AD 故障整理.docVIP

活动目录（Active Directory）域故障解决实例 ??前面我们讲过安全策略是组策略的子集（一部分），我们会首先讨论和安全策略相关的实例，然后才是其它的策略。 Q1、普通域用户无法在DC上登录？ ???????为了保护域控制器，默认能在DC上登录的用户只有：Administrators、Account operators、Backup operators、Server operators、Print operators这些特定的管理组。要想使普通域用户有权在DC上登录，可以将其加入到这些组中。 ???????但更多时候，我们不想让用户有过多的权利权限，也可以在开始/程序/管理工具/域控制器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加，指派其在DC上登录的权利即可。 Q2、在03域中添加用户时，总是提示我不符合密码策略，怎么办？ 对于03，默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求，且密码最小长度为7。口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。 我们可以设置复杂一些的密码，也可以重新设默认域的安全策略来解决。操作如下： 开始/程序/管理工具/域安全策略/帐户策略/密码策略： ¨????????? 密码必须符合复杂性要求：由“已启用”改为“已禁用”； ¨????????? 密码长度最小值：由“7个字符”改为“0个字符”。 欲策略设置马上生效，可利用gpupdate进行刷新。（具体见前） ???????如果添加的是本地用户，解决办法与此相同，只不过修改的是本地安全策略。 Q3、在2000/03域中，前网管设置了一个开机登陆时的提示页面，已过时，现想取消，如何操作？ 登录到本机时出现，则在管理工具/本地安全策略，或开始/运行：gpedit.msc中配置。若是登录到域时出现，则在管理工具/域的安全策略，或AD用户和计算机/属性/组策略中配置。具体会涉及到：安全设置/本地策略/安全选项下的这两条， ¨????????? 交互式登录：用户试图登录时消息标题 ¨????????? 交互式登录：用户试图登录时消息文字 Q4、如何设置不让用户修改计算机的配置（如TCP/IP等）？ 可以利用本地策略或基于域的组策略锁定，具体操作： 1、??本地：开始/运行：gpedit.msc。或 2、??域：开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略 3、在用户配置/管理模板/网络/网络及拨号连接：禁止访问LAN连接的属性。 说明： 1、??若利用本地策略实现，本地管理员，可以重新设置策略解开。 2、??若利用域策略实现，只是域用户受此限制。本地管理员，不受此限制。 所以应该不给用户本地管理员口令，让用户以非本地管理员/域用户身份登录。为了保证用户能安装软件或做其它管理工作，可将其加入本地的Power Users组。 Q5、非管理员用户无法登录到终端服务器？ ???????欲使用户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server，对于2000S需要在服务器上安装终端服务，对于03S只需在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机”即可。对于管理员默认即可通过TS登录进来。 ???????非管理员用户通过终端服务无法登录，除了网络连接方面的问题以外，主要有以下五个方面的原因： 1、终端服务器同时是DC，而普通用户无权在DC上登录。 ???????解决办法：具体见前。 2、安全策略/本地策略/用户权利分配：通过终端服务允许登录。 ???????这是03特有的，2000没有这条安全策略。解决办法， 方法一、在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机”选项后，单击“选择远程用户”/添加。用户将被自动加入到Remote Desktop Users组，而这个组默认有“通过终端服务允许登录”的权利。 方法二、手动将用户加入到Remote Desktop Users组 方法三、手动直接指派用户“通过终端服务允许登录”的权利 注意：如果终端服务器同时是DC，必须使用方法三。原因是为了保护DC，DC上的本地安全策略里，只允许Administratrs组有此权利，而将Remote Desktop Users组删掉了。 3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限。 ???????解决办法：手动将用户加入到Remote Desktop Users组，或确保用户在此权限下有来宾访问或用户访问的权限。 4、用户所用帐号口令为空。 ???????若终端服务器为03，用户使用此