论坛 › ＰＣ数码 › ad域有什么用？有什么教程可以看着学习一下的

铅笔画 发表于 2014-11-17 19:32

ad域有什么用？有什么教程可以看着学习一下的

本帖最后由 铅笔画 于 2014-11-17 19:39 编辑

公司前辈说让我看下书学习一下ad域
过几天要考我
但是都不知道看点什么教程

也有很多疑问，比如说域服务器就一定要是dns服务器吗？
客户机上的dns就一定要指向域服务器吗？
怎么样解决域用户在本地的权限问题？
域服务器作为dns能否缓存解析过的dns记录？

chachi 发表于 2014-11-17 21:17

1. 是的
2. 是的
3. 域用户可以加入本地组，如domain user可以加入到 本地的administrators组，这样就提权了
4. 可以
用域可以解决很大一部分运维的工作
以及IT合规相关的任务

铅笔画 发表于 2014-11-17 21:48

chachi 发表于 2014-11-17 21:17
1. 是的
2. 是的
3. 域用户可以加入本地组，如domain user可以加入到 本地的administrators组，这样就提权 ...

但是就我目前环境中AD域的使用情况来说
前辈使用域策略提权，但却总是不成功，就是设了一个开机运行的批处理，却无法将AD\domain users加到power users组里
就算手动加权限，在使用时也总会出现各种权限问题，比如说打开、粘贴文件提示没有权限
我觉得这样带病的域环境比没有域还糟糕

chachi 发表于 2014-11-17 22:04

提权只要一次啊，干嘛做成开机运行
另外一般用户给users权限就够了

铅笔画 发表于 2014-11-17 22:16

chachi 发表于 2014-11-17 22:04
提权只要一次啊，干嘛做成开机运行
另外一般用户给users权限就够了

应该是想到这样即使有新机器加入也不用再手动运行了吧，不过即使是做成开机运行的批处理，也还是无法提权
即使是我用 gpupdate /force 强制刷新后提示注销，也还是不能运行提权的域策略
users权限不会太低吗？我看过users权限连硬盘的写权限都没有

chachi 发表于 2014-11-17 22:20

本帖最后由 chachi 于 2014-11-17 22:21 编辑

开机运行的批处理执行者的权限是啥
批量提权一般用GPO做
users肯定不能写c:\windows\ 但是用户自己的目录不能写吗？
绝大多数情况，user权限都够了
除了一些奇葩的国产软件，比如QQ，还有一些网银。

还有现在的基于2008或者2012的AD真心简单，不容易出故障

铅笔画 发表于 2014-11-17 22:42

chachi 发表于 2014-11-17 22:20
开机运行的批处理执行者的权限是啥
批量提权一般用GPO做
users肯定不能写c:\windows\ 但是用户自己的目录不 ...

看了下，显示所有者是域管理员
users的问题是好些软件都提示权限不够无法运行，包括我们公司内部的业务软件

chachi 发表于 2014-11-17 23:28

铅笔画 发表于 2014-11-17 22:42
看了下，显示所有者是域管理员
users的问题是好些软件都提示权限不够无法运行，包括我们公司内部的业务软 ...

不是所有者，是这个批处理在客户端运行的时候，是用什么身份运行的。
你啥权限都没有就想提权？

批量提权用GPO

建议你读一读AD的相关文档，然后用虚拟机建一个3~4个机器的AD做一做实验。

铅笔画 发表于 2014-11-17 23:41

chachi 发表于 2014-11-17 23:28
不是所有者，是这个批处理在客户端运行的时候，是用什么身份运行的。
你啥权限都没有就想提权？



我真没懂的这么细，AD域我就知道个大概，前辈你有没有什么相关教程或者书推荐一下

chachi 发表于 2014-11-17 23:51

铅笔画 发表于 2014-11-17 23:41
我真没懂的这么细，AD域我就知道个大概，前辈你有没有什么相关教程或者书推荐一下 ...

我当年是学MCSE2000系列的书，现在这些书太老了
现在的2008/2012的AD比较容易使用，基本照着帮助做都不会有啥大问题。

当然你要先理解AD是个啥东西，如果能看懂百度百科里面的说明，也就差不多了
其他的，就谷歌、百度实际使用就行

gnorz 发表于 2014-11-18 08:18

域管理就是要限制用户，清静，
不然三天两头重装系统。

----发送自 ONEPLUS A0001,Android 4.3

endrollex 发表于 2014-11-18 08:39

如果公司人不多的话，无脑点就给域Admin权限，不过他们会给你乱装软件
策略里禁止除了管理员登陆服务器
但也没办法，很多软件要Admin

lentrody 发表于 2014-11-18 09:07

endrollex 发表于 2014-11-18 09:47

本帖最后由 endrollex 于 2014-11-18 09:49 编辑

lentrody 发表于 2014-11-18 09:07
像这样通过计划任务给指定程序提权或许可行？
http://raymai97.github.io/QuickAdmin/ ...
特定程序提权可以用runas，写成批处理，但有的程序的子进程可能还是权限不够
这个程序看上去是给admin环境下给UAC免提示用的？
计划任务本身就可以用其他账户运行

lentrody 发表于 2014-11-18 13:17

endrollex 发表于 2014-11-18 13:33

本帖最后由 endrollex 于 2014-11-18 13:42 编辑

lentrody 发表于 2014-11-18 13:17
就是免口令免提示，普通用户也能绕过去，不清楚有没有安全漏洞
我试下了WIN7，直接用User，提示要输入Admin密码
那还是绕不过Admin，是不是用一下就把UAC破解了。。。

lentrody 发表于 2014-11-18 19:31

Y450pei 发表于 2014-11-18 22:16

爱撕衣有没有运维群 好想来问前辈很多问题。我们公司是03的域然后各种问题。。

查看完整版本: ad域有什么用？有什么教程可以看着学习一下的