MIS543: 4月 2014

2014年4月23日星期三

AD限制domain user 自行加入網域

限制一般使用者帳號無法將電腦加入網域

摘錄自

gavint 在天空部落發表於14:53:40 | Windows

我們公司用的是Windows Server 2008 R2 的 AD，一般使用者可以自行將電腦加入公司網域，但有十次的限制，不過我們希望一般使用者無法自行將電腦加入公司網域，要由資訊處人員協助加入才可以。

登入 DC。
執行「群組原則管理」。
展開「樹系 / 網域 / <Domain> / Domain Controllers」。
在「Default Domain Controllers Policy」上按滑鼠右鍵，點選編輯
展開「電腦設定 / 原則 / Windows 設定 / 安全性設定 / 本機原則 / 使用者權限指派」。
點擊「將工作站新增至網域」。
將 Authenticated Users 移除。
並將 Domain Admins 或允許加入網域的帳號新增到該項目中即可。

2014年4月17日星期四

摘錄自http://www.dotblogs.com.tw/kaoht/archive/2011/11/27/59633.aspx

導入AD的第二步

建立公司使用者帳號
公司目前有900左右員工,使用電腦人數約310位左右
我自行開立帳號密碼一個約5分鐘那310位就要我將近26小時間建立帳號,這樣我應該甚麼事情都不用做了
目前MS公司有5種建立大量帳號方式,我採用CSVDE方式建立.
下列人員範例

objectClass,sAMAccountName,dn

user,Petergr," CN=Peter Graham,OU=Newport,DC=cp,dc=com"

user,Janiebo," CN=Janie Bourne,OU=Newport,DC=cp,dc=com"

user,Edgardu," CN=Edgar Dunn,OU=Newport,DC=cp,dc=com"

user,Belindaha," CN=Belinda Hart,OU=Newport,DC=cp,dc=com"

user,Mayja," CN=May Jamieson,OU=Newport,DC=cp,dc=com"

user,Leroyot," CN=Leroy Ota,OU=Newport,DC=cp,dc=com"

將上列的檔案複製後建立adduser.csv檔案,放到AD主機上我放在c:\CSVDE\中

開啟命令提示字元

csvde.exe -i -f "c:\CSVDE\CSVDE_adduser.csv"

// 匯入後 intAccValue = 514 表示帳號無啟動

自動將上列帳號建立完成,但是建立帳號後,此帳號還是無法請用因為沒有密碼.

//再將下面用記事本存成XXX.vbs 但OU要改

strContainer = "OU=CSVOU ," //"OU=XXXX, OU=ZZZZ,"

將下列檔案複製後變成AccountControl.vbs

Option Explicit

Dim objOU, objUser, objRootDSE

Dim strContainer, strLastUser, strDNSDomain, intCounter, intAccValue

Set objRootDSE = GetObject("LDAP://RootDSE")

strDNSDomain = objRootDSE.Get("DefaultNamingContext")

strContainer = "OU=CSVOU ,"

intAccValue = 544

strContainer = strContainer & strDNSDomain

set objOU =GetObject("LDAP://" & strContainer )

intCounter = 0

For each objUser in objOU

If objUser.class="user" then

objUser.SetPassword "P@ssw0rd"

objUser.SetInfo

objUser.Put "userAccountControl", intAccValue

objUser.SetInfo

intCounter = intCounter +1

strLastUser = objUser.Get ("name")

End if

WScript.Echo intCounter & " Users change pwd next logon. Value " _

& intAccValue

WScript.Quit

' End of User Account example VBScript

放到AD主機上執行後所有人的密碼,都會此用"P@ssw0rd"為預設密碼

這樣我大量建立帳號號時間只花了10分鐘將所以帳號密碼設定完成.

以上參數請依自己公司狀況調整,請不要照抄使用.

摘錄自http://rritw.com/a/bianchengyuyan/C__/20131008/430545.html

用CSVDE命令導入導出AD配置

//用Excel表把屬性作出存成csv,來然後再用csvde匯入
csvde -i -f c:\xxx.csv

範例 C:\Users\Administrator>csvde -i -f c:\cuser_160315.csv -j c:\
若不在目錄下檔案路徑記得要打, -j c:\ 是把錯誤或匯入資訊log匯出

CSVDE 全稱为 Comma Separated Value Data Exchange。CSV（comma-separated value）文件實際上只是一個將數據以逗號分隔的文本文件。CSVDE可以在不影響當前配置的情況下導出AD配置信息，也可以將AD配置導入到一個新安裝的AD中。將AD配置導入到正在使用的域中將會直接影響整個系統，因此最好僅在測試環境中進行導入實驗。

一、導出

導出所有AD配置：

csvde -f output.csv

-r: 按LDAP字段過滤

僅一個條件時：

csvde -f users.csv -r "objectCategory=person"

多個條件相“與”：
輸出屬於user對象類型，並且類別为person的所有項目：

csvde -f users.csv -r "(&(objectClass=user)(objectCategory=person))"

多個條件相“或”：
輸出userAccountControl值为514或者546或者66050的所有項目：

csvde -f accountControl.csv -r "(|(useraccountcontrol=514)(useraccountcontrol=546)(useraccountcontrol=66050))"

{!}INFO：關於userAccountControl，請参考lesca博客《UserAccountControl基本屬性、功能對照、常見功能組合》一文。

-d: 按DN中的字段過滤

關於DN的介紹請参考lesca博客的《什麼是DN(Distinguished Names)》一文。下面舉幾個例子：

csvde -d "OU=TEST,DC=lesca,DC=bit" -f example.csv

csvde -d "CN=Users,DC=lesca,DC=bit" -f example.csv

-L: 指定LDAP輸出字段

csvde -f example.csv -l "DN, objectClass, givenName, sn, name"

綜合舉例：

csvde -d "OU=Test,dc=lesca,dc=bit" -m -n -f example.csv -r objectClass=user -l "name, objectCategory, DN"

以下幾個参數值的注意：

-m 用於排除諸如ObjectGUID, objectSID, pwdLastSet, samAccountType之類的屬性
-n 禁止輸出二進制值

二、導入

導入CSV到AD的指令很簡單：

CSVDE -i -k -f test.csv

用Excel可以方便地生成CSV文件，具體操作方法可以見参考鏈接[1]和[3]。本節我們主要討論CSV文件的結構。CSV至少需要三個字段：objectClass, sAMAccountName, DN。下表列出了這些必填字段的用途：

必填屬性
屬性	功能
objectClass	對象類型，通常为user
sAMAccountName	Domain\LogonName中的LogonName
DN	Distinguished Names（了解更多）

除此以外，導入用戶時還可以增加一些額外信息，下面罗列了其他常用可選屬性的功能：

可選屬性
屬性	功能
userAccountControl	用戶账戶控制（了解更多）
userPrincipalName	UPN，如lesca@lesca.bit
givenName	名
SN	姓
initials	姓名縮寫
CN	和DN中的CN字段相同（自動設置）
name	和CN相同（自動設置）
description	描述
title	職位名稱
department	部門
displayName	顯示名稱
c	國家代碼，如CN表示中國
co	國家，如China（自動設置）
st	省
l	城市
company	公司名稱
mail	用戶電子郵件
streetAddress	公司街道地址
postalCode	郵政編碼
physicalDeliveryOfficeName	辦公地點
telephoneNumber	固定電話號碼
mobile	移動電話號碼
facsimileTelephoneNumber	傳真號碼
ipPhone	IP電話
wWWHomePage	網站主頁

三、CSVDE的不足

無法創建账戶密碼
無法創建OU

2014年4月10日星期四

摘錄自 http://blog.miniasp.com/post/2010/01/12/Rename-Computer-after-upgrade-DC-may-fail-DNS-operation.aspx

我有兩台網域主控站(DC)，我將 dc1 所有 FSMO 角色與 Global Catalog 都移轉至 dc2 之後，然後將 dc1 降級，但卻發現 dc2 上面的 DNS 卻會殘留許多 dc1 的 SRV 紀錄，也就是 dc1 在降級時在 dc2 的 DNS 的紀錄並沒有正確同步，導致即便再將 dc1 再次升級成 DC 後，在 dc1 的 DNS 無法正確設定，而錯就錯在之前曾經將 dc1 的電腦名稱修改過，而且是在已經成為網域主控站的時候修改的。
如下圖是我在 dc1 降級後，從 dc2 的 DNS 服務看到的結果，dc1 的 SRV 紀錄並未被移除：

追查到最後的我終於發現在 dc1 的 DNS 無法正常運作的原因！
由於我是在 Hyper-V 下架設 AD 環境，當初我在將 dc1 升級成 DC 後發現電腦名稱忘了改（是一串亂碼那種），然後我就「大膽的」修改電腦名稱，當時畫面是有提醒成員電腦可能會短暫查詢不到 DNS 而出問題題，由於是測試環境就不疑有雷的按下「確定」，然後 AD 也一直都很正常的運作中！（也許是還沒出問題罷了）
直到我將 dc1 給降級，才發現一切都開始變的不穩定，而我重新將 dc1 升級成 DC 後也不見改善，重要的是 dc1 的 DNS 服務運作不正常，在伺服器管理員中出現紅色的警告符號，說 DNS 尚未設定之類的錯誤訊息。
然後我進入 dc1 的 DNS 服務並一個節點一個節點的打開，終於發現在 domain.local\_msdcs 下面的 NS 紀錄竟然放的是修改電腦名稱之前的「伺服器完整網域名稱」，所以才導致 DNS 無法正確設定！

當我將「伺服器完整網域名稱」改正之後，重新啟動 DNS 服務，就一切風平浪靜了！
我覺得這應該是 Windows Server 2008 R2 (含前版) 的 Bug，但避開這個 Bug 最有效的方式就是：

記得在作業系統安裝完成之後就設定好電腦名稱
不要在升級為網域主控站之後才修改電腦名稱
修改了完電腦名稱後必須再次查看 DNS 紀錄是否有漏改的地方(這問題以後的版本或許會解決)

Win7 IDE轉ACHI 不用重灌

摘錄自 http://blog.xuite.net/yh96301/blog/81388614-SATA%E7%A1%AC%E7%A2%9F%E7%94%B1IDE%E6%94%B9%E7%82%BAAHCI%E6%A8%A1%E5%BC%8F

SATA硬碟由IDE改為AHCI模式

22680系統好文轉寄

使用SATA硬碟，已經以IDE模式安裝完成的Windows 7桌上型電腦，電腦開機以後直接按鍵盤的「Delete」鍵進入BIOS，將硬碟由IDE改為AHCI模式〈AHCI：Advanced Host Controller Interface進階主機控制器介面，它是Intel所主導的一項技術，可以發揮SATA硬碟的潛在加速功能，大約可增加30%的硬碟讀寫速度，適用於ASAT2以上的硬碟〉，重新開機以後卻出現「停止 0X0000007B INACCESSABLE_BOOT_DEVICE」的錯誤，Windows 7無法順利開啟，應該要如何設定，才能將SATA硬碟的模式更改為AHCI模式呢，以加速硬碟的存取速度呢？說明如下：

1.開啟Windows 7以後，點選「開始」，在「搜尋程式及檔案」的欄位輸入「regedit」，按鍵盤的「Enter」開啟登錄編輯程式。