Q1、普通域用户无法在DC上登录?
为了保护域控制器,默认能在DC上登录的用户只有:Administrators、Account operators、Backup operators、Server operators、Print operators这些特定的管理组 。要想使普通域用户有权在DC上登录,可以将其加入到这些组中 。
但更多时候,我们不想让用户有过多的权利权限,也可以在开始/程序/管理工具/域控制器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加,指派其在DC上登录的权利即可 。
Q2、在03域中添加用户时,总是提示我不符合密码策略,怎么办?
对于03,默认域的安全策略与2000域不同 。要求域用户的口令必须符合复杂性要求,且密码最小长度为7 。口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名 。
我们可以设置复杂一些的密码,也可以重新设默认域的安全策略来解决 。操作如下:
开始/程序/管理工具/域安全策略/帐户策略/密码策略:
¨密码必须符合复杂性要求:由“已启用”改为“已禁用”;
¨密码长度最小值:由“7个字符”改为“0个字符” 。
欲策略设置马上生效,可利用gpupdate进行刷新 。(具体见前)
如果添加的是本地用户,解决办法与此相同,只不过修改的是本地安全策略 。
Q3、在2000/03域中,前网管设置了一个开机登陆时的提示页面,已过时,现想取消,如何操作?
登录到本机时出现,则在管理工具/本地安全策略,或开始/运行:gpedit.msc中配置 。若是登录到域时出现,则在管理工具/域的安全策略,或AD用户和计算机/属性/组策略中配置 。具体会涉及到:安全设置/本地策略/安全选项下的这两条,
¨交互式登录:用户试图登录时消息标题
¨交互式登录:用户试图登录时消息文字
Q4、如何设置不让用户修改计算机的配置(如TCP/IP等)?
可以利用本地策略或基于域的组策略锁定,具体操作:
1、本地:开始/运行:gpedit.msc 。或
2、域:开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略
3、在用户配置/管理模板/网络/网络及拨号连接:禁止访问LAN连接的属性 。
说明:
1、若利用本地策略实现,本地管理员,可以重新设置策略解开 。
2、若利用域策略实现,只是域用户受此限制 。本地管理员,不受此限制 。
所以应该不给用户本地管理员口令,让用户以非本地管理员/域用户身份登录 。为了保证用户能安装软件或做其它管理工作,可将其加入本地的Power Users组 。
Q5、非管理员用户无法登录到终端服务器?
欲使用户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server,对于2000S需要在服务器上安装终端服务,对于03S只需在我的电脑/右键/属性/远程/远程桌面下,选中“允许用户远程连接到这台计算机”即可 。对于管理员默认即可通过TS登录进来 。
非管理员用户通过终端服务无法登录,除了网络连接方面的问题以外,主要有以下五个方面的原因:
1、终端服务器同时是DC,而普通用户无权在DC上登录 。
解决办法:具体见前 。
2、安全策略/本地策略/用户权利分配:通过终端服务允许登录 。
这是03特有的,2000没有这条安全策略 。解决办法,
方法一、在我的电脑/右键/属性/远程/远程桌面下,选中“允许用户远程连接到这台计算机”选项后,单击“选择远程用户”/添加 。用户将被自动加入到Remote Desktop Users组,而这个组默认有“通过终端服务允许登录”的权利 。
推荐阅读
- 如何备份和恢复Active Directory
- Microsoft Active Directory 常用文档速查指南
- 三 AD 活动目录域故障解决实例
- 一 AD 活动目录域故障解决实例
- 二 AD 活动目录域故障解决实例
- 一 Windows2003活动目录安装指南
- 二 Windows2003活动目录安装指南
- 二 域控制器发生故障时确保继续复制活动目录
- 一 域控制器发生故障时确保继续复制活动目录
- “让成长更美好”青少年食品安全与营养健康科普教育体验活动走进厦门肯德基