ad管理腳本
1. 如何自動把域帳戶加到本地管理員組|ad活動目錄域組策略登錄腳本
---洛洛根據我的研究,在Windows系統中暫時不提供工具直接實現這種功能。您可以先將需要加入到本地管理員組的域用戶放入一個OU中,然後通過組策略執行腳本來完成。 下面我提供一些方法,供您參考: 1.使用域管理員登陸到DC。活動目錄seo 2.打開記事本創建一個批處理文件,輸入以下內容,並以*.bat保存: net localgroup administrators domain\user /add 其中,USER為你當前需要提升許可權的用戶名。 3.點擊「開始→運行」並輸入「DSA.MSC」→打開Active Director用戶和計算機→右鍵點擊需要設置的OU→「屬性」→組策略→「編輯」。 4.打開「計算機配置→windows設置→腳本→啟動→添加*.bat文件。 5.在命令提示符下輸入gpupdate /force,重啟計算機。 Tom Zhang 張一平 在線技術支持工程師 微軟全球技術支持中心各位,net user %username% administrators /add 這個腳本會無法執行的。 因為要想加入本地管理員組,就需要管理員許可權,也就是說只能用計算機登錄腳本在用戶登錄之前執行 但此時用戶還沒有登錄,根本無從獲取 %username%變數。 登錄之後,倒是獲取到 %username%變數了,但普通的users許可權是不能添加管理員群組賬戶的。這個問題的解決方法,有二 要不,用runas,使用管理員賬戶在用戶登錄之後添加,但將管理員賬戶和密碼寫在腳本里非常不安全。 要不,就是只能做計算機啟動腳本,將domain users這個組添加到本地管理員群組中去。但又會讓 所有域用戶都可以在域中任何一台電腦上,執行管理員許可權,這樣做也不安全。 用戶之所以有這樣的需求,其實是為了避免用戶操作或者客戶端軟體在域環境中遭遇的許可權限制問題, 如果說用戶這么做只是暫時的權益之計,尚可,否則就是與活動目錄的宗旨背道而馳!最終的解決方法還是要解決用戶在域中所遇到的問題,例如軟體許可權限制問題的解決方法可以參考
2. 求BAT腳本:在AD域中,客戶端自動判斷當前登錄用戶信息,自動映射到對於網路文件夾問題
我一般是在域伺服器上為用戶分組,並把部門的共享文件夾賦許可權給不同的組。
用戶的共享文件夾名與其賬戶名一樣,這樣就可以用%USERNAME%來代替用戶名了。
用戶的共享文件夾的共享名稱最好是隱藏的,這樣不會干擾其他用戶。
這樣就只需一個批處理,全部用戶使用了。
3. Win10怎麼安裝AD管理工具
windows 8可以安裝AD10。
1、載入AD10光碟,運行ad安裝程序。
2、根據軟體界面的提示,完成路徑選擇已經安裝的內容。
3、等待安裝完成即可。
AD10全稱:Altium Designer 10,Altium Designer 提供了唯一 一款統一的應用方案,其綜合電子產品一體化開發所需的所有必須技術和功能。Altium Designer 在單一設計環境中集成板級和FPGA系統設計、基於FPGA和分立處理器的嵌入式軟體開發以及PCB版圖設計、編輯和製造。並集成了現代設計數據管理功能,使得Altium Designer成為電子產品開發的完整解決方案-一個既滿足當前,也滿足未來開發需求的解決方案。
4. AD域控制器使用組策略來管理AD用戶
首先,默認的域賬戶是的確只有這樣的許可權,如果域控制器要變更某一賬戶或組的許可權需要把賬戶加入到高許可權的組,一般來說是加入客戶端的本地管理員組,然後再用組策略去禁止顯示我的電腦屬性以防客戶端無故退域,如果樓主需要將域的部分用戶在客戶端有管理許可權的話可以在域控上把相應用戶加入一個新創建的全局組,然後在本地客戶端把這個全局組加入到本地管理員就可以了,當然你可以利用組策略的委派登錄腳本來完成。
5. Win2003AD域控,設置有自動關機腳本,如何使關機腳本不應用到AD本身
win2003自身帶有計劃任務,根據系統提示建立關機計劃任務即可,無需腳本,也不需要跟任何程序關聯。
6. Windows AD域通過GPO設置客戶端電腦本地管理員賬號密
0x01 介紹
在實際生產環境中,由於Windows AD域的限制,桌面對客戶端電腦進行軟體安裝或其他系統配置時,均需要管理員許可權,而網內客戶端眾多,不同客戶端電腦密碼可能都是不同的,也經常忘記本地管理員密碼,所以這時候就需要批量變更客戶端的本地管理員密碼。
0x02 環境介紹
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已經將客戶端加入域
0x03 操作步驟
1. 首先在DC上用於與計算機控制台,新建一個計算機OU,便於管理,將剛加入域的計算機移動到這個OU中。
2. 在DC上打開組策略管理工具,新建一條策略,命名自己能看懂即可
3. 並對此策略進行設置,依次展開 計算機配置— 策略 — Windows設置 —安全設置 — 安全選項 — 賬戶:重命名系統管理員賬戶 將administrator用戶重命名其他,此處修改為Local_admin。
4. 然後再回到Windows設置 — 腳本(啟動/關機),新建一條啟動腳本。
#啟動腳本內容:意思為新建administrator用戶,密碼設置為passwd1!,啟用此賬戶
net user administrator passwd1! /active:yes
將腳本內容復制到txt,另存為cmd後綴或者bat後綴文檔,然後點開啟動屬性,點開顯示文件,出來路徑,將腳本文件粘貼到路徑中,再點開編輯瀏覽到剛才路徑,選中寫好的開機腳本文件。
另外,有時候還有特殊需求,比如域中客戶端用戶由於一些特殊原因需要本地管理員許可權,有這個需求的時候又不可能每次到跑到客戶端操作電腦,因 此可以使用受限制的群組,設定,當域中某些特定用戶需要有本機管理員許可權的時候就可以直接在AD伺服器上操作即可。
5. 回到用戶和計算機管理工具,在Users中新建一個組,命名為Local-admins並將張三加入到此用戶組測試。
6. 再回到組策略管理工具中,此處依舊掛載在這條GPO策略上,找到計算機配置 — Windows設置 — 安全設置 — 受限制的組 新建Administrators 組,並將默認需要添加到客戶端本地管理員的用戶與用戶組添加進來。
7. 確定後關閉這條GPO編輯頁,回到組策略管理工具,找到之前新建的yeah-Computers計算機組的OU,右鍵鏈接到現有GPO找到剛新建的GPO,鏈接確定。
8. 此時,到DC伺服器中強制刷新組策略。
#強制刷新組策略命令
gpupdate /force
9. 找一台客戶端驗證策略是否生效,以本地管理員用戶Local_admin登錄,查看策略是否生效,因為應用的是計算機策略,只能在本地管理員賬號下看到策略是否應用。
#查看當前用戶計算生效gpo
gpresult/r
#如發現策略沒應用,可多執行幾次強制刷新策略命令
gpupdate /force
10. 可以看到策略已經應用,我們再切換用戶,以張三登錄客戶端,右鍵點擊計算機,計算機管理–本地用戶和組–組–administrators,可以發現當前已經有我們設定的用戶組位於本地管理組中了。
到此已經完成需求的所有操作,即通過GPO統一設置域內計算機本地管理員賬戶重命名為Local_admin,並在AD上新建一個Local-Admins用戶組,將這個組加入到客戶端本地管理員組中,後續需要用到本地管理員的域用戶只要在AD上將用戶加入到這個組即擁有本地管理員許可權
7. 公司電腦加入AD域管理有什麼好處
AD域項目說明
一、許可權管理集中、管理成本下降
域環境,所有網路資源,包括用戶,均是在域控制器上維護,便於集中管理。所有用戶只要登入到域,在域內均能進行身份驗證,管理人員可以較好的管理計算機資源,管理網路的成本大大降低。防止公司員工在客戶端隨意安裝軟體, 能夠增強客戶端安全性、減少客戶端故障,降低維護成本。通過域管理可以有效的分發和指派軟體、補丁等,實現網路內的一起安裝,保證網路內軟體的統一性。限制員工上網環境,禁止訪問非工作以外的其他網站。
二、安全性能加強、許可權更加分明
有利於企業的一些保密資料的管理,比如說某個盤允許某個人可以讀寫,但另一個人就不可以讀寫;哪一個文件只讓哪個人看;或者讓某些人可以看,但不可以刪/改/移等。可以封掉客戶端的USB埠,防止公司機密資料的外泄。安全性完全與活動目錄(Active
Directory) 集成。不僅可在目錄中的每個對象上定義訪問控制,而且還可在每個對象的屬性上定義。活動目錄(Active
Directory)提供安全策略的存儲和應用范圍。安全策略可包含帳戶信息:如域范圍內的密碼限制或對特定域資源的訪問權;通過組策略設置下發並執行安全策略。
三、賬戶漫遊和文件夾重定向
個人賬戶的工作文件及數據等可以存儲在伺服器上,統一進行備份、管理,用戶的數據更加安全、有保障。當客戶機故障時,只需使用其他客戶機安裝相應軟體以用戶帳號登錄即可,用戶會發現自己的文件仍然在「原來的位置」(比如,我的文檔),沒有丟失,從而可以更快地進行故障修復。在伺服器離線時(故障或其他情況),「離線文件夾」技術會自動讓用戶使用文件的本地緩存版本繼續工作,並在注銷或登錄系統時與伺服器上的文件同步,保證用戶的工作不會被打斷。
四、方便用戶使用各種共享資源
可由管理員指派登錄腳本映射分布式文件系統根目錄,統一管理。用戶登錄後就可以像使用本地盤符一樣,使用網路上的資源,且不需再次輸入密碼,用戶也只需記住一對用戶名/密碼即可。各種資源的訪問、讀取、修改許可權均可設置,不同的賬戶可以有不同的訪問許可權。即使資源位置改變,用戶也不需任何操作,只需管理員修改鏈接指向並設置相關許可權即可,用戶甚至不會意識到資源位置的改變,不用像從前那樣,必須記住哪些資源在哪台伺服器上。
五、SMS系統管理服務(System Management Server)
通過能夠分發應用程序、系統補丁等,用戶可以選擇安裝,也可以由系統管理員指派自動安裝。並能集中管理系統補丁(如WindowsUpdates),不需每台客戶端伺服器都下載同樣的補丁,從而節省大量網路帶寬。
六、靈活的查詢機制
用戶和管理員可使用「開始」菜單、「網上鄰居」或「ActiveDirectory 用戶和計算機」上的「搜索」命令,通過對象屬性快速查找網路上的對象。例如,您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶。通過使用全局編錄來優化查找信息。
七、擴展性能較好
WIN2K的活動目錄具有很強的可擴展性,管理員可以在計劃中增加新的對象類,或者給現有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。
八、方便在 MS 軟體方面集成
如ISA、Exchange、Team Foundation Server、SharePoint、 SQL Server等。
J九、域的規劃建議
1、系統集成在做企業網路維護過程中,採用單域單站點管理模式,建設AD與BAD,即主域控器與備份域控制器,在其下面採用OU(組織單元)的模式進行集中管理各部門人員與電腦。此種管理模式,成本降低,且減少管理復雜度和維護量。
2、AD(主域控制器):公司所有許可權管理,用戶建立以及各種策略、軟體等的管理及實施到每台電腦。
3、BAD(備份域控制器):採用與AD完全相同的設置,繼承AD上的所有管理資料,防止AD出現故障後,公司電腦無法登陸AD和使用網路資源,,將BAD伺服器做成WSUS伺服器(windows補丁伺服器),管理公司所有電腦的補丁的下載與提供安裝的服務,如有需要還可集成ISA SERVER伺服器,進行公司網路的管控(上網行為管理)
4、域的伺服器配置建議在XEON 2.8G 4G內存,硬碟視需求而定,硬碟做RAID,AD數據定期做完整,增量,異地備份。
8. 我在AD組策略開機載入一BAT腳本到每個域用戶。
假如說你這個是安裝在c盤,並且安裝後會有個setup.exe文件,那批處理檢查c盤是否存在這個文件
if exist c:\setup.exe (exit) else goto 安裝包
9. 17版ad運行腳本在哪裡
17版ad運行腳本在AD軟體。具體的步驟如下:
1、打開AD軟體點擊文件。
2、點擊運行腳本。
3、即可找到17版ad運行腳本。
10. 如何在AD中批量創建域用戶
一、創建用戶的方法創建用戶的方法,常用的無外乎以下幾種:
1. 利用AD用戶和計算機(ADUC)。
2. 利用CSVDE批量建用戶
3. 利用LDIFDE批量建用戶
4. 利用腳本批量建用戶
5. 利用for…..do…循環命令,批量建用戶 以上是五種創建域用戶的方法,但第一種只能創建單個域用戶,其它四種是批量創建用戶方法。在後四種指量創建用戶方法中,哪一種更為簡單呢? CSVDE與LDIFDE批量創建用戶的方法,需要有一個很好(主要是文件格式)的文檔支持,這個文檔編輯起來,非常的困難。腳本批量創建用戶,需要有大量的程序量,不是寫程序的管理員,很難搞定。for....do...dsadd user命令,批量創建用戶方法,簡單、實用。
本文介紹的是最後一種For... do循環命令,結合dsadd user命令批量創建用戶。該簡單、實用,推薦使用!
二、收集企業的通訊錄:
三、編輯通訊錄,並保存為.Csv格式說明:
1、此文檔保存格式為.Csv格式;
2、各列數值不能為空;
3、命令執行時,刪除第1、2、3、4行;
4、各列對應的欄位與命令見表中; 四、創建For... do循環命令(結合dsadd user命令) 命令格式: for /f "tokens=1,2,3,4,5,6,7,8,9,10,11 delims=," %a in (c:users.csv) do dsadd user "cn=%c,ou=UserTest,dc=techone,dc=com" -samid %d -upn %d -ln %a -fn %b -pwd %e -title %f -dept %g -company %h -tel %i -mobile %j -iptel %k -disabled yes
相關註明: 1、先用Excel表格做一個簡單模版,將其保存為.csv格式! 2、再用For命令結合dsadd 來完成批量創建用戶! 3、tokens=1,2,3,4,5,6,7,8,9,10,11 :表示有11個變數(參數為表格內的11個參數,順序為A/B/C/D/E/F/G/H/I/J/K 這11個參數見Csv表格)
delims=, :表示分隔符為「,」
%a in (c:users.csv) :表示變數從路徑「c:users.csv」中取數據
dsadd :添加命令
cn=%c,ou=UserTest,dc=,dc=com :表示所創建的用戶名與創建位置
-samid %d -upn %d:表示登錄名為變數d
-ln %a :設置用戶姓為變數a
-fn %b :設置用戶名為變數b
-pwd %e :設置密碼為變數e -title %f :設置職務為變數f -dept %g :設置部門為變數g -company %h:設置公司為變數h -tel %i :設置電話為變數i -mobile %j :設置行動電話為變數j -iptel %k :設置IP電話為變數k
-disabled yes :表示導入以後為禁用狀態 更多的參數,請參考dsadd user /?
五、在AD伺服器上,執行以下步驟:
1、在AD管理工具中,創建一個OU,名為UserTest;
2、在CMD命令下,鍵入上述命令:
六、在AD管理工具,上刷新UsersTest,看到創建的相關用戶。全部選中,然後開啟用戶。
七、查看用戶屬性,相關屬性值已存在。
八、抽樣使用批量創建的域用戶,登陸,結果正常。批量創建域用戶