域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。当电脑联入网络时,域控制器首先要鉴别这台电脑是否是属于这个域的,用户使用的登录账号是否存在、密码是否正确。如果以上信息有一样不正确,那么域控制器就会拒绝这个用户从这台电脑登录。不能登录,用户就不能访问服务器上有权限保护的资源,他只能以对等网用户的方式访问Windows共享出来的资源,这样就在一定程度上保护了网络上的资源。
要把一台电脑加入域,仅仅使它和服务器在网上邻居中能够相互"看"到是远远不够的,必须要由网络管理员进行相应的设置,把这台电脑加入到域中。这样才能实现文件的共享。
1.电脑用户名:就是电脑使用者的用户账户名,其权限分为:
超级管理员,管理员,标准用户,来宾用户,
超级管理员的用户名系统默认为Administrator
管理员用户和标准用户可以电脑使用者自己创建账户并自定义用户名.
来宾用户用户名系统默认为
Guest
(默认不启用)
2.电脑(计算机)
域:
域是一个有安全边界的计算机集合,在同一个域中的计算机彼
计算机域此之间已经建立了信任关系,在域内访问其他机器,不再需要被访问机器的许可。
在加入域的时候,管理员为每个计算机在域中(可和用户不在同一域中)建立了一个计算机帐户。计算机帐户的密码在域中称为登录票据,它是由WIN2000的DC(域控制器)上的KDC服务来颁发和维护的。
为了保证系统的安全,KDC服务每30天会自动更新一次所有的票据,并把上次使用的票据记录下来。服务器始终保存着2个票据,其有效时间是60天,60天后,上次使用的票据就会被系统丢弃。如果GHOST备份里带有的票据是60天的,那么该计算机将不能被KDC服务验证,从而系统将禁止在这个计算机上的任何访问请求(包括登录)。
3.密码:
是一种用来混淆的技术,它希望将正常的(可识别的)信息转变为无法识别的信息。当然,对一小部分人来说,这种无法识别的信息是可以再加工并恢复的。密码在中文里是“口令”(password)的通称。
密码在电脑中,分为,BIOS开机密码
操作系统用户登录密码,
各种软件程序的加密密码,登录密码.
使用net user 命令编辑用户帐户属性。方法1:使用“Active Directory 用户和计算机”管理单元启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。在控制台树中,单击包含所需用户帐户的容器。在右窗格中,右键单击相应的用户帐户,然后单击“属性”。单击“帐户”选项卡,然后单击“登录时间”。单击“全部”以选中所有可用时间,然后单击“拒绝登录”。选择允许该用户登录到域的时间段,然后单击“允许登录”。登录时间表下方的状态行会显示当前选择的登录时间。例如,“星期一到星期五上午 8 点至下午 5 点”。配置完登录时间后,单击“确定”,然后单击“user account 属性”对话框中的“确定”。 退出“Active Directory 用户和计算机”管理单元。 方法2:使用 Net User 命令行语句单击“开始”,然后单击“运行”。在“打开”框中,键入 cmd,然后单击“确定”。键入net user username /time:logon_times(其中 username 是用户帐户的名称,logon_times 是允许用户访问域的日期和时间),然后按 Enter。
以下信息对您使用 /time 开关会有帮助: 日期可以拼写出来(如 Monday),也可以缩写(如 M、T、W、Th、F、Sa、Su)。可以使用 12 小时(1PM 或 1P.M.)或 24 小时 (13:00) 时间制。空值表示用户永远不能登录。 值为“全部”表示用户随时都可以登录。使用连字符 (-) 可标记日期或时间范围。例如,要创建从星期一到星期五的范围,可键入 M-F,或 monday-friday。要创建从上午 8:00 到下午 5:00 的时间范围,可键入 8:00am-5:00pm、8am-5pm,或 8:00-17:00。 将日期和时间项用逗号隔开(如 monday,8am-5pm)。将日期和时间单元用分号隔开(如 monday,8am-5pmtuesday,8am-4pmwednesday,8am-3pm)。不要在日期或时间之间使用空格。示例 以下示例显示了如何更改特定用户帐户的登录时间。 要使用 24 小时制设置 John 的登录时间(从上午 8:00 到下午 5:00),请键入以下命令,然后按 Enter:
net user john /time:M-F,8am-5pm要将Mary 的登录时间指定为星期一早上 4:00 到下午 5:00,星期二下午 1:00 到下午 3:00,星期三到星期五的上午 8:00 至下午 5:00,请键入以下命令,然后按 Enter:
步骤1:创建用户帐户列表启动“Active Directory 用户和计算机”管理单元。方法是,单击“开始”,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。在控制台树中,单击相应的组织单位,或单击包含所需用户帐户的“Users”文件夹。 在“操作”菜单上,单击“导出列表”。在“另存为”对话框中,在“文件名”框中键入所需的文件名。在“保存类型”列表中,单击“文本文件(逗号分隔)(*.csv)”,然后单击“保存”。使用文本编辑器(如记事本)编辑该 .csv 文件,从中删除不希望应用登录限制的项目。用户帐户列在一个标题下,每行一个帐户。此外,您可能还需要编辑此文件中的用户名,以使其与您在命令提示符处键入 Net User 时显示的用户帐户名相符。
以下是这个文件的一个示例:
Name, Type, Description, Joe,User,, Sally,User,Account created for Sally, Betty,User,, Bob,, 步骤2:使用 Net User 命令编辑登录时间 使用net user 命令对在“步骤1:创建用户帐户列表”中创建的 .csv 文件中的帐户应用登录限制。 单击“开始”,然后单击“运行”。在“打开”框中,键入 cmd,然后单击“确定”。键入以下命令,其中 file_name 是包含已导出用户帐户的 .csv 文件的名称,logon_times 是允许用户访问域的日期和时间:
for/F "skip=1 tokens=1 delims=," %i in (file_name.csv) do net user %i /time:logon_times 此命令只有一行。将其换行是为了便于阅读。
注意:以下命令只有一行。将其换行是为了便于阅读。 要允许用户从星期一到星期五的上午 8:00 至下午 5:00 登录服务器,请键入以下命令,然后按 Enter:
for/F "skip=1 tokens=1 delims=," %i in (exportusers.csv) do net user %i /time:monday-friday,8am-5pm要允许用户在星期一和星期五上午 8:00 至下午 1:00,星期二到星期四的上午 8:00 至下午 5:00 登录服务器,请键入以下命令,然后按 Enter:
for/F "skip=1 tokens=1 delims=," %i in (exportusers.csv) do net user %i /time:m,8:00AM-1:00PMt-th,8:00AM-5:00PMf,8:00AM-1:00PM 可以在批处理文件中使用此命令。但是,必须对每个变量另外加一个百分号 (%)。以下示例代码对此进行了说明:
for/F "skip=1 tokens=1 delims=," %%i in (exportusers.csv) do net user %%i /time:m,8:00AM-1:00PMt-th,8:00AM-5:00PMf,8:00AM-1:00PM 注意:在此示例中,该命令只有一行。将其换行是为了便于阅读。
使用组策略实施登录时间限制 可以使用组策略来实施所应用的登录时间限制。
步骤1:创建组策略对象 创建用于实施客户端登录限制的组策略对象 (GPO): 启动“Active Directory 用户和计算机”管理单元。方法是,单击“开始”,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。在控制台树中,右键单击包含所需域控制器的域或组织单位,然后单击“属性”。单击“组策略”选项卡,然后单击“新建”。为此策略键入一个名称(如帐户登录限制),然后按 Enter。 单击“属性”,然后单击“安全”选项卡。对于您不希望应用该策略的安全组,请单击以清除与其对应的“应用组策略”复选框。对于希望应用该策略的组,请单击以选中“应用组策略”复选框。完成后,单击“确定”。步骤2:实施登录时间限制启动“Active Directory 用户和计算机”管理单元。方法是,单击“开始”,指向“程序”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。在控制台树中,右键单击包含要编辑的域控制器 GPO 的域或组织单位,然后单击“属性”。单击“组策略”选项卡,选择所需的 GPO,然后单击“编辑”。在“计算机配置”下,依次展开“Windows 设置”、“安全设置”、“本地策略”,然后单击“安全选项”。在“组策略”管理单元的右窗格中,双击“Microsoft 网络服务器:当登录时间用完时自动注销用户”。单击以选中“定义这个策略设置”复选框,单击“已启用”,然后单击“确定”。关闭“组策略”管理单元,然后单击“确定”。疑难解答 组策略更改没有立即生效。组策略后台处理可能要花 5 分钟才能在域控制器上刷新,而在客户端计算机上进行刷新所用的时间可能长达 120 分钟。要强制对组策略设置进行后台处理,请使用 gpupdate 命令。
注意:secedit /refreshpolicy 已替换为 gpupdate。有关 gpupdate 命令的更多信息,请参见 Windows Server 2003 帮助。为此,请按照下列步骤操作: 单击“开始”,然后单击“运行”。在“打开”框中,键入 cmd,然后单击“确定”。键入gpupdate,然后按 Enter。回到顶端 | 提供反馈
欢迎分享,转载请注明来源:夏雨云
评论列表(0条)