6425C-Lab5 管理计算机帐户
本次实验共包括3个实验。
实验5A,创建计算机帐户并加入到域。
实验5B,管理计算机对象和帐户。
实验5C,执行离线加入域。
==========
实验5A
共有3个练习:
第1个练习,使用Windows界面将计算机加入域。
第2个练习,可靠的计算机加入。
第3个练习,管理计算机帐户的创建。
练习1:使用Windows界面将计算机加入域
任务1:标识和纠正DNS的错误
为了验证DNS的效果,我们先来修改网络属性。在本地连接的“属性”中,修改“Internet协议版本4 (TCP/IPv4)”,指定DNS服务器为10.0.0.11 。
然后,使用以下方式之一打开“系统”属性:
- 点“开始”,右键点“计算机”,然后选“属性”。
- 从“控制面板”打开“系统”。
- 同时按键盘上的Windows徽标键和Pause键。
在“计算机名称、域和工作组设置”区域,点右侧的“更改设置”。弹出“系统属性”对话框。
在“计算机名”选项卡,点“更改”。弹出“计算机名/域更改”对话框。
在“隶属于”区域,选择“域”,然后在输入框中填写域的FQDN(fully qualified domain name”为contoso.com 。注意:不要用域的NetBIOS名称(即“contoso”)。最后,点“确定”。
这时,出现一个对话框,提示找不到域控制器。点“详细信息”可查看更多的信息,显示错误是:“DNS名称不存在”。
取消上述变更。
修改网络属性。在本地连接的“属性”中,修改“Internet协议版本4 (TCP/IPv4)”,指定DNS服务器为192.168.1.1 。
说明:如果你在域名称输入框中填写“contoso”,而不是“contoso.com”,那么你可能成功地加入了域。这是因为在使用FQDN时,系统会强制使用DNS进行名称解析。域名“contoso”是一个单标签的域名称,它可以被NetBIOS名称解析。即使这样可以成功地加入域,但是客户端仍然可能在某些方面存在问题,例如:查找DC、在域中查找其他资源。因此,最好在加入域之前为客户端计算机指定DNS。
任务2:加入域
重复上一任务的步骤,将客户端加入到“contoso.com”域。期间会弹出一个“Windows安全”对话框。
输入一个普通用户“ZhangS”的帐户和密码,点“确定。完成后会显示一个消息,欢迎加入域。
说明:只需使用一个普通用户的帐户。尽管该用户没有特殊的权限和授权,但是他也可以将计算机加入域。
注意:此处使用的“ZhangS”用户必须能够在客户端计算机上正常登录。如果该用户帐户指定了“用户下次登录时须更改密码”,那么在将计算机加入域时会报错。
加入域之后,会提示你重新启动这台计算机。
立即重启这台计算机。
任务3:验证本地的计算机帐户
使用管理员的凭据运行“Active Directory用户和计算机”
在左侧的树型列表中,展开“contoso.com”域,然后点“Computers”容器(container),验证计算机HQDC2显示在这个容器中。
说明:新加入域的计算机帐户默认都位于“Computers”容器。
任务4:从域中移除计算机帐户
以本机管理帐户(HQDC2\administrator)登入HQDC2计算机。
参考任务1的操作,打开“计算机名/域更改”对话框,在“隶属于”区域选择“工作组”,然后在输入框中填写“WORKGROUP”。
说明:如果是以普通用户帐户登入这台计算机,在更改计算机名称和域的配置时会要求输入管理员凭据。而且在加入工作组时,会弹出提示作息。
加入工作组成功之后,会出现提示。
然后,还有信息提示你重新这台计算机。
重启计算机。
任务5:删除HQDC2帐户
转到HQDC1计算机,打开“Active Directory用户和计算机”,找到“Computers”容器。这时候,可以看到计算机帐户HQDC2是禁用状态。
在任务4的操作中,在将计算机退出域时没有提示输入域的凭据,计算机帐户只是被重置为“禁用”状态。那么,在这个操作时,使用了什么样的凭据呢?
这是一个狡猾的问题!在对域做一些变更时,例如重置并禁用一个计算机帐户,需要具有适当权限的域的凭据;并且需要信任客户端的本地管理员组改变计算机的工作组/域的成员资格。
在上一操作时,你使用了本地管理员HQDC2\administrator登录HQDC2,所以你可以改变计算机的工作组/域的成员资格。通常情况下,你将被提示输入域的凭据;但是HQDC2\administrator和contoso\administrator的密码相同,Windows尝试在后台使用contoso\administrator进行身份验证。因此在这个时候,你当然有权限对域做一些变更。
在正式的生产环境,域的Administrator帐户应该使用较长的、复杂的、安全的密码,而且密码应该不同于域成员计算机的Administrator帐户密码。在这种情况下,当本地管理员将计算机退出域时,会提示输入域的凭据。
在“Computers”容器删除HQDC2。确认之后,删除这个计算机帐户。
任务总结:
通过本次实验,你将熟练将计算机加入到域。
练习2:可靠的计算机加入
任务1:重定向默认的“computer”容器
转到HQDC1,在“contoso.com”域新建一个名为“New Computers”的OU。
在命令提示符窗口输入以下命令:
redircmp "OU=New Computers,DC=contoso,DC=com"
命令输出信息将显示“重定向成功”。以后新加入域的计算机帐户都将默认位于这个容器。
任务2:限制不受管理的域加入
在“管理工具”中选择“ADSI编辑器”。
右键点“ADSI编辑器”,点“连接到”,弹出“连接设置”对话框。
在“选择一个已知命名上下文”下拉列表中选择“默认命名上下文”,然后点“确定”。
点“默认命名上下文[HQDC1.contoso.com] ”,在右侧详细显示区域,右键点
域文件夹“DC=contoso,DC=com”,再点“属性”。
在属性对话框找到ms-DS-MachineAccountQuota选项,点“编辑”,将其值改为0 。
点“确定”关闭属性对话框。最后关闭“ADSI编辑器”。
任务3:验证ms-DS-MachineAccountQuota的效果
以本地管理员帐户登录到HQDC2,尝试将这台计算机加入域。在要求提供域和凭据时,使用普通用户“ZhangS”的帐户。最后,会出现一个报错信息如下:
点“确定”关闭消息窗体。然后点“取消”关闭属性对话框。
任务总结:
通过这次实验,你将计算机帐户从默认容器重定向到另一个OU,然后限制未被经授权的用户将计算机加入域。
练习3:管理计算机帐户的创建
任务1:预设一个计算机帐户
转到HQDC1计算机,在“Active Directory用户与计算机”控制台,找到“Role”OU,新建一个组“AD_Server_Deploy”,并将用户“ZhangS”加入到这个组。
为“contoso.com”域新建一个名为“Servers”的OU,然后在这个OU“创建”“计算机”。
“计算机名称”输入“HQDC2”,“下列用户或组可以将此计算机加入到域”区域默认为“域管理员”,点“更改”,改为“AD_Server_Deploy”组。然后点“确定”保存。
转到HQDC2计算机,将其加入域。
重复上述操作,再添加一个名为“CL1”的计算机帐户,同样地更改为“AD_Server_Deploy”组可将此计算机加入到域。
任务2:使用NetDom远程使用预设的帐户将一台计算机加入
为了简化操作,请将客户端计算机CL1的防火墙关闭(注意:是在控制面板中关闭防火墙的功能,不是在“服务”中停用防火墙的服务),然后启用本地Administrator帐户,以CL1\Administrator登入CL1计算机。
以HQDC2\administrator帐户登录HQDC2。按住Shift键,点“开始”菜单,然后右键点“命令提示符”,点“以其他用户身份运行”。
以普通用户“ZhangS”的帐户运行。(该用户是AD_Server_Deploy组的成员,有权限将计算机HQDC2加入到域)
在“命令提示符”窗口,请输入命令行:
“whoami /groups ”
此命令用于确认该用户属于“AD_Server_Deploy”组,但不属于“Domain Admins”组。
然后输入以下命令:
netdom join CL1 /domain:contoso.com /UserO:Administrator /PasswordO:* /UserD:CONTOSO\ZhangS /PasswordD:* /REBoot:5
首先出现提示,要求输入与域用户CONTOSO\ZhangS相关联的密码。
接着又提示,要求输入本地用户CL1\Administrator相关联的密码。
命令执行成功之后,CL1计算机会在5秒钟内重启(CL1的桌面会提示:由于域成员身份变更引起关闭)。
以普通用户“ZhangS”登录到CL1计算机,确认这台计算机成功地加入了域。
任务总结:
通过本次练习,你使用一个组的成员帐户将计算机加入到域。
==========
实验5B
共有2个练习:
第1个练习,通过计算机对象的生命周期管理它们。
第2个练习,对计算机对象的管理和排错。
练习1:通过计算机对象的生命周期管理它们
任务1:配置计算机对象的属性
转到HQDC1计算机,运行“Active Directory用户和计算机”,“Server”OU找到CL1这个计算机帐户,编辑它的属性,例如,修改它的“管理者”。
如果这个OU有多个计算机帐户,可以复选他们,然后编辑他们的共同属性。
任务2:添加计算机帐户到管理组
右键单击CL1,选“添加到组”,将其添加到“Special Project”组。
另一种方式:找到“Special Project”组,然后编辑它的属性,在“成员”选项卡,添加计算机帐户CL1。
任务3:在OU间移动计算机帐户
在“contoso.com”域新建一个名为“Client Computers”的OU。然后将CL1计算机帐户从“Server”OU移动到“Client Computers”OU。
任务4:禁用、启用和删除计算机帐户
点CL1这个计算机帐户,右键菜单选“禁用帐户”。这时会出现一个警告信息框。
点“是”进行确认,然后会出现一个提示信息:CL1对象已被禁用。
在右键菜单中选“启用帐户”,然后会出现一个提示信息:CL1对象已被启用。
在右键菜单中选“删除”,则可以删除这个计算机帐户。
任务总结:
通过本次练习,你添加了一个计算机帐户,而且将它在OU间移动,以及添加到管理组。
练习2:计算机帐户的管理和排错
任务1:重置一个计算机帐户
选中计算机帐户,右键菜单中选“重置帐户”。
任务2:
以contoso\ZhangS帐户登入CL1计算机。
转到HQDC1,在“Active Directory用户和计算机”中重置CL1这个计算机帐户。完成后,显示信息:CL1对象已经成功重置。
由于这时CL1计算机已经正确连接到域,这个操作将中断域的帐户的信任关系不包括CL1。当再次尝试以contoso\ZhangS帐户登入CL1计算机时,显示信息:此工作站和主域之间的信任关系失败。
任务3:重置信任通道
转到HQDC1,在“Active Directory用户和计算机”中,右键点CL1,选“重置帐户”。
重置成功之后,需要将CL1计算机退回到工作组,然后再加入域。现在,请不要执行这步操作,我们将会在下一个实验中执行。
任务总结:
通过本次练习,你解决了信任关系的问题。
==========
实验5C
共1个练习。
练习:执行脱机加入域
任务1:确认客户端计算机没有加入域
以CL1\administrator帐户登入CL1,将这台计算机加入到工作组Workgroup。重启计算机。然后再以这个帐户登录。
任务2:预备一个计算机帐户并执行脱机线加入
转到HQDC1,删除CL1计算机帐户。
然后在“命令提示符”窗口执行下列命令:
djoin /provision /domain contoso.com /machine CL1 /savefile C:\LabFiles\CL1.txt
由于我们在前面的实验中已经将默认将新的计算机帐户添加到“New Computers”容器,打开“Active Directory用户和计算机,检查“New Computers”容器是否存在CL1计算机帐户。
打开资源管理器,将C:\LabFiles\CL1.txt文件复制到CL1计算机的C:\DJOIN 。
转到CL1,以本机管理员的凭据打开“命令提示符”,然后运行以下命令:
djoin /requestodj /loadfile C:\DJOIN\CL1.txt /windowspath %SystemRoot% /localos
确认命令已经执行成功之后,重启这台计算机。然后以contoso\ZhangS帐户登录,证明这台计算机已经成功加入域。
任务总结:
通过本次实验,你使用脱机加入的技术将一台计算机加入到域。
转载于:https://blog.51cto.com/jimshu/810845
6425C-Lab5 管理计算机帐户相关推荐
- 管理计算机域内置账户改为用户账户,“管理计算机(域)的内置帐户”我给它改了名...
在Windows XP中,Administrator帐户是终极管理员,如果你创建了其他管理员帐户,那么该帐户就会从欢迎屏幕上被隐藏.这里需要注意的是,仅仅是从欢迎屏幕上被隐藏,该帐户仍然存在. 如果你 ...
- 远程管理计算机用户账户限制,用户帐户控制和远程限制 - Windows Server | Microsoft Docs...
Vista 中的用户帐户控制和远程Windows说明 09/08/2020 本文内容 本文介绍了用户帐户控制 (UAC) 和远程限制. 适用于: WindowsVista 原始 KB 编号: 9 ...
- 将最小特权原则应用到 Windows XP 上的用户帐户
将最小特权原则应用到 Windows XP 上的用户帐户 发布日期: 2006年07月03日 若要查看有关本指南的评论或讨论,请访问 [url]http://blogs.technet.com/sec ...
- 将最小特权原则应用到Windows XP用户帐户
引言 联网技术的最新发展(如与 Internet 间的永久连接)给各种规模的组织带来了极大的机遇.不幸的是,计算机与网络(尤其是 Internet)之间的连接增加了遭到恶意软件和外部攻击者攻击的风险, ...
- 如何使用 UserAccountControl 标志操纵用户帐户属性
转载: http://support.microsoft.com/kb/305144 概要 在打开用户帐户的属性后,单击帐户选项卡,然后选中或清除"帐户选项"对话框中的复选框,则会 ...
- stackoverflow_StackOverflow帐户如何确保您在公认的开发人员表格中占有一席之地
stackoverflow by Melchor Tatlonghari 由Melchor Tatlonghari StackOverflow帐户如何确保您在公认的开发人员表格中占有一席之地 (How ...
- 关于outlook2010帐户设置
安装了office2010后,首次使用outlook,关于帐户设置,以qq邮件为例 开启imap服务 2.打开outlook2010软件 由于有文字限制,其他的图解请链接http://wlinfang ...
- 8款审核AWS帐户安全性的免费工具,你值得拥有
本文讲的是8款审核AWS帐户安全性的免费工具,你值得拥有, 随着Amazon Web Services(AWS)用户越来越多,用户的账号安全性已经成了一个不容忽视的问题.默认情况下,AWS帐户通常是安 ...
- 计算机上的应用商城,Windows 应用商店帐户将应用安装在多达五台电脑上
在Windows 8中,你可使用 Microsoft 帐户来登录 Windows 应用商店,并将你所拥有的应用安装在多达五台电脑上. 在其他电脑上安装应用的步骤: 1.打开 Windows 应用商店. ...
- win10进不了微软服务器,Microsoft帐户无法登录怎么办 Win10微软账户登录不上解决方法...
今天想要改用Microsoft账户登录,但是无法登录上去,一直转圈并提示请稍等...,最后还提示发生了错误,"请重试,或选择"取消"以后再设置设备",反复测试了 ...
最新文章
- 和12岁小同志搞创客开发:手撕代码,Arduino IDE 软件下载和环境搭建
- 《javascript设计模式》笔记之第十章 和 第十一章:门面模式和适配器模式
- C 家族程序设计语言发展史
- xfs_repair 实际工作中的问题
- 【控制】《最优控制理论与系统》-胡寿松老师-第2章-最优控制中的变分法
- Android Studio——字体大小的修改
- SAP CRM Fiori应用之My Account功能一览
- Java基本语法(6)--算术运算符
- webpack静态资源地址注入html,Webpack4+ 多入口程序构建
- 模拟存储器管理C语言,操作系统-存储器管理实验C语言.doc
- 【自我救赎--牛客网Top101 4天刷题计划】 第四天 登峰造极
- thinkphp5做好的PHP项目上传服务器上,访问任何页面都只显示默认的欢迎页面
- mysql中查看虚拟环境_进程、虚拟环境、mysql
- Html中的favicon ico
- uptool u盘量产工具 v2.093
- 游戏服务端究竟解决了什么问题
- Wasserstein GANs 三部曲(二):Wasserstein GAN论文的理解
- javascript写的日历控件(收藏)
- 一文搞定 JVM 面试,教你吊打面试官~
- layer.photos 查看本地图片,并实现缩放和旋转功能