AD学习笔记之二 -- 安装完域控制器后的检查及改动

学习内容：

1. 禁用假的管理员（administrator）

2. 检查DNS

3. 禁用普通用户加域权限

4. 测试禁用普通用户加域权限后，哪些组成员可以将计算机加入域

 

1. 修改内置管理员Administrator账户名称，并新建一个普通Administrator账户，并禁用该账户，防止黑客用administrator 账户入侵。

 

假的administrator 管理员帐户，已被禁用。

 

真实的管理员帐户，已改名

 

2. 检查DNS ，如果DNS有问题（e.g.DNS SRV目录不全），可通过下列步骤修复

1）将DC的DNS地址指向DNS服务器IP

2）确保DNS正向查找区域 允许自动更新

打开DNS管理，展开正向查找区域，右键--属性点击两个正向查找区域（图示仅列出一个）

查看动态更新是否为“安全”选项

3） 检查TCP/IP 高级设置

点击高级

 

DNS 选项卡， 查看此连接的DNS后缀 下面的“在DNS中注册此连接的地址”选项是否勾选。

 

4） 重启netlogon 服务 

 

cmd -- net stop netlogon -- net start netlogon

刷新DNS，这时DNS记录将动态更新。

 ----------------------------------------------------------------------------------------

 

 3. 禁用普通域用户有权限添加计算机到域中

 

1）管理工具 -- ADSI 编辑器

 

2）右键ADSI编辑器，连接到

 

3）选择默认（您登陆的域或服务器） 

 

4）展开到DC=xin，DC=adsint，DC=biz （域名）， 右键属性

 

5）找到ms-DS-MachineAccountQuota , 编辑

 

6）将键值改为0，确定并应用。

 

7）尝试用普通用户账户将计算机加入域

 

8）出现下列提示，已无法使用普通用户账户将计算机加入域中。

 

9）尝试域创建时几个默认的组，看哪些组有权限将计算机加入。

 

Schema Admins : 架构的指定系统管理员 . 经测试，没有权限。

 

Enterprise Admins: 企业的指定系统管理员。 经测试，可以将计算机加入域。

 

Group Policy Creator Owners : 这个组中的成员可以修改域的组策略 。

经测试，没有权限。

 

DnsAdmins: DNS Administrators 组

经测试，没有权限

 

所以仅有Enterprise Admins: 企业的指定系统管理员 有权限添加。