返回
AD组策略的设置(超详细)

AD组策略的设置(超详细)

ID:37708372

大小:157.00 KB

页数:7页

时间:2019-05-29

AD组策略的设置(超详细)_第1页
AD组策略的设置(超详细)_第2页
AD组策略的设置(超详细)_第3页
AD组策略的设置(超详细)_第4页
AD组策略的设置(超详细)_第5页
资源描述:

《AD组策略的设置(超详细)》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、为何不能交互式登陆?前一段时间做了一个win2000的终端网,采用win2000applicationserver终端服务模式+citrix(sp3),客户机上出现登陆窗口,以域用户账号登陆便会出现提示:"计算机不允许交互式登陆",而用administrator登陆却没有问题,开始有点呐闷,这个问题怎么同NT或win2000的非本地账号登陆域服务器出现的问题一样,后来查了一查资料,顿时明白过来。在这里我必须讲一讲NT和win2000的身份验证机制。NT和win2000针对域用户账号登陆的验证分别是通过NTLM和Kerberos协议,而对本地账号登陆的验证是MSV1_0协议,用户通过提供登

2、陆信息(如用户名和密码),服务器将这些信息发送到服务器上的验证机构,验证机构通过比较储存在本地的数据库文件(SAM)来判断此用户的身份真实性,如果通过,就会向用户发送一个令牌,此访问令牌即token,又称为SID.在原来的NT模式下,由于域之间的信任关系是单向的,不可传递的,所以一个域用户要获得另一个域的资源访问权限,必须手工建立信任关系,授权该用户的访问权限。而在现在的win2000模式下,每个用户的token是SID+域ID,即GUID,在一个森林中是永远不变的,他是由每域的RID主机(相对关系主机)来分配的。SID在每个域中是独一无二的,但在其他域中也可能出现同样的SID,但是由于

3、域ID的不同,所以二者的GUID就不可能相同。但这必须建立在Kerberos协议的基础上,kerberos提供了域之间可传递的,双向的信任关系,即A信任B,B信任A;A信任B,B信任C,A信任C。当然也可手工调整,一个用户仅仅具有一个token是不够的,token只能保证用户是否能在该域或本地计算机上的登陆权限,而用户是否能对资源的访问及系统权限是由ACL及ACE来控制的。ACL(Accesscontrollist)是每个文件及文件夹的用户组及用户访问控制列表,而ACE(Accesscontrolentry)是具体的访问类型(如read,write等等).说了这么多,我再谈一谈针对win

4、2000域环境下本地交互登陆的机制,众所周知,win2000对于用户登陆的验证采用的是kerberos协议,当一个本地用户登陆到域服务器,GINA(Graphicalidentificationandauthentication)图形标示符及身份验证Dll收到登陆请求,就会将其转发到LSA(本地权威机构),而在WIN2000下由于Kerberos是默认的验证机制,所以就请求kerberos来验证身份,而kerberos收到身份验证请求之后,便会出现错误信息,因为kerberos是用来验证域用户账号而非本地账号,此时LSA收到错误信息,会将其转发到GINA,GINA在将指定了MSV1_0协

5、议的LSA来验证身份,如果通过则完成本地交互式登陆。说了这么多,到底跟终端用户登陆到服务器有什么关系。终端用户不是通过网络登陆吗?又不是本地登陆,那为什么RPLWIN9598,PXEWIN98的客户登陆服务器不会出现同样的问题呢?这就是WIN2000终端与RPLWIN9598,PXEWIN98的不同之处,终端顾名思义实际上只是客户通过键盘输入,发送指令到服务器,并没有大量的数据传送,最后通过客户机的显示器输出结果,实际上是一个远程控制的原理,而RPLWIN9598,PXEWIN98通过把客户机上的文件共享到服务器上,从而达到访问服务器的目的,其间有大量的数据的传输,实际上是一个远程访问的

6、原理。远程控制与远程访问的最大不同是远程控制是工作发生在远程服务器上,将消耗大量的远程服务器的cpu时间,而远程访问工作主要发生在本地客户机上,需要消耗大量的客户机cpu的时间.现在的众多远程控制的黑客软件大多是采用的就是远程控制的原理,如冰河,BO等等。终端实际上就是一个本地登陆的过程,所以采用的客户账号必须是本地账号。现在我就给大家提供具体的解决办法:win2000的得意之作GPO,即grouppolicyobject,win2000把以前NT要通过修改注册表或者运行poledit.exe修改Ntconfig.pol文件才能达到配置政策的目的,通过GPO来实现一个超强功能的中央集权的

7、组政策,此政策是建立在活动目录(ActiveDirectory)基础之上的,活动目录又是通过DNS来定位服务的。所以如果要使用GPO,就必须在安装完WIN2000SERVER+DNS之后,通过DCPROMO.EXE程序来安装活动目录,才能使用GPO.安装完活动目录之后,点击开始-程序-管理工具-ActiveDirectory用户和计算机,出现图1画面右击所在域(本例是wupanlan.com)-属性-组政策,如图2所示点击选项,选中

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。