指定域用户拥有添加计算机进域权限
禁用所有用户添加权限
默认domain user拥有10个添加计算机进域的权限,需要把ms-DS-MachineAccountQuota参数改为0,即禁止所有用户添加进域,可以打开ADSI编辑器查看和更改:
点击开始—管理工具—ADSI编辑器,右击ADSI编辑器连接到默认确定,点击展开默认上下文,右击文件夹属性,找到ms-DS-MachineAccountQuota,修改为0即可
单独分配用户或组权限
- 首先开启Active Directory用户和计算机管理器的高级功能,拥有更多设置:
打开Active Directory用户和计算机管理器,点击查看,点击高级功能 - 找到Computers容器,右击打开属性,在安全一栏,点击高级,权限框中单击以选中创建计算机对象和 删除计算机对象,确定就OK。这时,该用户或组就拥有该权限啦。
禁止非域计算机不能访问服务器共享
要禁止非域计算机访问服务器资源设置比较复杂,需要配合IP策略来限制,可以参考https://blog.51cto.com/weber213/676492,但实际上,只要灵活配置用户权限,一样可以达到此效果:
非域计算机想访问服务器共享,需要输入用户名和密码,外来用户没有账号从而杜绝安全问题。但是如果使用了员工的域账号来访问,岂不是一样不安全?可以针对该用户取消访问所有计算机,只允许从某个计算机登录,这样无论是公司其他电脑还是外面的电脑使用该账号登录,也会提示没权限访问该资源的。
设置从网络访问本地计算机权限
有时候设置了域账户绑定计算机访问后,也可以设置该用户不能从网络访问此计算机:
点击开始—管理工具—本地安全策略,在本地策略—用户权限分配一项,找到从网络访问此计算机,然后就添加只允许从网络访问此计算机的账户或组就行。
域策略更新及导出
强制刷新域策略gpupdate /force
导出域策略结果GPRESULT /H d:\GPReport.html
查看当前策略rsop.msc
为域控制器指定可靠的外部时间源
通常我们会使用域控作为时间同步服务器,但很多时候因为设置的问题导致域内计算机跟域控服务器时间不一致,甚至连域控服务器时间也是不准确的。
域控制器长时间均无法与外部时间源进行时间同步,运行w32tm /resync,显示“此计算机没有重新同步,因为没有可用的时间数据”,运行w32tm /query /source ,显示“Local CMOS Clock”,表示正在使用的是主板上的时间,没有使用外部时间源。因为主板上的时间无法做到很准确,经常发生过快或者过慢的情况,导致域内电脑的时间和实际时间经常出现较大的差异,所以必须要修正这个问题
我们从几方面来全面检查下域控服务器的设置
连通性及注册表
首先,我们需要确保以下两点:
1.确保UPD 123端口是打开的。
使用如下命令检查123端口是否打开: w32tm /stripchart /computer:192.168.100.254 // 地址可以是内部NTP服务器或者是外部因特网时间服务器地址
2.在PDC上,我们可以ping外部时间源(即能ping通NTP所在的服务器的IP地址)。
然后,我们可以尝试以下的通过修改PDC注册表的方法配置外部时间源,具体步骤如下:
1.PDC宣布自己是NTP服务器:
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config
Key Name: AnnounceFlags
Type: REG_DWORD (DWORD Value )
Data: 0x5
2.将服务器类型更改为 NTP:
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters\Type
Key Name: Type
Type: REG_SZ(String Value)
Data: NTP
3.启用NTP服务器:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpServer
Key Name: Enabled
Type: REG_DWORD
Data: 1
4.指定哪个服务器作为NTP服务器:
Path: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
Key Name: NtpServer
Type: REG_SZ(String Value)
Data: Peers (例如:s1a.time.edu.cn,0x9)
对于NTPserver键值中,timeserver,0x9的含义,有如下解释:
0x9其实是两种标识的组合,即0x1和0x8。在w32time中,共有4种基础标识。
0x1 specialinterval
0x2 useasfallbackonly
0x4 symmatricactive
0x8 client
在NTP同步机制下,当设置0x1标志位后,取样时间可以由specialpollinterval控制。W32time会根据设置值进行取样,默认为3600秒。如果环境内有两台NTP server作为时间源,而其中一台NTP server配置了0x2 标志位useasfallbackonly,表示该server为备用服务器,仅在没有配置0x2标志位的服务器无响应时才会被考虑。0x8则会把时间服务器表示为对源没有控制权的客户机,并将相关NTP数据推送到其它系统。通常我们会建议将第一台主时间服务器配置为0x9,备用服务器为0xa。
5.只有我们的PDC机器是虚拟机,才需要设置这个注册表。如果不是虚拟机是没有这个注册表的信息。
HLM\SYSTEM\CurrentControlSet\services\w32time\TimeProviders\VMICTimeProvider
Name: Enabled
Type: REG_DWORD
Data:0
6.其他的注册表设置只需要保持默认的就可以了,关闭注册表编辑器。使用命令(net stop w32time && net start w32time)重启时间服务使得以上配置生效。
这样,我们再运行w32tm /query /source,看看还是不是显示“Local CMOS Clock”。如果是,则要进一步检查
默认域组策略
如果同时启用组策略来同步时间,请确保组策略没有应用到PDC(如果所有角色在一台主机那就是DC)所在的主机。否则在使用w32tm /query /source查询所同步的服务器是会显示使用的是Local cmos clock
打开管理工具—》组策略管理
要编辑Default Domain Policy 和 Default Domain Controllers Policy,一个是针对域,一个是针对域控。
把三项都改为未配置,外面还有个全局配置,也要改为未配置。对于域控制器,其组策略上的时间服务选项最好保持在“未配置”的状态。
运行gpupdate /force强制刷新,使用w32tm /resync重新同步,再运行w32tm /query /source,可以看到,上面注册表配置的NTP服务器就生效了,不再显示Local cmos clock,再使用w32tm /stripchart /computer:192.168.100.254 可以看到基本上和NTP服务器时间一致。
w32mt使用
1、除了使用注册表指定外部NTP服务器,也可以使用w32tm命令手动更改:
w32tm /config /manualpeerlist:”192.168.100.254,0x9” /syncfromflags:manual /reliable:yes /update
/manualpeerlist表示外部时间源服务器列表,多个服务器之间可用空格分隔,210.72.145.44 是中国国家授时中心的时间服务器ip地址
/syncfromflags:manual表示与指定的外部时间源服务器列表中的服务器进行同步
/reliable:yes设置此计算机是一个可靠的时间源。此设置只对域控制器有意义。
/update向时间服务发出配置已更改的通知,使更改生效
2、显示本地时间与目的时间的时间差
w32tm /stripchart /computer:192.168.100.254 /samples:30 /dataonly
3、显示目前服务器指定的外部时间源
w32tm /query /source
4、恢复Windows Time Service的预设值
net stop w32time
w32tm /unregister
w32tm /register
net start w32time
在域环境中,只需设置根域控制器的外部时间源即可,其它服务器在添加进域中时将自动设置与域控制器时间同步。
改设置可解决域控制器的时间同步问题 如:Time-Service EventID:36
5、 同步时间
w32tm /resync
思科交换机作为NTP服务器
两条命令搞定:ntp masterntp server 114.118.7.161
指定外部网络服务器地址及master
linux主机设置时间同步
需要安装ntp:yum install -y ntp
指定服务器地址:ntpdate 192.168.100.254