ad管理脚本
1. 如何自动把域帐户加到本地管理员组|ad活动目录域组策略登录脚本
---洛洛根据我的研究,在Windows系统中暂时不提供工具直接实现这种功能。您可以先将需要加入到本地管理员组的域用户放入一个OU中,然后通过组策略执行脚本来完成。 下面我提供一些方法,供您参考: 1.使用域管理员登陆到DC。活动目录seo 2.打开记事本创建一个批处理文件,输入以下内容,并以*.bat保存: net localgroup administrators domain\user /add 其中,USER为你当前需要提升权限的用户名。 3.点击“开始→运行”并输入“DSA.MSC”→打开Active Director用户和计算机→右键点击需要设置的OU→“属性”→组策略→“编辑”。 4.打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。 5.在命令提示符下输入gpupdate /force,重启计算机。 Tom Zhang 张一平 在线技术支持工程师 微软全球技术支持中心各位,net user %username% administrators /add 这个脚本会无法执行的。 因为要想加入本地管理员组,就需要管理员权限,也就是说只能用计算机登录脚本在用户登录之前执行 但此时用户还没有登录,根本无从获取 %username%变量。 登录之后,倒是获取到 %username%变量了,但普通的users权限是不能添加管理员群组账户的。这个问题的解决方法,有二 要不,用runas,使用管理员账户在用户登录之后添加,但将管理员账户和密码写在脚本里非常不安全。 要不,就是只能做计算机启动脚本,将domain users这个组添加到本地管理员群组中去。但又会让 所有域用户都可以在域中任何一台电脑上,执行管理员权限,这样做也不安全。 用户之所以有这样的需求,其实是为了避免用户操作或者客户端软件在域环境中遭遇的权限限制问题, 如果说用户这么做只是暂时的权益之计,尚可,否则就是与活动目录的宗旨背道而驰!最终的解决方法还是要解决用户在域中所遇到的问题,例如软件权限限制问题的解决方法可以参考
2. 求BAT脚本:在AD域中,客户端自动判断当前登录用户信息,自动映射到对于网络文件夹问题
我一般是在域服务器上为用户分组,并把部门的共享文件夹赋权限给不同的组。
用户的共享文件夹名与其账户名一样,这样就可以用%USERNAME%来代替用户名了。
用户的共享文件夹的共享名称最好是隐藏的,这样不会干扰其他用户。
这样就只需一个批处理,全部用户使用了。
3. Win10怎么安装AD管理工具
windows 8可以安装AD10。
1、加载AD10光盘,运行ad安装程序。
2、根据软件界面的提示,完成路径选择已经安装的内容。
3、等待安装完成即可。
AD10全称:Altium Designer 10,Altium Designer 提供了唯一 一款统一的应用方案,其综合电子产品一体化开发所需的所有必须技术和功能。Altium Designer 在单一设计环境中集成板级和FPGA系统设计、基于FPGA和分立处理器的嵌入式软件开发以及PCB版图设计、编辑和制造。并集成了现代设计数据管理功能,使得Altium Designer成为电子产品开发的完整解决方案-一个既满足当前,也满足未来开发需求的解决方案。
4. AD域控制器使用组策略来管理AD用户
首先,默认的域账户是的确只有这样的权限,如果域控制器要变更某一账户或组的权限需要把账户加入到高权限的组,一般来说是加入客户端的本地管理员组,然后再用组策略去禁止显示我的电脑属性以防客户端无故退域,如果楼主需要将域的部分用户在客户端有管理权限的话可以在域控上把相应用户加入一个新创建的全局组,然后在本地客户端把这个全局组加入到本地管理员就可以了,当然你可以利用组策略的委派登录脚本来完成。
5. Win2003AD域控,设置有自动关机脚本,如何使关机脚本不应用到AD本身
win2003自身带有计划任务,根据系统提示建立关机计划任务即可,无需脚本,也不需要跟任何程序关联。
6. Windows AD域通过GPO设置客户端电脑本地管理员账号密
0x01 介绍
在实际生产环境中,由于Windows AD域的限制,桌面对客户端电脑进行软件安装或其他系统配置时,均需要管理员权限,而网内客户端众多,不同客户端电脑密码可能都是不同的,也经常忘记本地管理员密码,所以这时候就需要批量变更客户端的本地管理员密码。
0x02 环境介绍
DC:Windows Server 2012R2 域名:yeah.local
CLIENT:Windows 7 已经将客户端加入域
0x03 操作步骤
1. 首先在DC上用于与计算机控制台,新建一个计算机OU,便于管理,将刚加入域的计算机移动到这个OU中。
2. 在DC上打开组策略管理工具,新建一条策略,命名自己能看懂即可
3. 并对此策略进行设置,依次展开 计算机配置— 策略 — Windows设置 —安全设置 — 安全选项 — 账户:重命名系统管理员账户 将administrator用户重命名其他,此处修改为Local_admin。
4. 然后再回到Windows设置 — 脚本(启动/关机),新建一条启动脚本。
#启动脚本内容:意思为新建administrator用户,密码设置为passwd1!,启用此账户
net user administrator passwd1! /active:yes
将脚本内容复制到txt,另存为cmd后缀或者bat后缀文档,然后点开启动属性,点开显示文件,出来路径,将脚本文件粘贴到路径中,再点开编辑浏览到刚才路径,选中写好的开机脚本文件。
另外,有时候还有特殊需求,比如域中客户端用户由于一些特殊原因需要本地管理员权限,有这个需求的时候又不可能每次到跑到客户端操作电脑,因 此可以使用受限制的群组,设定,当域中某些特定用户需要有本机管理员权限的时候就可以直接在AD服务器上操作即可。
5. 回到用户和计算机管理工具,在Users中新建一个组,命名为Local-admins并将张三加入到此用户组测试。
6. 再回到组策略管理工具中,此处依旧挂载在这条GPO策略上,找到计算机配置 — Windows设置 — 安全设置 — 受限制的组 新建Administrators 组,并将默认需要添加到客户端本地管理员的用户与用户组添加进来。
7. 确定后关闭这条GPO编辑页,回到组策略管理工具,找到之前新建的yeah-Computers计算机组的OU,右键链接到现有GPO找到刚新建的GPO,链接确定。
8. 此时,到DC服务器中强制刷新组策略。
#强制刷新组策略命令
gpupdate /force
9. 找一台客户端验证策略是否生效,以本地管理员用户Local_admin登录,查看策略是否生效,因为应用的是计算机策略,只能在本地管理员账号下看到策略是否应用。
#查看当前用户计算生效gpo
gpresult/r
#如发现策略没应用,可多执行几次强制刷新策略命令
gpupdate /force
10. 可以看到策略已经应用,我们再切换用户,以张三登录客户端,右键点击计算机,计算机管理–本地用户和组–组–administrators,可以发现当前已经有我们设定的用户组位于本地管理组中了。
到此已经完成需求的所有操作,即通过GPO统一设置域内计算机本地管理员账户重命名为Local_admin,并在AD上新建一个Local-Admins用户组,将这个组加入到客户端本地管理员组中,后续需要用到本地管理员的域用户只要在AD上将用户加入到这个组即拥有本地管理员权限
7. 公司电脑加入AD域管理有什么好处
AD域项目说明
一、权限管理集中、管理成本下降
域环境,所有网络资源,包括用户,均是在域控制器上维护,便于集中管理。所有用户只要登入到域,在域内均能进行身份验证,管理人员可以较好的管理计算机资源,管理网络的成本大大降低。防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障,降低维护成本。通过域管理可以有效的分发和指派软件、补丁等,实现网络内的一起安装,保证网络内软件的统一性。限制员工上网环境,禁止访问非工作以外的其他网站。
二、安全性能加强、权限更加分明
有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写,但另一个人就不可以读写;哪一个文件只让哪个人看;或者让某些人可以看,但不可以删/改/移等。可以封掉客户端的USB端口,防止公司机密资料的外泄。安全性完全与活动目录(Active
Directory) 集成。不仅可在目录中的每个对象上定义访问控制,而且还可在每个对象的属性上定义。活动目录(Active
Directory)提供安全策略的存储和应用范围。安全策略可包含帐户信息:如域范围内的密码限制或对特定域资源的访问权;通过组策略设置下发并执行安全策略。
三、账户漫游和文件夹重定向
个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。当客户机故障时,只需使用其他客户机安装相应软件以用户帐号登录即可,用户会发现自己的文件仍然在“原来的位置”(比如,我的文档),没有丢失,从而可以更快地进行故障修复。在服务器离线时(故障或其他情况),“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作,并在注销或登录系统时与服务器上的文件同步,保证用户的工作不会被打断。
四、方便用户使用各种共享资源
可由管理员指派登录脚本映射分布式文件系统根目录,统一管理。用户登录后就可以像使用本地盘符一样,使用网络上的资源,且不需再次输入密码,用户也只需记住一对用户名/密码即可。各种资源的访问、读取、修改权限均可设置,不同的账户可以有不同的访问权限。即使资源位置改变,用户也不需任何操作,只需管理员修改链接指向并设置相关权限即可,用户甚至不会意识到资源位置的改变,不用像从前那样,必须记住哪些资源在哪台服务器上。
五、SMS系统管理服务(System Management Server)
通过能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如WindowsUpdates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
六、灵活的查询机制
用户和管理员可使用“开始”菜单、“网上邻居”或“ActiveDirectory 用户和计算机”上的“搜索”命令,通过对象属性快速查找网络上的对象。例如,您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户。通过使用全局编录来优化查找信息。
七、扩展性能较好
WIN2K的活动目录具有很强的可扩展性,管理员可以在计划中增加新的对象类,或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。
八、方便在 MS 软件方面集成
如ISA、Exchange、Team Foundation Server、SharePoint、 SQL Server等。
J九、域的规划建议
1、系统集成在做企业网络维护过程中,采用单域单站点管理模式,建设AD与BAD,即主域控器与备份域控制器,在其下面采用OU(组织单元)的模式进行集中管理各部门人员与电脑。此种管理模式,成本降低,且减少管理复杂度和维护量。
2、AD(主域控制器):公司所有权限管理,用户建立以及各种策略、软件等的管理及实施到每台电脑。
3、BAD(备份域控制器):采用与AD完全相同的设置,继承AD上的所有管理资料,防止AD出现故障后,公司电脑无法登陆AD和使用网络资源,,将BAD服务器做成WSUS服务器(windows补丁服务器),管理公司所有电脑的补丁的下载与提供安装的服务,如有需要还可集成ISA SERVER服务器,进行公司网络的管控(上网行为管理)
4、域的服务器配置建议在XEON 2.8G 4G内存,硬盘视需求而定,硬盘做RAID,AD数据定期做完整,增量,异地备份。
8. 我在AD组策略开机加载一BAT脚本到每个域用户。
假如说你这个是安装在c盘,并且安装后会有个setup.exe文件,那批处理检查c盘是否存在这个文件
if exist c:\setup.exe (exit) else goto 安装包
9. 17版ad运行脚本在哪里
17版ad运行脚本在AD软件。具体的步骤如下:
1、打开AD软件点击文件。
2、点击运行脚本。
3、即可找到17版ad运行脚本。
10. 如何在AD中批量创建域用户
一、创建用户的方法创建用户的方法,常用的无外乎以下几种:
1. 利用AD用户和计算机(ADUC)。
2. 利用CSVDE批量建用户
3. 利用LDIFDE批量建用户
4. 利用脚本批量建用户
5. 利用for…..do…循环命令,批量建用户 以上是五种创建域用户的方法,但第一种只能创建单个域用户,其它四种是批量创建用户方法。在后四种指量创建用户方法中,哪一种更为简单呢? CSVDE与LDIFDE批量创建用户的方法,需要有一个很好(主要是文件格式)的文档支持,这个文档编辑起来,非常的困难。脚本批量创建用户,需要有大量的程序量,不是写程序的管理员,很难搞定。for....do...dsadd user命令,批量创建用户方法,简单、实用。
本文介绍的是最后一种For... do循环命令,结合dsadd user命令批量创建用户。该简单、实用,推荐使用!
二、收集企业的通讯录:
三、编辑通讯录,并保存为.Csv格式说明:
1、此文档保存格式为.Csv格式;
2、各列数值不能为空;
3、命令执行时,删除第1、2、3、4行;
4、各列对应的字段与命令见表中; 四、创建For... do循环命令(结合dsadd user命令) 命令格式: for /f "tokens=1,2,3,4,5,6,7,8,9,10,11 delims=," %a in (c:users.csv) do dsadd user "cn=%c,ou=UserTest,dc=techone,dc=com" -samid %d -upn %d -ln %a -fn %b -pwd %e -title %f -dept %g -company %h -tel %i -mobile %j -iptel %k -disabled yes
相关注明: 1、先用Excel表格做一个简单模版,将其保存为.csv格式! 2、再用For命令结合dsadd 来完成批量创建用户! 3、tokens=1,2,3,4,5,6,7,8,9,10,11 :表示有11个变量(参数为表格内的11个参数,顺序为A/B/C/D/E/F/G/H/I/J/K 这11个参数见Csv表格)
delims=, :表示分隔符为“,”
%a in (c:users.csv) :表示变量从路径“c:users.csv”中取数据
dsadd :添加命令
cn=%c,ou=UserTest,dc=,dc=com :表示所创建的用户名与创建位置
-samid %d -upn %d:表示登录名为变量d
-ln %a :设置用户姓为变量a
-fn %b :设置用户名为变量b
-pwd %e :设置密码为变量e -title %f :设置职务为变量f -dept %g :设置部门为变量g -company %h:设置公司为变量h -tel %i :设置电话为变量i -mobile %j :设置移动电话为变量j -iptel %k :设置IP电话为变量k
-disabled yes :表示导入以后为禁用状态 更多的参数,请参考dsadd user /?
五、在AD服务器上,执行以下步骤:
1、在AD管理工具中,创建一个OU,名为UserTest;
2、在CMD命令下,键入上述命令:
六、在AD管理工具,上刷新UsersTest,看到创建的相关用户。全部选中,然后开启用户。
七、查看用户属性,相关属性值已存在。
八、抽样使用批量创建的域用户,登陆,结果正常。批量创建域用户