這種的已經不是純粹 DC了，還有 AD 的成份
市面上有很多 win2000/2003 server 系統實務的書籍
有興趣可以買來看看
認證的話，最初階的是 MCSE

家目錄在本機，那是 分散式檔案系統（Dfs)
有效利用各Client端電腦的硬碟空間，當作整個網域的儲存空間資源

禁止本機登入...那些，都是在群組原則設定的

AD 最神奇的，我覺得是「軟體派送」
將軟體封裝成 .msi，依據各個群組（部門）的不同
可以選擇安裝軟體，由 server 端直接派送過來

使用起來就是 Client端，「新增/移除程式」中可以看見一堆軟體
這些軟體依據登入者的群組身份不同，會看到不一樣的軟體
即使Client端未安裝這些軟體，登入者也可以選擇安裝
或者一登入就強制派送安裝
其過程全自動，MIS 不必手工操作，亦不受登入者權限影響，非常方便

不過這套系統，是有錢人的系統，授權費非常昂貴

分散式檔案系統....我以前的經驗,不一定要AD才能把各使者的家目錄留在本機,要放在那裡是可以自己指定的(不需任何軟硬體幫助)只是方法有些麻煩.
禁止本機登入的部份:我也有想過是用gpedit.msc去禁止的但小弟檢查了...沒有
而且本機上實際上是有帳號的只是mis少不會把密碼給我知道,反正就是我檢查了所有的設定就和我們一般灌的xp沒有二樣....可是那樣的系統效率卻是讓我感覺遠遠不及的.register和gpedit.msc均沒有動過...天啊...真是搞不懂....

贊助商連結

分散式檔案系統....我以前的經驗,不一定要AD才能把各使者的家目錄留在本機,要放在那裡是可以自己指定的(不需任何軟硬體幫助)只是方法有些麻煩.
禁止本機登入的部份:我也有想過是用gpedit.msc去禁止的但小弟檢查了...沒有
而且本機上實際上是有帳號的只是mis少不會把密碼給我知道,反正就是我檢查了所有的設定就和我們一般灌的xp沒有二樣....可是那樣的系統效率卻是讓我感覺遠遠不及的.register和gpedit.msc均沒有動過...天啊...真是搞不懂....

不知道 gpedit.msc、register 是指哪邊的？（本機？server端？)

印象中「電腦單位」加入網域後，所有權限就由 AD 主機接管了
本機所有設定視為無效、形同虛設
要看 AD 的設定，需有網域管理員權限
電腦要退出網域，亦需要網域管理員權限

M$ 有一套 administrator tools 軟體（好像是這個名稱吧...)
可以裝在本機，遠端控制 AD 主機的設定，不用到 AD 主機前操作
但是登入網域時，要以網域管理員身份登入，才能操作

完全禁止本機登入，其實也有一定危險性
因為如果 AD 掛了，會變成所有 Client端電腦全部無法使用
除非在 AD 主機掛掉之前，先退出網域
這種情況，必須恢復 AD 運作，如無法恢復，只有破解本機密碼一途
w2k只要拔硬碟到別台電腦，砍掉一個檔案即可破解
XP 以上的好像無法破解

不知道 gpedit.msc、register 是指哪邊的？（本機？server端？)

印象中「電腦單位」加入網域後，所有權限就由 AD 主機接管了
本機所有設定視為無效、形同虛設
要看 AD 的設定，需有網域管理員權限
電腦要退出網域，亦需要網域管理員權限

M$ 有一套 administrator tools 軟體（好像是這個名稱吧...)
可以裝在本機，遠端控制 AD 主機的設定，不用到 AD 主機前操作
但是登入網域時，要以網域管理員身份登入，才能操作

完全禁止本機登入，其實也有一定危險性
因為如果 AD 掛了，會變成所有 Client端電腦全部無法使用
除非在 AD 主機掛掉之前，先退出網域
這種情況，必須恢復 AD 運作，如無法恢復，只有破解本機密碼一途
w2k只要拔硬碟到別台電腦，砍掉一個檔案即可破解
XP 以上的好像無法破解

大大,有些東西我之前寫的很清楚了,並沒有完全禁止本機登入..是本機帳號密碼不給知道,還有這裡是幾仟人的網域,設備上除非整棟樓被飛機撞倒了,放心不會因為有台AD掛了會造成什麼影響.....

會不會小題大做了!

開始 設定 控制台 使用者帳戶 變更使用者登入或登出方式
把打勾取消 就不是選帳號登入了.

進 cmd 看
echo %homedrive%
echo %homepath%

進到 %homedrive%\Documents and Settings\ 看有哪些人的目錄 就知道哪些帳號曾經登入過此電腦了.

本機原則 安全性選項 互動式登入:先前網域控制站無法使用時的登入快取次數.

印象中「電腦單位」加入網域後，所有權限就由 AD 主機接管了
本機所有設定視為無效、形同虛設
要看 AD 的設定，需有網域管理員權限
電腦要退出網域，亦需要網域管理員權限

完全禁止本機登入，其實也有一定危險性
因為如果 AD 掛了，會變成所有 Client端電腦全部無法使用
除非在 AD 主機掛掉之前，先退出網域
這種情況，必須恢復 AD 運作，如無法恢復，只有破解本機密碼一途
w2k只要拔硬碟到別台電腦，砍掉一個檔案即可破解
XP 以上的好像無法破解
退出網域只需有本機 Administrators 權限就能任意退出.

加入網域需要使用本機的 Administrators 權限
但是在 Server 端必須要有加入網域的權限

如果事先在 Server 上打 net computer 電腦名稱
那 Client 端只需任意一個網域帳號本機具有 Administrators 權限就能加入網域.

XP 的本機 Administrator 正常方法是刪不掉的, 可以更名.
密碼可以用 http://home.eunet.no/~pnordahl/ntpasswd/bootdisk.html
或是很多 pe 都附更改密碼的程式.

我遇過更怪的, 筆記型電腦 XP Pro 使用 Checkpoint VPN Client 回美國.
慘的是有加入網域, 其餘本機帳號都不知道密碼, 還要求不能把 Administrator 的密碼改掉, 只有 User 權限的帳號密碼, 要安裝印表機.
照樣可以透過 bat2exe 編譯一個 .bat 為 .exe 內容是加ㄧ個 user account
並把該 User ID 加到 Administrators 群組.

更名為 svchost.exe

用 winpe 開機 把 原本的 svchost.exe 更名, 替換 bat 編譯為 exe 的那個檔案.
開機之後看到執行該檔案跳出 dos 視窗, 加入帳號和加入 administrators 群組, 關機, 把檔案改回來, 就可以用新增具 administrators 的 ID 登入, 安裝印表機驅動程式.

加ㄧ個帳號的好處是密碼過期, 可以登入的次數也到了, 畫面停在登入畫面.
但是沒有 Checkpoint VPN Client 根本沒辦法改密碼.

這時可以先用新增的帳號登入本機, 把 Checkpoint VPN 撥起來
再按 <CTRL>+<Alt>+<Del> 然後點選變更密碼 輸入 網域的 ID 選擇網域 輸入舊密碼 輸入新密碼 輸入新密碼確認 就能更改密碼了.

看一下 http://support.microsoft.com/kb/913485 Cached credentials security in Windows Server 2003, in Windows XP, and in Windows 2000 吧！


原來在外面還可用原來登的網域帳號密碼登入電腦是這原因, 受教了.

退出網域只需有本機 Administrators 權限就能任意退出.
加入網域需要使用本機的 Administrators 權限
但是在 Server 端必須要有加入網域的權限
如果事先在 Server 上打 net computer 電腦名稱
那 Client 端只需任意一個網域帳號本機具有 Administrators 權限就能加入網域.

"加入網域需要使用本機的 Administrators 權限"<=這點怪怪的
Join Domain 只需Domain Account 即可

"加入網域需要使用本機的 Administrators 權限"<=這點怪怪的
Join Domain 只需Domain Account 即可
必須在 Server 上指定該電腦名稱加入網域使用 Domain Users
剛剛試過, 在 dc 上 新增電腦 把下列使用者或群組可以將這台電腦加入網域中 指定 Domain User 群組
再到 Client 用 administrators 權限的帳號加入網域, 會詢問帳號 任意輸入ㄧ個網域的帳號就可以了.

因為每台都把 policy 中 將電腦加入網域設定ㄧ個帳號 還必須先建帳號.
不如直接用 administrators 內的帳號直接來加.

最好的方法應該是用 VBS 寫一個加入網域 內含帳號密碼和網域, 但是在 Server 上此帳號不給任何權限只在 policy 將電腦加入網域 輸入這個帳號.
下次要加入網域 使用 administrator 點兩下, 就加入網域.