在AD的日常管理中,有两个概念容易弄错,这里提一下:
一)关于域控制器不可用时,使用本地缓存登陆的问题。
在 "本地计算机"策略--计算机配置--Windows 设置--安全设置---本地策略--安全选项中,存在如下设置项:
Interactive logon: Number of previous logons to cache (in case domain controller is not available) : 10 logons
这里所指的10次,是10个用户登陆。而不是一个用户登陆的最大有效次数,一个用户可登陆的次数理论上是无限的。如果要禁止此项设定,您可以把这个值设为0。
这些信息存在 HKEY_LOCAL_MACHINE\SECURITY\Cache 里。其下设定10个子键,名称从 NL$1-NL$10,每当一个帐户登陆此计算机,其Profile被创建在 %HOMEDRIVE%\Documents and Settings 下,相应的帐户信息和安全性描述被缓存下来,并在此键值中作出记录。该键值中记录已经登陆帐户的名称及其相关标识。
(注:默认情况下,管理员组对于 HKEY_LOCAL_MACHINE\SECURITY 子键没有读写权限,您可以执行 regedt32.exe 或者 regedit.exe 添加对于该子键的读权限。关于注册表的描述和操作,请参考
)
值得注意的是,这里所说的 10 个用户帐户,是指已经在本地登陆过的,也就是已经 cache 到本地了的帐户,而不是任意的帐户。如果没有登陆过帐户,由于在登陆的时候,需要查询域控制器,那么在交互式登陆下,系统立刻会提示当前域不可用。在加入域的计算机中,此策略的有效设定,最终取决于域策略的设定。
由于windows中此项机制的运作,此键值可以作为入侵检测的项目之一。
关于此设定描述,请参考 825805 "Interactive Logon: Number of Previous Logons to Cache" Help Topic
有趣的是,即便在Windows 2003 的随机文档中,关于此项的描述也是错误的,或许这个设定从字面上来理解,太容易让人误解了
BTW:也是在 HKEY_LOCAL_MACHINE\SECURITY 下,存在 SAM 的子键,不由让人想起前段时间,网络上很流行的 000001F4 000001F5 克隆 那个 F的方法
二)关于域帐户将计算机加入域的问题
通过编辑default domain policy,计算机安全设定中,关于用户权利指派的策略项目中,我们可以指定什么用户可以在网域中添加工作站。默认状态下,在域控制器上经过身份验证的用户,有权限将计算机添加到域,这个动作可以使得该验证帐户域中最多可创建 10 个计算机帐户。
此动作在域中添加计算机帐户,允许计算机加入基于 Active Directory 的网络。例如,在域中添加工作站后,该工作站能够识别 Active Directory 中已有的帐户和组。
这个10次的设置是可以更改的。以域管理员身份执行 adsiedit.msc (此工具存在于windows安装光盘 SupportTools 下的 support tools 中),展开 Domain NC 节点。选择 "DC=" 的对象,右键点击选择属性。在其属性下拉列表中选择 ms-DS-MachineAccountQuota 进行编辑,此设置项的数值决定了域验证帐户有权限加入计算机的数目。相关信息请参考:251335 Domain Users Cannot Join Workstation or Server to a Domain
但对于在 Active Directory Computers容器上有“创建计算机对象”权限的用户,则不受此创建 10 个计算机帐户的限制。在授权OU管理员管理计算机帐户的时候,我们就可以这样作,一方面在OU下作出委派的授权动作,同时可以在Computers容器上添加该帐户创建计算机对象的权限,这样此帐户便可以自行添加计算机了 。
另外,通过“域中添加工作站”的方式创建的计算机帐户将“域管理员”看作该计算机帐户所有者,而通过计算机容器权限方式创建的计算机帐户则将创建者看作计算机帐户的所有者。如果用户既有容器的权限,又有“将工作站添加到域”的用户权利,则将基于计算机容器权限而非用户权利添加计算机。
阅读(813) | 评论(0) | 转发(0) |