企业网络设计方案

1、AD的理论知识和实际操作技巧大多数朋友想必都很熟悉了，不熟悉的朋友建议先把理论知识学好再来看这个系列的文章。公司概况公司简单介绍：OS公司是一家电子制作型企业，通过公司的运营和管理，发展迅速，现以拥有三家分公司，员工人数已经有10000人左右。为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业的网络。公司计划部署一个以AD为基础架构的信息系统用于完成企业的资源共享和数据通信。下面是OS电子公司的分布图：下面是OS电子公司IT部门的职能划分图根据OS公司管理模型和其它状况决定采用单域多站点的结构来进行AD部署；在设计部署AD之前首先要规划好IP地址的划分，子网的划分原则：，为每个分公司

2、分配一个子网，子网数必须能满足今后的发展需求保证以后有足够可用的子网，每个子网有足够的可用Ip地址。根据公司的现状，以及考虑以后的发展规模决定用一个B类地址172.16.0.0/16来划分子网。下面是子网划分图一共可以划分64个子网，每个子网有1022个可用IP，可以满足以后的发展需求。下面是每个公司网络的IP划分规则、每个网络前1-100为用于服务器规划，如珠海总公司172.16.0.1-172.16.0.100/22保留，用于服务器IP地址的划分。、每个网络前101-150用于交换机和网络打印机地址规划，如珠海总公司172.16.0.101-172.16.0.150/22用于交换机和网络打

3、印机地址规划。、每个网络最后一个254地址用于路由器，如珠海总公司172.16.3.254/22用于和分公司连接的路由器地址。、剩下的IP地址用于客户端，或分公司IT自己划分，如珠海总公司172.16.0.151-172.16.3.253/22用于客户端。以上的IP划分规则所有分公司IT必须严格执行。好了，第一篇IP的划分就先写到这吧。在设计站点之前先定义一下AD里对像的命名规则吧。简单的说就是要对AD里的对象制定一套命名规则，每个公司IT部门都要严格按这套命名规则来对自己创建的AD对象进行命名。下面写得不太详细但太概的意思就是这样。域的名字：os.ad域的功能级别：windows serve

4、r 2003站点命名：地点前两个字母+公司简称，如：珠海总公司（ZHOS），广州分公司（GZOS），南昌分公司（NCOS）；服务器的命名：地点前两个字母+OS（公司简称）+服务器角色两个字母+IP地址（不足2位前面用0填充），让人通过名字就知道这台DC是那个分公司的，IP是多少。如珠海的DC（ZHOSDC02），重庆DC（CQOSDC02）客户端PC的命名：地点前两个字母+OS（公司简称）+W（Workstations的意思）+3位数字编号（不足前面用0填充），如珠海的客户端ZHOSW001,广州的客户端GZOSW001；用户登录帐号的命名：地点前两个字母+OS（公司简称）+U（Users的意

5、思）+3位数字编号（不足前面用0填充）,如珠海用户ZHOSU001,广州用户GZOSU001；共享打印机的命名：地点前两个字母+OS（公司简称）+P（Printer的意思）+3位数字编号（不足前面用0填充）,如珠海的打印机ZHOSP001,广州的打印机GZOSP001；下面进入我们的主题站点的规划，不理解站点的朋友请详细阅读这篇文章 “深刻理解站点和复制（实现站点以管理AD中的复制）”:下图是公司整个站点及站点复制规划图AD的FSMO角色规划在珠海总公司，珠海总公司站点（ZHOS）用了3台DC，其中2台用于本地用户的身分验证，1台用于与其它站点间的AD数据复制；在OS分公司中每个站点都设计了2

6、台DC用于冗余，定义了桥头服务器和至少一台GC。AD冗余的具体操作请参考这篇文章:“ AD/DNS/DHCP/WINS冗余部署实例”为么要划分站点？很简单两个原因：1、优化AD的复制；DC之间要同步AD数据，假如不划分站点，这个同步每时每刻都在进行，而且数据是不压缩的。如果划分了站点就可以控制站点到站点间的AD复制。2、优化客户端的登录，当划分了站点以后，DNS会替客户端找本站点内的DC，这样就加快了身份验证过程。经过上面的规划和配置后OS公司用户的身份验证都会点本地站点内的DC完成，比如说，广州分公司的用户会去GZOS站点内的DC去做身份验证，南昌分公司的用户会去NCOS站点内的DC去做身份

7、验证。现在大家明白之前为什么要去划分IP子网了吧？其实AD站点的划分就是通过IP子网来实现的，在划分AD站点之前首先要规划好你的网络地址。什么是站点内？什么是站点间？大至可以这么去理解，站点内是由一组高速带宽连接的网络，站点间是由一组低速带宽连接的网络。1、站点内的复制在站点内进行的目录更新可能对本地客户端产生最直接的影响，因此站内复制可实现速度优化。站点内的复制根据更改通知而自动进行。当在某个域控制器上执行目录更新时，站内复制就开始了。默认情况下，源域控制器等待 15 秒钟，然后将更新通知发送给最近的复制伙伴。如果源域控制器有多个复制伙伴，在默认情况下将以 3 秒为间隔向每个伙伴相继发出通知

8、。当接收到更改通知后，伙伴域控制器将向源域控制器发送目录更新请求。源域控制器以复制操作响应该请求。3 秒钟的通知间隔可避免来自复制伙伴的更新请求同时到达而使源域控制器应接不暇。 对于站点内的某些目录更新，并不使用 15 秒钟的等待时间，复制会立即发生。这种立即复制称为紧急复制，应用于重要的目录更新，包括帐户锁定的指派以及帐户锁定策略、域密码策略或域控制器帐户上密码的更改。2、站点间复制：可用带宽有限且可能不可靠所有站点间的复制流量都经过压缩更改的复制将按手动定义的计划进行Active Directory 处理站点之间的复制（或称站点间复制）与处理站点内的复制所用方法不同，因为站点之间的带宽通常

9、是有限的。Active Directory 信息一致性检查器 (KCC) 使用开销最低的跨越树设计建立站点间复制拓扑。站点间复制被优化为最佳的带宽效率，并且站点之间的目录更新可根据可配置的日程安排自动进行。在站点之间复制的目录更新被压缩以节省带宽。下面出个题目考考大家，假如你是珠海总公司员工，带着你的笔记本电脑去南昌分公司出差，到了分公司以后，接入分公司网络这个时候你的身分验证是在那里完成的？回答上一篇的问题，答案是：在南昌的其中一台DC完成身份验证。分析：珠海员工到南昌分公司出差办公当笔记本接入南昌分公司的网络后南昌分公司的DHCP服务器会为它分配一个属于南昌网段的IP地址，并配置南昌分公司

10、的DNS及网关地址，然后DNS会去查询本地的DC，最后在本地DC上对用户进行身份验证。下面进行OS公司的AD的架构设计图从图里我们可以看出Administrator用户对域有最高的权限，是整个AD的管理员，在大中型企业里如果AD靠管理员一个人去管理维护肯定是不可能的特别是有分支机构的企业，因此需要把部分权限委派出去。委派的权限不能过高，因为AD是公司的基础架构，很多应用都是基于AD的，如果AD发生崩溃在大中型企业里后果是不可想象，为了减少AD的崩溃和出错在权限设计方面一定要设计严格的管理权限，制定出在AD里对象的操作规则。AD的结构主要是根据自己企业的实际情况和管理方便来划分下面只是一个实例仅

11、供参考。第一级划分考虑到OS公司在未来的几年发展只限于国内发展，国外暂不考虑，结合中国地理位置第一级OU按省份来划分。OS公司在3个省内有公司第一级划分三个OU分别是GD(广东）、JX（江西)、SC(四川）未来在别的省份发展分公司还可以断续增加省份OU。在第一级OU中设计了一个Groups的OU这个OU主要用于存放OS公司的一些公共组,这个设计主要是为了便于管理。举个例子：总部有一份报表需要给珠海总公司、广东分公司、南昌分公司等各分公司的财务人员查看和修改，如果你是IT管理者该如何做？最佳的解决方法：          1、要求各公司

12、IT管理员创建一个本地的财务组，如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept，南昌NCOS-Finance-Dept等，自己本公司的所有财务人员加入到本地创建的财务组；          2、总部管理员在Groups创建一个OS-Finance-Dept财务公共组，把各公司的财务组如珠海ZHOS-Finance-Dept、广州GZOS-Finance-Dept等加入到OS-Finance-Dept财务组；           &#

13、160;              3、创建一个文件夹，把查看和修改权限赋予OS-Finance-Dept。                 第二级划分第二级划分主要根据OS公司的结构来划分，根据所在的省份在一级OU下为每个公司划分一个OU，每个OU委派给各公司IT主管进行管理。从图里可以看出，每个公司的OU下都有一个组，这个组的用户对这个OU下面的对象负责管理，AD管理员把各公司的IT主管分别加

14、入到相应的组里面。对每个公司的OU委派下面几个权限：1、创建、删除以及管理用户帐户2、创建、删除以及管理计算机帐户3、重设用户密码并强制在下次登录时更改密码4、读取所有用户信息5、创建、删除和管理组6、修改组成员身份7、生成策略的结果集(计划)8、生成策略的结果集(记录)好了先写到这里吧，累了休息休息。接上篇：中型企业Active Directory 设计部署系列三 AD架构的设计（上）解答上篇的问题：假如我是南昌的IT管理员可以在一级OU上创建AD对象吗？可以对重庆的进行管理吗？答：1、不能在一级OU上创建AD对象，因为没有被授权；     2、不能对

15、重庆OU进行管理，因为没有被授权；前面我们根据地点和公司划分了二级OU，下面我们再针对每个公司继续划分OU。每个公司的OU架构共设计了两个方案，下面我们先看看二个方案的架构图。方案一：方案二：公司OU划分没有一定结构，原则是根据公司的实际情况来划分，怎么样管理方便就怎么样划分。第一个方案简单明了，把相应的对象放入相应的OU再进行策略管理；第二个方案也不错，在管理上划分得很细，但相应的也增加了管理的复杂度；根据公司的实际情况，为了简化管理决定采用第一个方案，强化总公司的IT管理，减少AD的维护量，保障公司OU架构的统一性和可靠性所有公司都统一采用这一架构，并为公司里的每一个OU委派权限给分公司的

16、IT管理员。具体的OU委派权限如下：IT:作用：此OU委派给总公司IT管理员创建和存放分公司的IT用户和组委派权限：1、创建、删除以及管理用户帐户2、重设用户密码并强制在下次登录时更改密码3、读取所有用户信息4、创建、删除和管理组5、修改组成员身份6、生成策略的结果集(计划)7、生成策略的结果集(记录)Groups:作用：委派给分公司IT管理员创建和存放本地分公司的用户组委派权限：1、创建、删除和管理组2、修改组成员身份Users:作用：委派给分公司IT管理员创建和存放本地用户帐号委派权限：1、创建、删除和管理组2、重设用户密码并强制在下次登录时更改密码3、读取所有用户信息4、修改组成员身份5

17、、生成策略的结果集(计划)6、生成策略的结果集(记录)Servers:作用：委派给分公司IT管理员创建和存放本地服务器计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策略的结果集(记录)Mobiles:作用：委派给分公司IT管理员创建和存放本地笔记本计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策略的结果集(记录)Workstations:作用：委派给分公司IT管理员创建和存放本地普通计算机帐号；委派权限：1、创建、删除以及管理计算机帐户2、生成策略的结果集(计划)3、生成策略的结果集(记录)接上篇：中型企业

18、Active Directory 设计部署系列三 AD架构的设计（下）经过前面的工作OS公司的AD架构已经设计好了，下面进行组策略的设计。设计组策略的目的是管理用户和计算机，通过组策略可以配置管理一群用户和一群计算机的使用环境，因此需要根据公司的实际情况和管理环境来进行设计。先看下面的两张设计图吧设计图一设计图二1、组策略分为计算机策略和用户策略，在设计组策略时最好把这两样分开；2、合理的优化组策略，有助于加快客户端处理组策略的速度和排错，比如说你有一条策略是针对计算机的那完全可以把用户策略这一块禁用掉，如果是用户策略则可以把计算机策略这块禁掉。3、尽量减少组策略的使用数量，组策略是一样好东西

19、，但不要乱用，刚学习组策略的朋友很喜欢在自己的AD里使用大量的组策略，这是不好的。为什么？（1、）用的策略越多对客户端的性能影响就越大，因为客户端需要花资源花时间去处理这些策略；（2、）增加客户端的复杂度，一旦出问题增加了排错的困难。在那里优化呢？请参考下图从上面的图可以看出OS公司AD组策略的设计是很简单的；域级别是2条策略，其中1条是默认策略；Domain Controllers只有1条默认策略每个公司有4条OU级别的策略1条是针对用户的，3条是针对计算机类型的；为什么设计的这么简单呢？在大中型企业待过的朋友可能有体会，大中型企业的组策略往往是很简单的特别是大型企业。设计太多的组策略会降低

20、客户端的性能，不利于维护管理，增加了系统的复杂度。组策略的管理，域级别和Domain Controllers的组策略由总公司IT进行管理，分公司的4条策略委派给本地IT进行管理。转帖一篇 组策略最佳实践之“降龙十八掌 希望对大家有用！降龙十八掌第一式亢龙有悔：单独保留默认的GPOs（推荐）1、Default Domain Policy & Default Domain Controllers Policy密码、帐户锁定和Kerberos策略设置必须在域级别实现（如果在OU级别上去做，只是对计算机的本地用户生效而不是域用户）还有以下设置：登录时间用完自动注销用户，重命名（Domain）管

21、理员帐户和重命名（Domain）来宾帐户。这些策略也必须在域级别实现，也是只有这些策略需要在域级别上设置。2、使用以下两种方法：   （1）在Default Domain Policy仅修改以上策略设置，然后在其下链接其他GPO   （2）单独保留Default Domain Policy永不修改，创建并链接高优先级的GPO，然后修改策略设置（推荐）1、为什么因为恢复损坏的默认的GPOs是个噩梦？（KB 226243、KB 324800 KB267553）4、不要依赖DCgpofix（这将是最后的还原工具），Dcgpofix还原默认的GPOs到干净的安装

22、状态。最好的方法使用您的备份替代！降龙十八掌第二式飞龙在天：设计OU结构1、将DC放在DC所在的OU里并单独管理2、为用户和计算机创建单独的OU3、使用OU把用户/计算机按照角色分组，例如：（1）    计算机：邮件服务器、终端服务器、WEB服务器、文件和打印服务器、便携计算机等（2）    域控制器：保留在默认的Domain controllers OU下（链接Default Domain Controller Policy GPO）（3）    用户：IT职员、工程师、车间、移动用户等4、默认情况下，所有新帐户创建在cn=user

23、s或者cn=computers（不能链接GPO），所以如果是Windows 2003域：（1）    在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU（2）    允许使用组策略管理新创建的帐户（使用“redirusr.exe”和“redircmp.exe”两个命令，为使重定向成功，在目录域中的域功能级别必须至少是windows server 2003，这两个工具是内置的，示例：所用域的名字是zxy.xy，让新计算机加入到域，默认注册到TEST的OU中去，进入命令提示符：c:>redir

24、cmp “ou=test,dc=zxy,dc=xy”用户的相同）（命令创建计算机帐户：c:>net computer url=file:/computername/computername/url /add）降龙十八掌第三式龙战于野：反对跨域GPO链接如果你公司是多域环境，绝对不要把父域的GPO链接到子域来使用，相反亦然。1、将明显的影响处理时间（1）    通过线缆取GPO的时间（2）    使排错和客户端处理GPO的速度非常慢2、违反KISS规则（使问题变的简单规则）在一个域更改GPO设置将影响另外一个域（如果想使用相同的GPO，可以先在源域上

25、备份或导出，然后在目标域做导入，或利用GPMC进行复制粘贴）3、使用GPMC脚本来帮助部署和维护跨域的组策略的一致性（1）    CreateEnvironmentFromXML.wsf（2）    CreateXMLFromEnvironment.wsf（例：我不是一个父域子域，我是一个测试域，我测试完了就链接到生产环境中来用，测试域跟生产域没关系，测试完了GPO没问题，然后就拿到生产环境来使用，可以通过复制粘贴，另外还可以使用脚本CreateEnvironmentFromXML.wsf去把测试环境中所有的OU、所有的GPO、GPO到OU的链接、GPO

26、的设置，全部保存成一个XML文件，然后把XML的文件复制到生产的域，在生产的域安装GPMC，运行CreateXMLFromEnvironment.wsf这个脚本，他可以帮你从XML文件中把所有在测试环境中的OU，所有GPO、GPO到OU的链接、GPO的设置，甚至可以把和GPO相关的用户帐号和组帐号全部给他创建出来，所以这两个脚本可以很平滑的把测试环境到生产环境的组策略迁移的一个过程，而且很利害，他不仅可以迁组策略对象，还可以把OU给建出来，把组策略对象给建出来，他会自动的把组策略对象给链接到OU，还可以自动创建跟组策略相关的帐号，例用户帐号）降龙十八掌第四式潜龙勿用：谨慎使用强制/禁止替代/阻

27、止继承、回环处理模式1、增加了处理时间，增加了排错的难度可以在域级别强制一个标准策略，但是不要使用阻止继承2、回环处理模式会给排错带来负担，但是有特定的场景使用（1）    通常用于保证等于的每一个用户都能获得相同的配置（2）    用于特定的计算机（例如：公共场所的电脑，图书馆，还有教室），需要基于使用的计算机来修改用户策略（3）    经常用户终端服务实现（4）    KB 231287降龙十八掌第五利涉大川：使一切简单化1、考虑以下几点：（1）    每增加一个GPO都会增加复杂性（默认情

28、况Client最多可处理999个GPO）（2）    限制谁能创建/修改/链接GPOs（委派）（3）    回环处理/强制/阻止继承使事情变得复杂2、KISS：如果可能的话，使用以下三个层次的GPO：（1）    默认的域策略（用户帐户设置）（2）    一个基线的安全策略（强制应用到域中的每个用户，每台计算机）（3）    一个指定OU的策略（专门针对某个OU包含一些唯一设置的GPO）3、反对为每一个GPO设置安全过滤器（安全过滤器的好处是GPO只对指定的用户或组生效，不是非常必要的话，不要用

29、安全过滤器，同样会增加处理GPO的负担的）4、仅仅对每个GPO中需要的设置做修改，其他保留默认状态（未配置）降龙十八掌第六式鸿渐于陆：在GPMC中进行所有的操作1、使用GPMC的RSOP工具2、文档化GPO的设置3、进行委派4、所有的启用、禁用、链接、强制等（使用它禁用所有GPO中不使用的部分用户或计算机略微的改进处理时的性能）5、在测试环境和生产环境进行迁移6、和GPMC一起安装很多的脚本（c:programfilesgpmcscripts）降龙十八掌第七突如其来：使用GPO规划工具1、所有的GPO设置参考   url=2、XP SP2-specific(详细)：详细指南

30、：url=降龙十八掌第八式震惊百里：即使没有改变设置也强制重新应用策略1、使用于当用户是客户计算机的本地管理员组的成员的场景（要了解组策略的应用模式，首先用户登录后，要应用GPO的策略设置，以后就会有这样的一个问题，如果你不对这个GPO里的策略进行任何修改，那么客户端就不会再应用，因为客户端会检测GPO的版本号，只有对GPO更改过，版本号才不同，客户端才会去下载应用，如果没有改过，版本还一样，客户端就不会再去下载，重新刷新这个策略，用强制策略处理，可以把修改的一些策略刷新）（1）在组策略应用以后覆盖指定的设置（2）默认情况下，组策略只会检查有没有新的策略设置可用，然后在后台刷新2、强制策略再次

31、处理：（1）计算机或用户配置-> 管理模板-> 系统-> 组策略-> 每一种策略的类型策略处理(需要启用以下节点：注册表、IE、软件安装、文件夹重定向、脚本、安全性、IPSec、无线、EFS、磁盘配额)（2）每个节点：（选择：启用“即使尚未更改组策略对象也要进行处理”）3、处理每个节点：考虑禁用“允许通过慢速网络连接进行处理”，例如：“软件安装”禁用掉客户端就不会装这个软件，降龙十八掌第九式或跃在渊：使Windows XP同步处理组策略1、Windows XP默认是异步处理组策略   无需等网络响应（XP应用过GPO就会在本地有个缓存的），这种异步处

32、理方式大大缩短了XP客户端所需要的引导与登录时间，可是处理文件夹重定项等都会有延迟，这将会影响到排错。2、Windows 2000默认是同步处理组策略3、我们应该：   （1）不想让操作系统来决定组策略的处理方式   （2）也不想其它因素影响排错4、这个策略的位置在：计算机配置>管理模板>系统>登录>计算机启动和登录时总是等待网络（这个启用后，XP就使用同步处理的方式，这样应用GPO就不会有延迟了）降龙十八掌第十式神龙摆尾：使用GPO命名惯例1、保证GPO的一致性，并保证容易理解（创建GPO的管理员越多，一致性越差）2、使用简洁的

33、名字描述GPO的意图3、微软使用的命名惯例：三个关键字符：    范围（end user最终用户,worldwide全部,IT）    目的    谁管理示例：IT-office2003-ITG降龙十八掌第十一式鱼越于渊：为新的帐户指定策略1、默认情况下，所有新的帐户在cn=Users或cn=Computers（GPO不能链接到这些容器）2、如果有Windows 2003域：   （1）在域中使用“redirusr.exe”和“redircmp.exe”指定所有新计算机/用户帐户创建时的默认OU 

34、60;   （2）允许使用组策略管理新创建的帐户3、要求Windows 2003域的功能级别为Windows 20034、参考KB#324929降龙十八掌第十二式见龙在田：怎么才能阻止用户访问特定的驱动器（E：、F：、G：、H：、.etc）?1、组策略中包含的设置   用户配置>管理模板>windows组件>windows资源管理器>防止从“我的电脑”访问这些驱动器（要不就是所有，要不就是ABCD四个）2、不能禁用其他的驱动器3、自定义管理模板或使用GPDriveOptions降龙十八掌第十三式双龙取水：密码存储安全1、windo

35、ws 使用两种不同的密码表示方法（通常称为“哈希”）生成并存储用户帐户密码（1）当您将用户帐户的密码设置或更改为包含少于15位字符的密码时，windows会为此密码同时生成LAN Manager哈希（LM哈希）和windows NT哈希（NT哈希）（2）这些哈希存储在本地安全帐户管理器（SAM）数据库或Active Directory中。（3）与NT哈希相比，LM哈希相对较弱，因此容易遭到暴力攻击。（4）考虑阻止windows 存储密码的LM哈唏2、不允许存储LM哈希值（windows XP或windows server2003）（1）计算机配置>windows设置>安全设置>

36、;本地策略>安全选项>网络安全：不要在下次更改密码时存储LAN Manager哈希值。（2）有些产品或者应用程序依赖于LM哈唏（Win9x没有安装活动目录客户端和第三方SMB客户端例：samba）.3、参考KB 299656降龙十八掌第十四时乘六龙：清空上次登录的用户名1、如果便携电脑被盗，盗窃者需要猜测两个部分（用户名、密码）2、计算机配置>windows设置>本地策略>安全选项>交互式登录：不显示上次登录名具体应用场景：台式机设置不显示上次登录名的必要性小点，主要是针对便携式计算机，可以给便携式计算机建个OU，设置不显示上次登录用户名的策略。降龙十八掌第

37、十五式密云不雨：面对密码猜测1、使用清空上次登录的用户名技巧2、最好能布置监视的工具（最佳技巧）（1）不要实现帐户锁定策略（别人就可以利用脚本进行不停的猜测密码，这就会形成一种拒绝服务攻击，让所有域用户帐户锁定），集中在面对密码猜测的响应。（2）如果可能，在特定的周期内对大量的密码猜测让系统自动响应（找出猜密码的人，而进一步做处理）。2、如果没有监视工具（1）考虑使用帐户锁定策略（2）增加了管理上的负担（3）接受DOS攻击（通过隐藏上次的登录名减少攻击）降龙十八掌第十六式损则有孚：创建登录警报1、通常用于实现通知用户他们使用的系统属于公司并且他们系统被监视。2、计算机配置>windows设置>本地策略>安全选项>交互登录：用户试图登录时的消息文字3、消息文字中提示的内容可以做也可以不去做一但是使用消息文字，最起码可以让你的老板知道您正在做您的份内工作。降龙十八掌第十七式履霜冰至：严格控制Default Domain controllers Policy用户权利位置：Default Domain Controllers Policy>计算机配置>Windows设置>安全设置>本地策略>用户权限指派降龙十八掌第十八式抵羊触