windows 2012 R2 AD 安裝與管理記錄

1. 利用群組原則強制使用者啟用具密碼的螢幕保護程式

參考資料:
terrychuang 大的文章
https://dotblogs.com.tw/terrychuang/archive/2013/09/16/118663.aspx  

2. AD 如何刪除 AD 中被保護的物件

MMC 主控台中的 [檢視] => 勾選 進階功能,這時在該物件按滑鼠右鍵,會出現“物件”,也會看到“保護物件以防止被意外刪除”這個項目有勾選,取消勾選就可以了

註:用好後記得將“進階功能”取消,不然,誤刪了會死人的

參考資料:
tigerlin 大的文章 -- 如何刪除 AD 中被保護設的物件
https://dotblogs.com.tw/tigerlin/2009/01/19/6874 

3. GPO 驗證指令

在加入 ad 的個人電腦,要確定是否有到用 GPO 可以下這個指令
gpresult /r

參考資料:
Peter 大的文章
https://masterman.pixnet.net/blog/post/28356653 

在加入 ad 的個人電腦,強制套用新 GPO
gpupdate /force

4. AD 主要管理的兩大部分

電腦及使用者

 

5. 使用者密碼到期發通知信

必需使用 power shell 並使用工作排程器設定週期

註:使用工作排程器時,在“程式指令碼”要寫入“PowerShell”,在引數的部分再寫入相關參數及帶入資訊

參考資料:
brian大口述

微軟討論
https://gallery.technet.microsoft.com/scriptcenter/Password-Expiry-Email-177c3e27 

6. DNS 設定

在設定別名時,相同的FQDN,不能同時設有 A recard

 

7. 關於更新密碼後使用者帳號常發生鎖定問題(尤其是在密碼必需定期更新的環境中)

因為在AD上未設定 session timeout 造成。
例:當使用者使用舊密碼掛在某台使用 AD 認證的主機(如上網機、web mail、SEPM等…),這時這些主機會定時(預設為每1.5小時兩次)的向AD讀取舊認證,當設定鎖定帳號門檻值為5時,4.5小時後,該帳號就會被鎖定,如果同時掛在多台主機,這時間會更短。這個問題常會發生在使用 RDP 登入的使用者(使用者習慣直接按 X 關閉)
處理方式:設定 session timeout 時間
 1. 單一使用者:到該帳號 => 工作階段 => 調整 結束中斷連線的工作階段及閒置工作階段限制的時間
 調整這兩項後,當使用者使用完畢沒有登出就鎖定在過了限制時間就會被自動登出,這個也會造成使用者未存檔就被關閉的問題,需注意
 2. 大量使用者:通常使用 AD 管理,就會有這個大量使用者問題
 到AD主機 => 群組原則管理 => default domain policy(有些應該是自定的 GPO 需自行確認)=> 設定 => 帳戶原則/Kerberos原則,修改使用者票證最長存留期,完成後請使用者重新登入系統,這個也會造成使用者未存檔就被關閉的問題,需注意 

8.  dnccmd

 

參考資料:
微軟
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/cc772069(v=ws.11)?redirectedfrom=MSDN 

9. windows dns 服務

最近因為 DC 一直在搜尋一個網址,後來 ian 大大將 DNS 轉寄站設定後,就沒有再發生一直搜尋特定網址的問題了
在架設 ad 時,通當會同時架設 DNS,但如果 DNS 中沒有設定轉寄站,DNS就會去找根目錄提示,這時就會跑去看 根目錄提示 的內容來進行外部 DNS 的搜尋。

參考資料:ian 大口述

10. AD 的功能

towns 架過 AD,但從來也沒了解過 AD,就只是能用就對了 = =

 

參考資料:
iT幫幫忙 -- AD的目的
https://ithelp.ithome.com.tw/questions/10035817

微軟說明 -- Active Directory 網域服務概觀
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview

wiki -- Active Directory
https://zh.wikipedia.org/wiki/Active_Directory

Active Directory 網域服務管理的12 個基本任務
https://s.itho.me/vendor/2018/OneIdentity/OneIdentity_Active%20Directory.pdf 

11. windows 2012 & windows 8 安全性更新

windows 2012(R2) 與 windows 8(8.1) 是同一個 Base 的,所以更新都相同,預設使用的 Windows 更新代理程式是舊的,而且,也不再自動更新了,如果今天需要裝 windows 2012(R2),需手動更新 Windows 更新代理程式(KB2937636) ,否預無法系統將無法進行 windows update

參考資料:
微軟文件
https://docs.microsoft.com/zh-tw/troubleshoot/windows-client/deployment/update-windows-update-agent 

12. 檔案存取稽核

File Server 是可以將使用者存取檔案的紀錄留下來的,以下是設定方式

單機設定
群組原則 > 電腦設定 > windows 設定 > 安全性設定 > 進階稽核原則設定 > 系統稽核原則 - 本機群組物件 > 物件存取 > 稽核詳細的檔案共用、稽核檔案共用 > 設定下列稽核事件,將成功、失敗都打勾
在 事件檢視器 > 安全性 > 就可以看到詳細檔案共用的資料了,點入後可以看到 人員、來源IP、存取的檔案等資訊

AD管理
可以到 控制台 > 系統及安全性 > 系統管理工具 > 群組原則管理(gpmc.msc) 中,新增 GPO 並找到 稽核詳細的檔案共用、稽核檔案共用 選項,再將要管理的群組加入(繼承、連結)即可

相關資料:
微軟說明 -- 稽核詳細檔案共用
https://docs.microsoft.com/zh-tw/windows/security/threat-protection/auditing/audit-detailed-file-share

微軟說明 -- 規劃檔案存取稽核
https://docs.microsoft.com/zh-tw/windows-server/identity/solution-guides/plan-for-file-access-auditing 

13. 利用 AD 大量派送需要管理者權限的執行程式


參考資料:
it邦幫忙 -- Franky Chen 大的回應
https://ithelp.ithome.com.tw/questions/10196067

 14. 利用 AD 大量修改登入機碼(測試中未完成)

1. 於安裝ADDS服務的主機,開啟Windows系統管理工具 => 群組原則管理。
2. 新增一個群組原則物件(GPO)。
3. 輸入GPO名稱。abcd
4. 回到群組原則物件底下找到abcd原則,按右鍵進行編輯。
5. 電腦設定 => 喜好設定=> 登入 => 按 右鍵 => 新增 => 登入項目 => 動作可依需求選擇 => Hive 依需求選擇 => 機碼路徑 依需求選擇

15. AD 架設與說明

 

參考資料:
官方文件
https://docs.microsoft.com/zh-tw/windows-server/identity/ad-ds/deploy/what-s-new-in-active-directory-domain-services-installation-and-removal

lin0204 大文章
https://lin0204.blogspot.com/2017/07/windows-ad.html  

16. 設定螢幕保護時間、啟用需密碼、指定使用保護程式

0. 開啟群組管則管理
伺服器管理員 > 工具 > 群組原則管理
控制台 > 系統及安全性 > 系統管理工具 > 群組原則管理

1. 強制開啟螢幕保護
如果要套用到所有的電腦,可以編緝 Defrulat Domain Policy
於 Defrulat Domain Policy 上按滑鼠右鍵 > 編緝 > 開啟 群組管理原則編輯器
使用者原則 > 系統管理範本 > 控制台 > 個人化 >
啟用螢幕保護裝置 > 選 已啟用 > 確定

2. 設定螢幕保護時間
螢幕保護裝置逾時 > 選 已啟用,並設定 300 秒 > 確定
設定 5 分鐘啟動螢幕保護程式

3. 啟用需密碼
以密碼保護螢幕保護裝置 > 選 已啟用 > 確定

4. 指定使用保護程式
強制特定螢幕保護裝置 > 選 已啟用 > 設定 螢幕保護裝置執行檔名稱為 %Systemroot%\System32\ssText3d.scr > 確定
為什麼要設定這個,其實可以不設定,時間到了螢幕會變黑屏,但因為有些人員的電腦在由黑屏到出現登入畫面反應比較慢,有些沒耐心的使用者會連續點 enter,造成密碼錯誤 5 次而被鎖定,後來就改為指定螢幕保護裝置,這可以讓使用者知道,目前畫面在那裡。
補充1:螢幕保護裝置預設檔案路徑在 C:\windows\system32\*.scr,詳細內容請看右邊的說明
補充2:強制特定螢幕保護裝置,使用者必需登出再登入後,才會生效

參考資料:
terrychuang 大大的文章
https://dotblogs.com.tw/terrychuang/2013/09/16/118663  

17. 使用 GPO 佈署機碼值到各台主機(未完成)

在 MSHTML 漏洞中,我們需要佈署機碼值到各台主機,這時需要建立 GPO 並將機碼寫在電腦設定中
1. 建立 MSHTML_Fix GPO
2. 設定 MSHTML_Fix GPO
電腦設定 > 喜好設定 > Windows 設定 > 登錄 > 新增登入項目

註:使用 電腦設定 ,client 端必需重新啟動電腦,設定值才會吃進去

18. 1058 7017 問題

 

參考資料:
iT 邦幫忙討論串 -- 令人頭痛的windows server 2003事件1058與1030
https://ithelp.ithome.com.tw/questions/10050553

留言

張貼留言

這個網誌中的熱門文章

zimbra 安裝、管理、設定

zimbra 安裝   設定檔路徑 /opt/zimbra/conf 檔案上傳路徑 /opt/zimbra/data/tmp/upload MySQL 資料 要先使用 zimbra 帳號,才能登入資料庫 https://wiki.zimbra.com/wiki/MySQL_Backup_and_Restore   mysql 設定檔路徑 /opt/zimbra/conf/my.cnf 通訊錄匯出 登入管理者 ==> 搜尋 帳戶 ==> 按下齒輪旁的倒三角 ==> 下載 https://community.bittitan.com/kb/Pages/How%20do%20I%20export%20a%20user%20list%20from%20Zimbra%20into%20a%20CSV%20file.aspx 延伸套件 zimbra 有很多延伸套件可以使用,其中就有一個是郵件下載打包工具 Email Downloader,這個工具就可以協助整郵件了。 安裝方式: 登入管理者介面 ==> 設定 ==> Zimlet ==> 右上方“齒輪” ==> 佈署 ==> 瀏覽 ==> 選擇指定檔案 ==> 點 佈署,就會放上去了 移除方式 登入管理者介面 ==> 設定 ==> Zimlet ==> 在指定的套件上按滑鼠右鍵 ==> 關閉佈署 停用方式 登入管理者介面 ==> 設定 ==> Zimlet ==> 在指定的套件上按滑鼠右鍵 ==> 切換狀態 註:記得下載的檔案名稱應與 zip 檔中 xml 檔名相同,否則安裝會失敗 相關資料: 官方延伸套件網站 https://www.zimbra.org/extend/ email 下載套件 https://www.zimbra.org/extend/items/view/email-downloader  補充1:使用 downloader 這個套件,必需使用 AJAX 閱讀模式,而且是用拖拉方式到這個套件上面 補充2:會先產生 zip 檔,而檔案內容為 *.eml 檔 補充3:如果停用再啟用可能會造成功能異常,這時就刪除重裝,記得要勾選 清除Zimlet 快取 重新啟動 zimb...
閱讀完整內容

Fortigate 100D -- 管理、設定

圖片
有不少設定可以來寫一下 韌體降版、昇版方式 1. 重開後到管理清單 重開後到Press any key to display configuration menu.. 按 enter 進入管理畫面(請仔細看文字說明,很簡單) 2. F format 掉 partition 按 F 後開始將 boot device 中的設定資訊刪除 註:原廠建議刪除後再匯入設定 3. 設定 TFTP 資訊 在 formating 完成後,按 C 進入 TFTP 設定 towns 看了 local ip(I)、remote TFTP ip(T) 及 firmware image(F) 檔案名稱,並檔案名稱修改了名稱 4. 回到第一個選單,並按 T,這時系統要求連接 TFTP 主機到 Ethernet port “MGMT” 介面 5. 連接 TFTP server 與 100D(一般是使用 Ethernet MGMT介面,請仔細看文字說明) 註1:連接 TFTP server 條件。使用“跳線”連接 TFTP 主機(或使用 hub 連接),100D 才能抓到 TFTP 主機 註2:將要更新的檔案放到 TFTP 設定的資料匣,100D才能依檔名抓到指定的 firmware image 6.完成韌體更新 完成後使用 D(Default firmware)設回預設值 7. 設回預設值 官方文件 http://kb.fortinet.com/kb/microsites/microsite.do?cmd=displayKC&docType=kc&externalId=10338&sliceId=1&docTypeID=DT_KCARTICLE_1_1 老森大 http://blog.752club.com/fortigate-fg-110c-after-upgrade-firmware-crash-rewrite-firmware/ William 大協助 還原 100D 設定 直接由 web 介面匯入就可以了 註:匯入設定值後,要注意,原本的設定方式(如 super_admin 權限的管理,會造成無法登入 web 介面,因為 towns 有鎖 IP,就造成MGMT 無法登入 Web 介面,記得到 console 中將設定改掉) console 指令 現在很多...
閱讀完整內容

IT 隨手記6

圖片
1. 清除 Chrome、firefox dns cache Chrome 1. 於網址列打入 chrome://net-internals/#dns 2. 點 clean host cache 註:這個英文看起來比較像是清除本機的 DNS 快取 Firefox 1. 於網址列打入 about:config 2. 點 "我發誓,我一定會小心的" 3. 找 network.dnsCacheExpiration 設定為 0 # 找不到跳下面步驟 4. 按 滑鼠右鍵, 新增此值 字串: network.dnsCacheExpiration, 值: 0 5. 再編輯 network.dnsCacheExpiration 設定為 3600 上述 3,4 步驟設定後, Firefox 已經將 DNS Cache 清除, 再做第五步驟, 是要將 DNS Cache 設定過期時間為 3600秒. 補充:Firefox 的設定值是過期時間。towns 的預設值為 60秒 參考資料:Tsung's Blog https://blog.longwin.com.tw/2013/08/firefox-chrome-clean-cache-2013/  2. 雙因子認證設備(未完成) 這個設備的目地是用來連入特定主機的 Linux 下的安裝 windows 下的安裝方式 官方網址: https://www.yubico.com/   PCIDSS 多因子認證討論 https://blog.vasco.com/legal/multi-factor-authentication-pci-dss-3-2/ Tsung 大的文章 -- google 兩階段認證 https://blog.longwin.com.tw/2014/10/ssh-google-2-factor-authentication-2014/ 3. HP C309a 無法安裝軟體 出現 usb 問題,無法安裝 處理方式: 1. 先使用 USB 接上印表機,使用自動更新驅動程式(或到官方下載USB驅動程式),更新完成後,再安裝軟體 2. 將 USB 測試工具移除( USBReady.exe )後,再執行 Setup 參考資料: HP 討論版 https://h30471.www3.hp.com/t5/fan...
閱讀完整內容