場景1:單域有一台dc,如何設定域使用者在聯絡不上dc時不能登入?
答:開啟dc的預設的域的安全策略,安全設定---本地策略---安全選項--「互動式登入:可被快取的前次登入個數(在域控制器不可用時)」設定值為0(預設是10,最大為50)。
然後客戶端要重新啟用計算機方可生效。這樣當使用者再次登入到域時,如果能聯絡上dc,登入成功,如果聯絡不上dc,則無法登入。(因為不再對使用者資訊進行快取,如果不進行如上設定,預設狀況下客戶端要快取最近10登入的使用者資訊,此處的詳細資訊請見本部落格另一篇技術文章「
使用者登入後快取使用者資訊在哪?如何修改使用者登入方式?
** 如果單位使用者使用筆記本,最好不要設定為0,否則,該使用者脫離域使用筆記本時將無法登入到域(當然可以登入到本地)
場景2:跨地區的環境下,如總部北京,分支機構上海,當域使用者在上海的計算機上登入時,無法登入到域?(多域環境效果明顯)
答:對於跨地區的企業一定要劃分站點,否則使用者的登入速度會特別慢,(至於原因,以後會找時間寫一寫)。但當你劃分站點後,如果設定不當,反而會出現使用者不能登入到域的現象。在這裡要做的必須在每個站點布置至少一台域控制器和gc,因為gc要求計算機硬體要好,如果沒有條件,也可以在相應的沒有gc的站點啟用「通用組成員關係快取」。用於快取使用者的登入資訊。如本例在北京站點布置一台gc,在上海可以啟用「通用組成員關係快取」。這樣當使用者在上海登入時可以把使用者資訊快取到上海的dc上,這樣即使上海和北京站點失去聯絡,使用者也可以在上海的客戶端上登入。而使用者資訊是從上海的dc上拿的。
本例的前提:2003域環境,域功能級別是win2000本機模式或win2003模式。
在這裡有關gc/使用者登入資訊/通用組問題後續~~~~~~~~~~~
WEB安全系列之如何挖掘任意使用者登入漏洞
web安全系列之如何挖掘任意使用者登入漏洞 0x01 前言 每週兩篇文章打卡。壞蛋100塊錢都不給我,好壞好壞的。0x02 什麼是 任意使用者登入漏洞 幾乎每個 都有自己的會員系統,有會員,就有登入機制,如果可以登入其他使用者賬戶,那麼就可以竊取其他使用者的資料資料。如果配合上指令碼的話,甚至可以批...
WEB安全系列之如何挖掘任意使用者登入漏洞
web安全系列之如何挖掘任意使用者登入漏洞 0x01 前言 每週兩篇文章打卡。壞蛋100塊錢都不給我,好壞好壞的。0x02 什麼是 任意使用者登入漏洞 幾乎每個 都有自己的會員系統,有會員,就有登入機制,如果可以登入其他使用者賬戶,那麼就可以竊取其他使用者的資料資料。如果配合上指令碼的話,甚至可以批...
域控下發指令碼 域環境下做到單使用者登陸控制指令碼
早兩年的時候因目前工作的工廠有要求做域環境下單使用者的登陸控制,即只允許乙個使用者帳號在域環境下一台電腦登陸,以此來做好相關使用者資料及許可權控制的要求,故通過此指令碼來做好相關使用者的登陸記錄,並配合之後的登出指令碼來一起完成此任務,但因後來管理上的疏鬆及工作要求的改變,此指令碼被取消部署,之前有...