【整理】域密码策略设置 漫游用户配置

时间:2021-12-13 14:50:48

密码策略设置

在域服务器上添加客户端帐号时,因为组策略的关系,创建客户端密码时会出现"密码不符合策略要求",这时我们必须进行如下操作:

在域控制器上的开始菜单中打开“运行”,输入DSA.MSC后回车,即打开活动目录的用户和计算机管理控制台。在域节点右键,进入属性,打开组策略选项卡,在里边找到Default Domain policy这个GPO选中他,点击下面的编辑,,打开组策略编辑器,在这个组策略编辑器中找到一下路径:计算机配置-WINDOWS设置-安全设置-帐户策略-密码策略。在这个路径下找到“密码必须符合复杂性要求”设置为禁用,“密码长度最小值”设置为0。这样你就可以创建空密码的用户帐户了(当然在这里你也可以为你的域设置你自己需要的密码策略),完成了以上设置后并没有完,还有最后一步,就是在开始菜单的运行中输入“gpupdate /force”这个命令。(即组策略刷新)
另:

1、如何在WIN2003中添加用户?每次添加用户时总是提示我不符合密码策略,怎么办?
问:如何在WIN2003中添加用户?我将公司的主域服务器改成win2003,但是win2003却不让我添加用户,每次添加用户是总是提示我不符合密码策略,怎么办?

答:对于2003域,默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求,且密码最小长度为7。口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。操作如下:开始/程序/管理工具/域安全策略/帐户策略/密码策略:
    密码必须符合复杂性要求:由“已启用”改为“已禁用”;
    密码长度最小值:由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法:
1、等待系统自动刷新组策略,约5分钟~15分钟
2、重启域控制器(若是修改的用户策略,注销即可)
3、使用gpupdate命令。(推荐使用这个)
  说明:2000中使用的刷新组策略命令secedit/refreshpolicy machine(或user)_policy /enforce 命令在03中已由gpupdate取代。命令格式如下:
仅刷新计算机策略:gpupdate /target:computer
仅刷新用户策略: gpupdate /target:user
二者都刷新:   gpupdate
  此命令也适用于,修改了域/OU上的组策略,欲对客户机或用户马上生效。在客户机上运行此命令即可。自动刷新间隔:DC到DC是5分钟,2个以上的多DC,最长可能达到15分钟,DC到非DC是90+ -30分钟,即60~120分钟。

说明:安全策略只是组策略的一部分,或者说子集。所以有的网友说改默认域的组策略也是对的。
操作:开始/程序/管理工具/AD用户和计算机/域上右键/属性/组策略/默认域的组策略/计算机配置/windows设置/安全设置(MS只不过把这部分单独提出来做了鯩MC控制台——域安全策略,而已)/帐户策略/密码策略。

=====================================================================

再问:这种方法我一开始就修改了,重新启动电脑,还是不行。用gpedit.msc修改倒是没有尝试?那我去试试,这两种方法是不是一致的啊,要是都是一致的,看来也不行。

再答:gpedit.msc是用来编辑本地策略的。

1、如果你建的是“域”用户,需要编辑默认域的策略才行。(按照你的上文,我是这样理解的,即是在“AD用户和计算机中”创建。)按照上面的方法,不可能不好使。只有一种可能,我先说一下理论:
组策略应用的优先级(由低到高,策略有冲突时,高的说了算,不冲突时累加,都生效):LSDOU
即:本地、站点、域、OU、小OU……
以域控制器上的安全策略为例,涉及到:本地安全策略、域安全策略、域控制器安全策略。
因为默认:03域是在域安全策略上设的,把这个改回“已禁用”,“0”即可。唯一的可能就是有人动了域控制器的安全策略。

2、如果你是在域成员(非DC)上建“本地”用户,那么在DC上修改了默认域策略后,需要在客户机上刷新策略才行,用下列方法之一:
(1)用secedit或gpupdate
(2)重启客户机
(3)等1~2小时后
说明:由于帐户策略是计算机策略(而非用户策略),在域上设,就会对域内所有的
计算机生效,生效的结果进而影响了本地帐号,虽然本地帐号不是域帐号。

我的经验:更改完域的安全策略中关于密码策略后,一般都不能解决问题,还要运行gpedit.msc打开本地策略管理器把密码策略中关于密码长度设为0.这样应该就可解决问题.

 

 

 

 

 

找不到网络路径

1.从开始菜单选择运行输入services.MSC,打开服务管理窗口检查:A:netlogon服务是否启动;B.TCP/IP NETBIOS服务是否启动

2.客户端DNS地址已经指向了DC。
3.DC域控制器上没有安装DNS服务。

4.客户端防火墙已经关闭。
可以连接到DNS服务器的53 135 139端口。
去掉Microsoft网络客户端的复选矿。
安装NETBIOS协议。
重装TCP/IP协议。

 

 

漫游用户配置文件方法

 

漫游用户配置文件的作用是无论用户登录到哪台基于 Microsoft Windows NT 的计算机上,漫游用户配置文件都为用户提供相同的工作环境。这样就可以避免因为换了机器而丢失以前的作用环境而不爽了,也不会降低工作质量。

           创建漫游用户配置文件过程有两个步骤:创建测试用户配置文件,然后将测试用户配置文件复制到网络服务器。

         步骤一:在此过程中,您会为漫游用户创建一个测试配置文件:1. 创建一个充当测试用户帐户的用户帐户。例如,创建一个名为 Sales Profile 的帐户。2. 以测试用户帐户登录。这会在本地计算机的 C:\Winnt\Documents and Settings\用户名文件夹中自动创建用户配置文件。 3. 配置桌面环境,包括外观、快捷方式和开始菜单选项。4. 注销,然后以管理员身份登录。

          步骤二:最后复制测试配置文件,在此过程中,您会将测试配置文件复制到网络服务器:

1. 在网络驱动器上创建一个要在其中存储网络配置文件的文件夹。(为共享文件夹,在共享权限中设置为完全控制)例如:\\server_name\Profiles\user_name

2. 在"控制面板"中,双击系统,然后单击用户配置文件选项卡。在"储存在本机上的配置文件"下,单击要复制的配置文件,然后单击复制到。

3. 在将配置文件复制到对话框中,键入该文件夹的网络路径。在"允许使用"下,单击更改。

4. 添加相应的用户,然后单击确定。

5. 在"域用户管理器"中,双击该用户帐户,然后在用户属性对话框中,单击配置文件。

6. 在用户配置文件路径框中,键入网络配置文件所在文件夹的 UNC 路径。例如:\\server_name\Profiles\user_name。

实现桌面墙纸的漫游方法      (此方法本人试过好像不需要这样操作也可以实现)

          学会如何漫游配置文件后,大家会发现,桌面墙纸是不会与漫游配置文件一同漫游的,这是为什么呢?         

         我们来对比一下本地配置文件和漫游后的配置文件。在本地配置文件中有一个Local Settings文件夹,在漫游配置文件中我们是找不到它的,但是漫游配置文件中却多出了个叫做ntuser.ini的配置文件。我们使用文本方式打开它,会看到这样一段话:[General]ExclusionList=LocalSettings;Temporary Internet Files;History;Temp原来,在Windows漫游配置文件的默认情况下,Local Setting文件夹是被排除的,而在这个文件当中存放的就是我们桌面墙纸的信息。那我们要怎样将这个文件夹找回来呢?下面就介绍下如何使用注册表恢复桌面墙纸的漫游:

1、使用需要漫游的用户名登录域当中的任何一台计算机(包括域控),运行—Regedit打开注册表;

2、找到注册表中[HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon]项,并修改ExcludeProfileDirs键值,将数 值数据中的Local Setting删除,退出注册表;    

3、设置用户要用的桌面背景,退出系统;        

4、使用同一用户名在域当中的其他机器上登录,会发现在上一台计算机上设置的墙纸在这台机器上也出现了。这时我们在打开域控制器上的漫游配置文件,你会发现Local Setting文件夹又回来了,而ntuser.ini配置文件的内容变成了ExclusionList=TemporaryInternet Files;History;Temp;,到这时候我们对桌面墙纸的漫游配置就大功告成了!注意:在您创建的网络文件夹中,如果这是一个强制用户配置文件,则将 Ntuser.dat 文件重命名为 Ntuser.man。

使用组策略实现统一桌面         

在企业中为了实现企业形象的统一性,会要求在企业所有计算机上实现标准的桌面化配置环境。那么要怎么实现呢?详细过程如下:(在做好了上面所说的用户配置文件的漫游后,不需要再做桌面墙纸的漫游。)

1、在域控上建立存放背景图片的文件夹,将其设置为共享文件夹;

2、在开始—运行中GPedit.msc命令进入组策略编辑器,并双击用户配置--管理模板--桌面--Active Desktop中的Active Desktop 墙纸选项,将其设置为已启用。

3、在墙纸名称路径框中输入存放桌面背景文件的完整路径。如:\\server\share\文件名。在墙纸样式中任意选择一项,按确定;

4、将用户配置--管理模板--桌面--Active Desktop中的启用Active Desktop 选项设置为已启用;

5、在开始--运行中输入GPupdate命令,刷新组策略。这时候域当中所有用户的桌面背景全部为统一图片。