的是本地安全策略。
B3、在2000/03域中,前网管设置了一个开机登陆时的提示页面,已过时,现想取消,如何操作?
登录到本机时出现,则在管理工具/本地安全策略,或开始/运行:gpedit.msc中配置。若是登录到域时出
现,则在管理工具/域的安全策略,或AD用户和计算机/属性/组策略中配置。具体会涉及到:安全设置/本地策略/
安全选项下的这两条,
¨ 交互式登录:用户试图登录时消息标题
¨ 交互式登录:用户试图登录时消息文字
B4、如何设置不让用户修改计算机的配置(如TCP/IP等)? 可以利用本地策略或基于域的组策略锁定,具体操作:
1、 本地:开始/运行:gpedit.msc。或
2、 域:开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略
3、在用户配置/管理模板/网络/网络及拨号连接:禁止访问LAN连接的属性。
说明:
1、 若利用本地策略实现,本地管理员,可以重新设置策略解开。
2、 若利用域策略实现,只是域用户受此限制。本地管理员,不受此限制。
所以应该不给用户本地管理员口令,让用户以非本地管理员/域用户身份登录。为了保证用户能安装软件或做其它
管理工作,可将其加入本地的Power Users组。
B5、非管理员用户无法登录到终端服务器?
欲使用户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server,对于2000S需要在服务
器上安装终端服务,对于03S只需在我的电脑/右键/属性/远程/远程桌面下,选中“允许用户远程连接到这台计算
机”即可。对于管理员默认即可通过TS登录进来。
非管理员用户通过终端服务无法登录,除了网络连接方面的问题以外,主要有以下五个方面的原因:
1、终端服务器同时是DC,而普通用户无权在DC上登录。
解决办法:具体见前。
2、安全策略/本地策略/用户权利分配:通过终端服务允许登录。
这是03特有的,2000没有这条安全策略。解决办法,
方法一、在我的电脑/右键/属性/远程/远程桌面下,选中“允许用户远程连接到这台计算机”选项后,单击“选
择远程用户”/添加。用户将被自动加入到Remote Desktop Users组,而这个组默认有“通过终端服务允许登录”
的权利。
方法二、手动将用户加入到Remote Desktop Users组
方法三、手动直接指派用户“通过终端服务允许登录”的权利
注意:如果终端服务器同时是DC,必须使用方法三。原因是为了保护DC,DC上的本地安全策略里,只允许
Administratrs组有此权利,而将Remote Desktop Users组删掉了。
3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限。
解决办法:手动将用户加入到Remote Desktop Users组,或确保用户在此权限下有来宾访问或用户访问的
权限。
4、用户所用帐号口令为空。
若终端服务器为03,用户使用此服务器上的本地帐号、且口令为空,通过TS登录。由于03本地安全策略/
本地策略/安全选项/帐户:使用空白密码的本地帐户只允许进行控制台登录,默认启用,这将会阻止用户登录。
解决办法:使用非空密码或禁用此策略。
顺便提一下,这也是常见的通过网络访问XP/03上的共享资源,不通的原因之一。
5、所用帐号属性/终端服务配置文件/“允许登录到终端服务器”选项。
这个选项,默认就是选中的,除非有人动过。解决办法:手动选中即可。
6、还有两种可能:
(1)2000:未安装TS服务;03:未启用远程桌面
(2)03:启用了ICF,但未设允许RDP进入
B6、在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录。
在安全策略/本地策略/用户权利分配下有两条策略:
¨ 拒绝本地登录,默认为“未定义”。
¨ 允许在本地登录,其默认值分别为:
u 本地计算机策略:Administrators、Backup Operators、Power Users、Users
u 默认域的策略:未定义
u 默认域控制器的策略:Administrators、Account Operators、Backup Operators、Server
Operators、Print Operators、IUSR_dcname
说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的
优先级别高。也就是说二者冲突时,“拒绝”权利生效。假设不小心或干脆有人使坏在拒绝本地登录上设置了所
有人或管理员,又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录,出错提示
为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了。这种情形看起来像一
个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登
录,就必须先解除禁止本地登录的组策略设置。问题还是有办法解决的,分别讨论如下:
一、被域策略和域控制器策略所阻止
显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:
1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain
Controllers)是个OU,前面我们讲过组策略的LSDOU原则,所以管理员可以登录到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。
要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位
于DC的winnt\sysvol\sysvol中,以GUID为文件夹名。”其中安全设置部分保存在DC的winnt\sysvol\sysvol\你的
域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实
质就是一个文本文件,可利用记事本进行编辑。
说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID |