2007年03月03日

 
近一段时期硬盘的价格可以说是“飞流直下三千尺”,120GB的价格已经降到了800元以内,80GB的硬盘更是跌落到了600元以内。如此平易近人的价格让许多人在装机时直接就选择80GB以上的硬盘,还有一些以前硬盘比较小的用户也开始考虑购买第二块硬盘,自然硬盘的保修期又成为了大家关注的焦点。前些日子一些硬盘厂商纷纷将原本三年质保的硬盘改为一年或二年,这样有些不法奸商就将几乎所有的硬盘都定为一年的质保,并且还有返修货、水货等等,那么怎样确定硬盘的质保期呢?最简单的方法就是网上查询,下面笔者就为大家介绍硬盘保修期的查询方法。
  1.迈拓(Maxtor)

  查询网址:https://www.maxtor.com/en/suppor … 1_serial_number.cfm

  进入网页之后在“Enter Serial Number(S/N)”后输入硬盘标签上的S/N号码(硬盘左下方处),然后点击下一步,就会以表格的形式显示出该硬盘的保修状态(Status/Message)、保修到期日期(Expiration Date)(图1)。

 

目前在中国大陆范围内迈拓硬盘只有建达蓝德一家代理,所以用户买到的正品迈拓硬盘均应该是建德蓝德代理的。如果用户担心买到的是水货产品,可以到下面的网址输入序列号(S/N)查询即可辨明真伪(图2)。

建达蓝德条码查询http://211.102.13.131:8080/test/find_serial_no.jsp

2.希捷(Seagate)

  查询网址http://support.seagate.com/customer/warranty_validation_cn.jsp

  进入网页后要求最终用户输入第二项序列号(S/N)和第三项硬盘型号(Model Number)或部件号(P/N)(图3)。

输入之后点击提交,就会显示该硬盘的保修状态和失效日期(图4),并且还能显示是由希捷硬盘在中国的哪家授权代理销售的。目前希捷硬盘在中国的授权代理共有五家,分别是记忆科技、伟仕电脑、广源行、雷射电脑、香港科邦电脑,要是用户买到非以上五家代理销售的希捷硬盘,必是水货无疑(图5)。

 

3.西部数据(Western Digital)

  查询网址http://websupport.wdc.com/websup … n/warrantystart.asp

  进入该网页后在“国家和地区”中选择中国,然后在“序列号列表”处输入硬盘12位的序列号,每次最多可查询150个硬盘,然后点击“查看保修”就会显示出该硬盘的型号、保修状态、到期日等信息(图6)。

4.日立(Hitachi)/IBM

  查询网址http://www.hgst.com/hdd/support/ibmredirect.html

  自从IBM硬盘部门被日立收购后,IBM的硬盘逐渐淡出市场,改头换面为日立硬盘,并且日立公司承诺将继续对IBM硬盘执行既定的服务条款。网页打开后点击“Warranty check”,进入“Quick warranty check”页面,在“Serial numbers”处输入硬盘标签上的S/N号码,点击“Check”就可以得到该硬盘保修期满日期(Expiration Date)、销售区域(Sold to GEO)(图7)。

5.三星(Samsung)

  三星硬盘网址http://www.samsung.com/Products/HardDiskDrive/index.htm

  三星网站没有提供在线查询保修日期的功能,但三星的硬盘全部为三年质保

2006年10月16日
常见的启动项-系统 
 
ctfmon 用户输入技术支持 
internat.exe 输入法指示器程序 
LoadPowerProfile Win98/Me电源管理 
PCHealth WinMe系统自愈功能 
ScanRegistry 启动时检查并备份注册表 
SchedulingAgent 系统计划任务程序 
Synchronization Manager Win2000同步管理 
SystemTray 系统托盘,管理内存驻留程序 
Taskbar Display Controls 屏幕-属性-设置-高级-在任务栏中显示图标 
TaskMonitor 任务检测程序,记录使用软件情况 
*StateMgr WinMe系统还原 
 
常见的启动项-软件 
 
CnsMin 3721网站的中文域名 
Kingsoft AntiVirus 金山毒霸的启动项 
McAfeeVirusScanService 杀毒软件McAfee VirusScan 
VPTRAY 诺顿杀毒软件的启动项
ccapp  也是诺顿的东西
msmsgs Windows Messenger 
NDetect ICQ的启动程序 
popproxy 瑞星防火墙 
RavMon 瑞星杀毒软件 
RavTimer 瑞星杀毒软件 
RealTray Realplay的启动项 
TkBellExe RealOnePlayer的启动项
 
补充: 
IMSCMIG.EXE 微软IME输入法的组件,关了就没法输入汉字了(好像我就是给他关了这个)
IMJPMIG,TINTSETP,TINTSETP这三项。这三项是日文,韩文等输入法的启动项目,一般我们都不会使用日文,韩文这些输入法,所以可以禁止这三项随机启动
2006年09月02日

 

 

 

 

 

Q1、客户机无法加入到域?

 

 

一、权限问题。

 

要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。

 

 

二、不是说2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。吗?这时如何在这台计算机上登录到域呀!

 

显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。注意:域管理员不受10台的限制。

 

 

三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现拒绝访问提示。

 

这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。

 

 

四、域xxx不是AD域,或用于域的AD域控制器无法联系上。

 

       在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的 IP 地址,然后开始进行网络身份验证。DNS不可用时,也可以利用浏览服务,但会比较慢。2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器

 

 

加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。

 

 

       加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。再者,由于客户机的DNS指的不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应该是可以的。

 

 

       若客户机的DNS配置没问题,接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC(具体见前)。能找到的话,再ping一下DC看是否通。

 

 

 

 

 

Q2、用户无法登录到域?

 

 

 

 

一、用户名、口令、域

 

       确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。

 

 

二、DNS

 

       客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。

 

 

三、计算机帐号

 

       基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为“无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中,将计算机帐号启用即可。

 

 

       对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。解决办法:重设计算机帐户,或将该计算机重新加入到域。

 

 

四、默认普通域用户无权在DC上登录

 

       见下一小节的Q1。

 

 

五、跨域登录中的问题

 

在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。

 

 

  如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。

 

 

 

Q3、如何解决本地或域管理员密码丢失?

 

 

  本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。

 

 

1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”,大约178M

 

 

2、下载后解压缩,将其内容刻录成光盘;

 

 

3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;

 

 

4、出现选择菜单,选择第一项:ERD Commander 2002;

 

 

5、出现类似XP的启动界面

 

 

6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;

 

 

7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;

 

 

8、进入ERD Commander 2002 locksmith向导界面,下一步;

 

 

9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)

 

 

10、选择Start/Logoff,点OK;

 

 

11、稍候片刻,点reboot后重新启动计算机

 

 

凤凰启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码,均已实验证明。

 

 

由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。

Q4、无法使用域内的共享打印机?

 

 

       现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机,

 

 

为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。

 

 

       其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你“拒绝访问,无法连接”、“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的操作系统或应用程序中提示会所不同)。

 

 

       解决办法有3种,最好还是用方法1。:

 

 

1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。

 

 

说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。

 

 

2、在打印服务器上启用Guest用户,保证everyone有打印权限。但这样做不安全,所以不推荐。

 

 

3、在客户机上每次要使用打印机前,在开始—运行:\\PrintServer,这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。

 

 

 

Q5、无法访问域内的共享资源?

 

 

       上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。当访问域内共享资源时,会提示输入用户名和口令。若不出现提示,直接出现拒绝访问。一般是由于目标计算机上启用了guest,而guest用户没有权限造成的。

 

 

       接下来的讨论实质和域的关系不太,但确实是我们访问网络共享资源中经常会碰到的问题:基于UNC路径的IP形式来访问时的故障,如在开始/运行:\\10.63.243.1。

 

 

前提:在网卡、协议、连接没问题的情况下。即在可ping通的前提下,若\\10.63.243.1不通,排错可从下面几个方面来考虑。

 

 

1、目标机的“Microsoft网络的文件和打印机共享”服务的问题。

 

 

提示:“\\10.63.243.1 文件名、目录名或卷标语法不正确”。

 

 

检查:服务是否安装、是否选中,或重装一下。

 

 

操作:网上邻居/右键/属性/本地连接/右键/属性

 

 

2、由于访问相关的net logon、server、workstation服务务未正常启动的影响。

 

 

提示:

 

 

(1)若目标机(为域成员)上的net logon服务停了:“试图登录,但网络登录服务未启动”。

 

 

(2)若目标机上的server服务停了:“\\10.63.243.1 文件名、目录名或卷标语法不正确。”

 

 

(3)若本机的worstation服务停了:“\\10.63.243.1 网络未连接或启动”。连其它计算机,也是一样的提示。

 

 

检查:相应服务是否已经正常启动。

 

 

操作:我的电脑/右键/管理/服务和应用程序/服务下

 

 

3、由于本机与其它计算机重名(指NetBIOS名称)的影响

 

 

提示:访问任何计算机均提示:“找不到网络路径”。

 

 

检查:重启一下,看是否有“网络中存在重名”的提示。可能上次开机时没注意给忽略了。

 

 

操作:我的电脑/属性/网络标识/属性/计算机名下,修改计算机名。

 

 

4、XP/03由于默认安全策略:“帐户:使用空白密码的本地帐户只允许进行控制台登录”的影响

 

 

提示:\\10.63.243.1无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登录失败:用户帐户限制。可能的原因包括不允许空密码,登录时间限制,或强制的策略限制。

 

 

检查:改用非空密码的帐户试试,或查看XP/03目标机上的本地策略。

 

 

操作:开始/运行:gpedit.msc。计算机配置/Winodws设置/安全设置/本地策略/安全选项下,由默认值“启用”改为“禁用”。

 

 

注意:域帐号访问不受此策略限制。

 

 

5、网络共享访问被筛选器的设置所阻止

 

 

提示:找不到网络路径

 

 

检查: TCP/IP筛选、IPSEC、RRAS筛选器是否被启用,且TCP端口139和445被禁用。

 

 

操作:

 

 

(1)网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—TCP/IP筛选

 

 

(2)网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—IP安全机制

 

 

(3)开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。

 

 

说明:

 

 

(1)RRAS筛选器只在2000/03 Server版中才有,IPSEC只有在2000的上述位置才有。

 

 

(2)若你就想设置筛选器,基于端口控制,不让别人访问你的网络共享资源,需要同时禁止TCP:139和445口。

 

 

(3)由于此种原因产生的访问故障,一般是由于实验后忘了复原,或别人故意和你开玩笑。

 

 

 

 

 

Q6、在AD域中,如何批量添加域用户帐号?

 

 

 

 

作为网管,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果逐个添加、设置的话,十分地麻烦。一般来说,如果不超 过10个,我们可利用AD用户帐户复制来实现。如果再多的话,我们就应该考虑使用csvde.exe或ldifde.exe来减轻我们的工作量了。最后简单介绍一下利用脚本(可利用循环功能)批量创建用户帐号

 

 

 

 

 

一、AD用户帐户复制

 

1、在“AD域和计算机”中建一个作为样板的用户,如S1。

 

 

2、设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。

 

 

3、在S1上/右键/复制,输入名字和口令。

 

 

说明:

 

 

1、  只有AD域用户帐户才可以复制,对于本地用户帐户无此功能。

 

 

2、  帐户复制可将在样板用户帐户设置的大多数属性带过来。具体如下:

二、比较csvdeldifde

三、以csvde.exe为例说明:域用户帐户的导出/导入

 

  操作步骤如下:

 

 

1、  在“AD域和计算机”中建一个用户,如S1。

 

 

2、  设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。

 

 

3、  在DC上,开始/运行:cmd

 

 

4、  键入:csvde  –f  demo.csv

 

 

说明:

 

 

(1)不要试图将这个文件导回,来验证是否好使。因为这个文件中的好多字段在导入时是不允许用的,如:ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等属性。我们导出这个文件目的只是为了查看相应的字段名是什么,其值应该怎么写,出错信息如下:

(2)可通过-d –r参数指定导出范围和对象类型。例如:

 

 

       -d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”

 

 

              -r “< Objectclass=user>”

 

 

1、  以上面的文件为参考基础,创建自己的my.csv,并利用复制、粘贴、修改得到多条记录。例如:

 

 

dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName

 

 

"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,S1@mcse.com

 

 

"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,S2@mcse.com

 

 

………………,其它可用字段,我试了一下,见下表(不全):

6、导入到AD,键入 csvde  –i –f  my.csv  –j c:\

 

 

说明:-j用于设置日志文件位置,默认为当前路径。此选项可帮助用户在导入不成功时排错。

 

 

 

 

 

有一点大家必须明确的是:我们在这里做AD域用户帐户复制、做AD域用户帐户的导出/导入,并不能代替“AD备份和恢复”。我们只是在批量创建用户帐号,帐号的SID都是重新生成的,权利权限都得重新设才行。(当然我们可以把导入的用户,通过memberof字段设到一些用户组中去,使它有权利权限。但这与利用“AD备份和恢复”到原状,完全是两回事)。

 

 

 

 

 

四、利用脚本创建批量用户帐户

 

 

1、利用脚本创建用户帐号(用户可参考下例)。

 

 

Set objDomain = GetObject("LDAP://dc=fabrikam,dc=com")

 

 

Set objOU = objDomain.Create("organizationalUnit", "ou=Management")

 

 

objOU.SetInfo

 

 

说明:在fabrikam.com域创建一个名叫Management的OU。

 

 

 

 

 

Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")

 

 

Set objUser = objOU.Create("User", "cn= AckermanPila")

 

 

objUser.Put "sAMAccountName", "AckermanPila"

 

 

objUser.SetInfo

 

 

objUser.SetPassword "i5A2sj*!"

 

 

objUser.AccountDisabled = FALSE

 

 

objUser.SetInfo

 

 

说明:在Management OU下创建一个名叫AckermanPila的用户,口令为i5A2sj*!,启用。

 

 

 

 

 

Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")

 

 

Set objGroup = objOU.Create("Group", "cn=atl-users")

 

 

objGroup.Put "sAMAccountName", "atl-users"

 

 

objGroup.SetInfo

 

 

objGroup.Add objUser.ADSPath

 

 

objGroup.SetInfo

 

 

说明:在Management OU下创建一个名叫atl-users的用户组,将用户AckermanPila加入到这个组中。

 

 

 

 

 

Wscript.echo "Script ended successfully"

 

 

说明:显示“脚本成功结束”信息

 

 

 

 

 

2、利用脚本中的循环功能实现批量创建用户帐号

 

 

 

 

Set objRootDSE = GetObject("LDAP://rootDSE")

 

 

Set objContainer = GetObject("LDAP://cn=Users," & _

 

 

                                                  objRootDSE.Get("defaultNamingContext"))

 

 

For i = 1 To 1000

 

 

Set objUser = objContainer.Create("User", "cn=UserNo" & i)

 

 

objUser.Put "sAMAccountName", "UserNo" & i

 

 

objUser.SetInfo

 

 

objUser.SetPassword "i5A2sj*!"

 

 

objUser.AccountDisabled = FALSE

 

 

objUser.SetInfo

 

 

Next

 

 

WScript.Echo "1000 Users created."

 

 

说明:在当前域的Users容器中创建UserNo1到UserNo1000,共1000个用户帐户

 

 

Q7、我的计算机不知道怎么回事,系统时间总是被改快1小时?

 

 

加入域的计算机,没有自己的时间。这是因为时间参数,在AD复制中是一个极为重要的因素。如:决定多主控复制时,谁的修改最终生效。所以整个域的时间,都由域的PDC仿真主控来控制,整个林的时间都由林根域上的PDC仿真主控来控制。

 

 

       说明:如果整个林的时间都快1小时,对你AD的正常工作没有任何影响。

 

 

       解决:修改林根域的PDC仿真主控计算机的时间。实际工作中,要先查看域内计算机的时区设置是否正确。

 

 

 

Q8、建立AD域,需要有什么样的权限才行?

 

 

 

 

1、若是创建林内的第一个域,即林根域,只要有目标计算机上的本地管理员权限即可。

 

 

2、作为已有域的附加DC,需要该域的域管理员(Domain Admins)权限。

 

 

3、安装子域的DC,或新树的DC,都涉及到林结构的改变,需要林管理员(Enterprise Admins)权限才行。

 

 

 

Q9、如何在2000域中添加一台03DC

 

 

       03和2000比,功能更强大了,在域和AD的体系结构上也有了一些变化(参见前面:域、林功能级别)。但微软的产品十分讲究向前兼容,我们可以实现在一个2000域中加入03DC、加入03DNS,并且DC间的AD复制,DNS间的区域传输,都好像没有版本差异一样。

 

 

       但要注意:直接就在03计算机上安装AD是不行的,会收到出错提示“Active Directory版本不同”。我们需要做一些准备工作,在2000DC(SP2及更高)上运行03光盘/I386/adprep,

 

 

具体第一步:adprep /forestprep进行林准备,第二步adprep /domainprep进行域准备。

 

 

  顺便说一下:03可以作为2000域的附加DC,2000也可以作为03域的附加DC,而直接在2000上安装AD即可,不需要准备。

 

 

 

Q10、创建AD域时,由于没有NTFS分区,导致AD安装失败?

 

 

在2000/03成员或独立服务上上运行dcpromo命令,安装AD,将其提升为DC,其上必须有一个NTFS 5.0分区,用来保存AD的sysvol文件夹。

 

 

注意:2000的NTFS分区是NTFS 5.0,NT4的是NTFS 4.0,NT4必须安装SP4后,才可访问2000的NTFS分区。

 

 

如果C是引导分区,即系统夹winnt或windows所在分区,采用FAT32分区,系统会自动查找下一个可用的NTFS分区来存放系统卷,如d:\sysvol。如果找不到NTFS分区,就会出错,导致AD安装失败。这时可利用convert命令将某个FAT32分区转成NTFS分区,这个转换会保持数据的完好。但要注意这个转换是单向不可逆,想回复到FAT分区,除非重新格式化该分区。

 

 

以转换D盘为例,具体操作如下:

 

 

1、开始/运行:convert d: /fs:ntfs

 

 

2、提示是否转换,键入y确认转换。

 

 

说明:这时并没有真正开始转换,如果后悔,可以到注册表HLM\当前控制\控制\会话管理\BootExecute下,删除其值Convert d: /fs:ntfs 。

 

 

3、重新启动计算机,将在登录界面出现前,真正实施FAT到NTFS的转换。

Q11、安装AD域时,出现NetBIOS名称冲突?

 

 

 

 

       在安装AD时,安装选项会要求输入:新域的DNS全名,在这里应该输入新域的完全有效域名FQDN,形如:mcse.com。系统会打算以mcse作为此域的NetBIOS名称,并在网络中检查是否存在重名,需要等一会儿。

 

 

如果不重名则设为mcse(建议用户不要修改此名),重名系统则自动设为mcse0,建议用户最好换个名字,因为你的网络可能还会有2000以前版本的老系统,考虑到NetBIOS名称解析和DNS名称解析的互助,保持一致性比较好。

 

 

说明:NetBIOS名称,只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的,如果确信域内计算机都是2000及以上系统(它们通过DNS定位域),其实NetBIOS名称冲不冲突,都无所谓。

 

 

这种冲突可能源自于网络中如果已有一个域,名字叫做mcse.org,DNS名虽然不冲突,但是NetBIOS名称冲突。也可能是你安装了一个mcse.com域未能完全成功,又再次安装导致的,这样情况倒可以强行将NetBIOS名称将为mcse,而不是mcse0。

 

 

 

 

 

Q12、安装AD完成后,重启登录非常慢,甚至长达20分钟之久。

 

 

这一般是由于用一台运行了一段时间的2000/03 Server来安装AD造成的,故障较难定位。若重启几次后就正常了,则不必理会。如果多次重启后还是非常慢,那就要重装系统及AD了。建议:最好在新装的系统上来安装AD,这样不容易出问题。

 

 

 

Q13、安装AD时,选择了在本机安装DNS,但安装结束后,在DNS中未生成SRV记录?

 

 

 

 

如果决定在安装AD过程中在本机安装DNS,应在安装前,将本机TCP/IP配置中的DNS服务器指向自己,这样在安装AD完成后重启时,SRV记录将被自动注册到DNS服务器的区域当中去的,生成四个以下划线开头的文件夹,如_msdcs。

 

 

03DNS在这里夹的层次结构有所变化,将_msdcs.域名夹提升了一级,直接放到了查找区域下,但本质没变。

 

 

如果安装前忘了将DNS指向自己,也可以后补上。然后到计算机管理/服务下,重启Net Logon服务即可。这样可以把启动时未能注册到DNS服务器的SRV记录(缓存在windows\system32\cache中)写入DNS。如果仍然不行的话,那只好重启DC了。

 

 

 

 

 

Q14、安装子域失败。

 

 

       在保证权限(需要林管理员权限,不要误以为是父域管理员权限)、DNS没问题的情况下,最常见的安装子域失败的原因就是域命名主控失效,出错提示为:“由于以下原因,操作失败:AD无法与域命名主机xxx联系。指定的服务器无法运行指定的操作。”

 

 

说明:域命名主控要正常工作,它本身要求GC必须可用。这是由于:为了保证域的名字在林中唯一,域命名主机需要查询GC。若是2000林,GC必须和域命名主机在同一台计算机上才行。若是2003林,不要求GC必须和域命名主机非得在同一台计算机上。

 

 

解决:保证域命名主控联机,如果确信其已无法正常工作,可强制传给(查封seize)林内的任意一台DC,子域的DC也可以。原来的主控必须被重做系统后,才可连入网络,以保证域命名主控的林唯一性。

 

 

 

 

Q15、修改用户密码需要几分钟,甚至更长的时间。

 

 

 

 

前面我们介绍过:PDC仿真主控负责最小化密码变化的复制等待时间,若一台DC接受到密码变化的请求,它必须通知PDC仿真主控。若是PDC仿真主机失效,收到该请求的DC必须经过一段时间的查找后,确认真的找不到PDC仿真主控了,才会自己修改用户密码。所以在此情况下,应首先检查PDC仿真主控。

 

 

如果确信其已无法正常工作,可强制传给(查封seize)域内的任意一台DC。原来的主控必须被重做系统后,才可连入网络,以保证PDC仿真主控的域唯一性。

 

 

 

 

 

 

 

 

Q16、正常卸载AD时的常见问题

 

 

 

 

       在实际工作中有时我们需要改变服务器角色,或者将实验中安装的DC回复到普通成员/独立服务器身份,这就要进行AD的卸载。

 

 

1、卸载时会提示给新的本地管理员设置密码

 

 

2、附加DC卸载后,仍在域中。

 

 

3、如果AD不能卸载,应从以下几方面考虑:

 

 

(1)网卡是否正常工作

 

 

即使你整个林中只有一台计算机,也要保证网卡正常工作,才能将AD卸载。网卡不工作或禁用网卡都会导致AD无法卸载,提示“卸载SYSVOL文件夹出错”

 

 

(2)权限

 

 

权限要求与安装AD时类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员(Enterprise Admins)权限;卸载附加DC需要该域的域管理员(Domain Admins)权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。

 

 

(3)DNS

 

 

       一般应保证与安装时所用DNS一致。如果做了DNS规划,必须保证1中权限所要求的管理员身份能通过DNS找到相应DC,进行验证。

 

 

(4)域命名主控

 

 

       卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加DC时不要求域命名主控有效。

 

 

但要注意的是:卸载时,域命名主控失效的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同,具体是:由于以下原因,操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。

 

 

(5)卸载的顺序

 

 

       与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。否则将导致子域无法卸载,而存在的子域还有问题,找不到林根域、树根域了。

 

 

       因为这时极有可能架构和域命名主控及GC未转移,林管理员组和架构管理员组(Schema Admins)已经随林根域的删除而没有了。为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题,也就不会误删除林根域了。

 

 

 

 

 

Q17AD无法正常卸载,或者说DC无法正常降级为成员服务器?

 

 

1Dcpromo /forceremoval强制卸载AD

 

2、重设目录恢复模式下的管理员密码:

 

 

2000:winnt\system32\setpwd.exe

 

 

03:使用ntdsutil实用工具,set dsrm password

 

 

 

 

 

       如果按照上例的要求,还是无法正常卸载AD,且出错提示未提到DNS方面的故障。考虑本机上已安装有的应用程序,你还不想重做系统,可考虑使用如下办法。

 

 

1、开始/运行,在命令行中输入regedit或regedt32打开注册表编辑器。

 

 

2、找到以下的键值:

 

 

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options

 

 

  键值:ProductType  类型:REG_SZ

 

 

3、 将原来的值“LanmanNT”改为“ServerNT”。

 

 

              

 

 

说明:

 

(1)LanmanNT表示本机为域控制器DC,ServerNT表示本机为非DC。

 

 

(2)只有当CurrentControlSet1和CurrentControlSet下的键值:ProductType 所等于的数据不同时,即一个为ServerNT,一个为LanmanNT才允许修改。否则将会出如下提示:

 

 

¨     对于2000:“系统已检测到干预您的注册产品类型,这是您对软件许可证的侵犯。干预产品类型是不允许的。”

 

 

¨     对于03:“系统检测到您的注册的产品类型有篡改现象。这是对软件许可证的侵犯。篡改产品类型是不允许的。”

 

 

(3)教学实践中可以利用ntdsutil将子域的server对象(实质指DC)手动删除,然后运行dcpromo降级,降级失败后演示此知识点。

 

 

接下来,方法一:

 

 

1、重新启动计算机,按F8键进入到“目录服务恢复模式”。

 

 

说明:

 

(1)在此模式下,AD不工作,以便对AD库文件及系统卷sysvol进行操作。

 

 

(2)登录的口令不同于平时所用的口令,是在安装AD时,所设的目录恢复模式下的口令。保存在本机一个SAM库文件中。

 

 

2、删除存放活动目录数据库的文件夹,默认为C:\WinNT\NTDS,或C:\Windows\NTDS。

 

 

3、删除存放系统卷的文件夹,默认为C:\WinNT\SYSVOL,或C:\Windows\SYSVOL

 

 

4、重新启动计算机。

 

 

5、由于还有一些作为域控制器的注册表键值和文件存在,所以在重新启动完计算机后,还需要使用dcpromo命令来升级计算机B到一个临时的域的域控制器(域名可以任意填写),然后再用dcpromo命令降级,这样才会完整地删除所有和域控制器相关的注册表键值和文件。

 

 

方法二

 

 

1、开始/运行,在命令行中输入dcpromo

 

 

2、由于前面已经修改了注册表,此时为AD安装界面,而非卸载界面。

 

 

3、会遇到如下出错提示:“由于网络上名称冲突,选定默认的NetBIOS域名‘xxx’”。

 

 

说明:xxx为你修改注册表前原来域的NetBIOS名称。

 

 

4、不必介意出错提示,手动设置你想要的名称。比如你此次的域为abc.com,则手动设xxx改为ABC即可。

 

 

5、再接下来会遇到提示:“c:\winnt\ntds文件夹不是空的,当升级处理开始时,要删除文件夹中所有的文件吗?(如果不,请指定另一个文件夹。)”

 

 

6、选择:是

 

 

说明:

 

(1)在选择系统卷的夹,如c:\winnnt\sysvol后,时间可能会比较长,请耐心等待。

 

 

(2)和正常安装时一样,可能会碰到DNS错误提示,一般选择在本机安装DNS即可。

 

 

(3)也可能会出现“计算机已脱离域,帐号未被禁用”的提示,不必理会。

 

 

(4)最重要的一点是:这第一次非常可能不成功,再重来一遍dcpromo即可。

 

 

7、如果这次安装是为了清除残余的注册表键值和垃圾文件,可再次运行dcpromo进行卸载。当然直接使用这台DC,也是可以的。

 

 

       最后强调一下,此方法并不是万能的。一是前面我们已经提到的,有时注册表不允许修改或者改完了存不上。再有就是如果在卸载的一开始,就出现有关DNS的出错信息,必须首先排除DNS故障才行。

Q18、如何清理AD数据库中的垃圾对象。

 

 

 

 

       如果我们非正常卸载AD子域、DC等,就会在AD元数据库中留下垃圾。比如上面的例子,又比如未经AD卸载就把DC计算机的系统重做了。这些垃圾对象一般来讲无碍大局,但如果我们想优化AD的性能,不想给用户带来不必要的麻烦(比如用户选择登录到已经不存在的子域),就可以利用ntdsutil工具进行元数据库清理(metadata cleanup),来删除垃圾对象。具体操作如下:

 

 

1、开始/运行:cmd,在命令行下键入 ntdsutil。

 

 

说明:

 

(1)直接,开始/运行:ntdsutil,也可以。

 

 

(2)进行元数据库清理,不要进到目录恢复模式下。

 

 

(3)进行元数据库清理,可以在非DC的2000/XP/03计算机上进行。但有些操作(如使用ntdsutil工具进行授权恢复、整理移动AD库文件)必须在DC上进行。

 

 

(4)在ntdsutil的每级菜单下都可以通过键入:?或HELP,查看本级菜单下可用的命令。

 

 

2、在 ntdsutil: 提示符下,键入 metadata cleanup ,然后按 ENTER。

 

 

说明:ntdsutil是个分层的多级命令行工具,用户在键入名字时,可简写,只要不同于本级命令中的其它命令即可。比如上面的命令metadata cleanup可简写为m c。

 

 

3、在 metadata cleanup: 提示符下,键入 connections ,然后按 ENTER。

 

 

4、在 server connections: 提示符下,键入 connect to server servername,然后按 ENTER。

 

 

说明:

 

(1)其中 servername 是指域控制器的DNS名称,用主机名或FQDN均可。注意:虽然联机说明中提到了可以用IP去连,但实际上发现用IP去连接,会出现参数不正确的出错提示。

 

 

(2)在这里要连接的DC,应是一个正常工作的、可操作的DC,而不是你要清理的那个DC对象。

 

 

5、键入 quit ,然后按 ENTER 回到 metadata cleanup: 提示符。

 

 

6、键入 select operation target ,然后按 ENTER。

 

 

7、键入 list domains ,然后按 ENTER。

 

 

说明:此操作将列出林中的所有域,每一域附带与其相关联的一个数字。

 

 

8、键入 select domain number,然后按 ENTER。

 

 

说明:其中 number 是与故障服务器所在的域相关的数字。

 

 

9、键入 list sites ,然后按 ENTER。

 

 

10、键入 select site number,然后按 ENTER。

 

 

说明:其中 number 是指域控制器所属的站点号码。

 

 

11、键入 list servers in site ,然后按 ENTER。

 

 

说明:这将列出站点上所有服务器,每一服务器附带一个相关的数字。

 

 

12、键入 select server number,然后按 ENTER 。

 

 

说明:其中 number 是指要删除的域控制器。

 

13、键入 quit ,然后按 ENTER,退回到Metadata cleanup 菜单。

 

 

接下来,根据需要,删除相应的垃圾对象:

 

 

14、键入 remove selected server ,然后按 ENTER。

 

 

此时,Active Directory 确认域控制器已成功删除。若收到无法找到对象的错误报告,Active Directory 可能已删除了域控制器。

 

 

15、或者键入 remove selected domain,然后按 ENTER。

 

 

说明:要想删除域,必须得先删除这个域的server对象(实质是DC)才行。

 

 

16、键入 quit 然后按 ENTER 直至回到命令符。

 

 

 

 

 

如果清理的是Server对象,还需要:1、到Active Directory 站点和服务上,展开适当站点,删除相应Server对象。2、到Active Directory 用户和计算机上,双击打开Domain Controllers这个OU,删除相应的DC对象。

 

 

       如果清理的是Domain对象,还需要到Active Directory域和信任关系上,删除相应的已经没有用的信任关系。否则该域名还会出现在登录的域列表。

 

 

       在实际操作中,必须先做元数据清理,然后再到相应的管理工具中删除相应的对象。若是直接到管理工具中去删,系统将不允许删除。

 

 

 

 

 

Q19、欲替换域中唯一的一台DC,如何传送五种主控和转移GC

 

 

 

 

一、传送五种主控

 

 

操作:

 

1、安装第二台DC(假设为DC2,原来的为DC1),

 

 

2、到相应的管理工具(具体见前)下,右键连接到域控制器:DC2,

 

 

3、右键/操作主机/相应标签下,点击更改即可。

 

 

说明:

 

1、其实在图形界面下,操作很简单,关键看能不能成功。

 

 

2、目标都在下面,只有架构的特殊,目标在上面。

 

 

3、如果DC都是最近安装的,极易成功。如果是运行了一段时间的,就不好说了。但我估计你的成功率应在九成以上,因为一般网管都不太动这个。

 

 

4、传送结构主控时,若目标已是GC,会提示出错。可以不理会,继续。因为结构主控负责:更新外部对象的索引(组成员资格),不应该和GC在同一个DC上,应手动移走,否则将不起作用。而单域不需要基础结构主控非得有效,我们一般平常用的都是单域,默认基础结构主控就和GC在一起,不起作用。

 

 

5、若传送不成功,不要着急,等5分钟~2小时不等,你什么都没做,再试可能就成功了。可以利用AD站点和服务/站点/默认的第一个站点名/SERVER/DC/ntds setting/AD连接/右键/立即复制副本,来强制AD马上复制。但有时候,仅依赖于此,还是不行,还得等。

 

 

6、至于把老DC从AD中去除,在开始/运行/DCPROMO,卸载AD。不要选“这是域中最后一台DC”,若能成功卸载,就一切OK了。如不成功,可以直接把原DC废掉重装。AD中会有原DC的垃圾对象,也不影响什么。若非要清干净,参见前例。

 

 

7、如果原角色DC已经无法访问,就只能进行强制传送了,也就是查封(seize)。查封的实质就是强行推出新的主控,会有数据的丢失。在图形界面下会有提示:原主控无法联系,是否强行传送。选择“是”,进行的就是查封操作。

 

 

8、利用ntdsutil工具roles下transfer命令和seize命令也可以实现上述操作。实验中发现,无论是用transfer还是seize,关键看是否能连接到原主控。连接下情况,就是传送;不连接情况下就是查封。如:在连接情况下,使用查封(seize)命令,操作的结果仍是传送:原主控不再是主控,目标成为新的主控。

 

 

二、转移GC

 

       GC不具有唯一性,可在AD站点和服务中,将DC2设为GC。操作如下:

 

 

1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右键/属性。

 

 

2、选中“全局编录”。

 

 

3、你会看到在选项下面的说明:发布全局目录所需要的时间取决您使用的复制拓扑。

 

 

说明:不要急于把DC1断开,应等待足够长的时间,局域网环境一般也就是几分钟。是否将GC的内容成功传送,可在DC2上查看注册表

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters下是否有这样一条:Global Catalog Promotion Complete=1。若未传送完,没有这一条。

 

 

 

Q20、如何进行AD的备份与恢复

 

 

       最好的办法是作为系统状态数据的一部分,利用2000/03自带的备份工具来进行备份/恢复。备份工具位于:开始/程序/附件/系统工具下。利用备份/恢复系统状态数据,可以恢复之前的域用户帐户数据和DNS,以及安全设置、组策略设置、还有配置等等。但DHCP、WINS等需要单独备份。
说明:

 

 

1、  DNS区域必须为AD集成区域,如果不是,在备份之前,将标准主区域转成AD集成区域即可。因为AD集成的意思就是:将DNS区域信息,作为AD的一部分进行存储、复制。

 

 

2、  管理工具下有关AD和域的管理工具的快捷方式不会被恢复(03仍未解决这个问题),可以运行2000S光盘I386\adminpak.msi,将所有的域管理工具追加上。也可手动开始/运行/MMC,添加相应的管理工具,如DNS、AD用户和计算机等。

 

 

3、  重装的2000/03系统,不必安装AD,直接恢复就行。开机,F8,目录恢复模式,恢复大约需要4-5分钟。(实际当中我也试了,新装的系统,没有安装AD,在正常启动模式下恢复也可以,因为它根本没有AD,不涉及到AD正在工作,不允许替换的问题,只不过时间会稍长一些,约7-8分钟)

 

 

4、  2000下利用备份工具恢复系统状态数据时,需要手动将“如果文件已存在:不替换”改为“如果文件已存在,总是替换”。

 

 

具体操作:工具/选项/还原:选择“无条件替换本地上的文件”。否则2000在恢复时,可能不会把winnt\sysvol\sysvol(里面是组策略具体的设置值,被称为GPT)给恢复回来。03DC上没有这个问题,系统会自动提示是否替换,选择“是”即可。

 

 

5、具体备份/恢复的步骤,参考下例。

Q21、如何进行授权恢复

 

       首先我们通过一个例子,来说明一下什么是授权恢复。

 

 

设域内有不止一台DC,管理员误删除了一个OU,然后用以前的AD备份进行了恢复操作。如果不做什么特别的设置(即授权恢复),当DC间进行AD同步时,由被恢复的数据是以前的,AD的版本号低,将被其它DC的高版本内容所覆盖。这样刚被恢复的OU就又被删掉了。

 

 

所以我们需要手动通过ntdsutil工具指定对这个OU对象进行授权恢复,系统将按距备份时间每隔一天100000的标准来增加其AD版本号,确保一定高于其它DC上的版本号。

 

 

具体操作如下:

 

 

1、重启DC,按F8,选择目录恢复模式

 

 

2、用目录恢复模式下的管理员SAM帐号登录

 

 

3、开始/程序/附件/系统工具/备份,在恢复标签下进行“系统状态数据”的恢复

 

 

4、若此时重新启动DC,则以上为正常恢复,即非授权恢复。

 

 

若要进行授权恢复,则此时一定不要重启DC

 

 

4、开始/运行:ntdsutil

 

 

5、键入authoritative restore,到授权恢复提示符

 

 

6、键入restore subtree 对象DN(也可以是子树,甚至是整个AD)

 

 

7、退出Ntdsutil

 

 

8、重新正常启动DC。

 

 

说明:若要进行系统卷SYSVOL(主要是组策略设置)的授权恢复,即将组策略恢复到以前的状态,但AD库要保留当前。不必使用Ntdsutil,直接将AD库恢复到其它位置即可,这是因为系统状态数据在备份/恢复时,不能进行细化的选择。

 

 

 

 

 

Q22、如何移动、整理AD数据库?

 

 

一、移动AD数据库

 

       将 Ntds.dit 数据文件移动到指定的新目录中并更新注册表,使得在系统重新启动时,目录服务使用新的位置。系统为了安全起见,并不删除原来的数据库。具体操作如下:

 

 

1、为了以防万一,最好备份AD。

 

 

2、重启DC,按F8,选择目录恢复模式

 

 

3、用目录恢复模式下的管理员SAM帐号登录

 

 

4、开始/运行:ntdsutil

 

 

5、输入files,切换到文件提示符files>下

 

 

6、输入 move DB to c:\ folder

 

 

7、移动Ntds.dit成功提示。

 

 

8、输入quit二次,退出

 

 

9、重新正常启动DC

 

 

 

 

 

二、整理AD数据库

 

       将调用 Esentutl.exe 以压缩现有的AD库文件,并将压缩后的AD库文件写入到指定文件夹中。压缩完成之后,将保留原来的AD库文件,将新的压缩后的AD库文件保存到到该文件的原来位置。

 

 

另外顺便说明一下,ESENT也支持联机压缩,目录服务定期(默认12小时)调用联机压缩,但联机压缩只是重新安排数据文件内的页面,并不能象手动压缩这样:将空间释放回文件系统。

 

       整理AD数据库具体步骤如下:

 

 

1-5步,与前面相同。

 

 

6、输入compact to c:\folder

 

 

7、显示整理碎片,直至完成。

 

 

8、输入quit,退出。

 

 

9、对于2000需要:复制新的NTDS.DIT文件覆盖旧的NTDS.DIT文件

 

 

10、重新正常启动DC2-3-4组策略应用相关实例

 

 

 

 

关于组策略应用的实例,那真是三天三夜也说不完,因为总共有600+200多条策略。在此仅举几例,来说明问题。有的比较简单,有的稍微复杂一些,我们会展开来讨论一下。需要强调的是,作为管理员平时要多看看组策略中具体都有哪些设置,当然谁也不可能逐条去实践去测试,但要大概有个印象。当有某种需求时,你才会想起某条组策略设置来,根据印象找到那条策略,先看说明标签,再具体实践,逐步积累。

       前面我们讲过安全策略是组策略的子集(一部分),我们会首先讨论和安全策略相关的实例,然后才是其它的策略。

 

 

 

 

Q1、普通域用户无法在DC上登录?

 

 

       为了保护域控制器,默认能在DC上登录的用户只有:AdministratorsAccount operatorsBackup operatorsServer operatorsPrint operators这些特定的管理组。要想使普通域用户有权在DC上登录,可以将其加入到这些组中。

       但更多时候,我们不想让用户有过多的权利权限,也可以在开始/程序/管理工具/域控制器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加,指派其在DC上登录的权利即可。

 

 

Q2、在03域中添加用户时,总是提示我不符合密码策略,怎么办?

 

 

 

对于03,默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求,且密码最小长度为7。口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名。

我们可以设置复杂一些的密码,也可以重新设默认域的安全策略来解决。操作如下:

开始/程序/管理工具/域安全策略/帐户策略/密码策略:

¨       密码必须符合复杂性要求:由“已启用”改为“已禁用”;

¨       密码长度最小值:由“7个字符”改为“0个字符”。

欲策略设置马上生效,可利用gpupdate进行刷新。(具体见前)

       如果添加的是本地用户,解决办法与此相同,只不过修改的是本地安全策略。

 

 

Q3、在2000/03域中,前网管设置了一个开机登陆时的提示页面,已过时,现想取消,如何操作?

 

 

 

登录到本机时出现,则在管理工具/本地安全策略,或开始/运行:gpedit.msc中配置。若是登录到域时出现,则在管理工具/域的安全策略,或AD用户和计算机/属性/组策略中配置。具体会涉及到:安全设置/本地策略/安全选项下的这两条,

¨       交互式登录:用户试图登录时消息标题

¨       交互式登录:用户试图登录时消息文字

 

 

Q4、如何设置不让用户修改计算机的配置(如TCP/IP等)?

 

 

 

可以利用本地策略或基于域的组策略锁定,具体操作:

1  本地:开始/运行:gpedit.msc。或

2  域:开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略

3、在用户配置/管理模板/网络/网络及拨号连接:禁止访问LAN连接的属性。

说明:

1  若利用本地策略实现,本地管理员,可以重新设置策略解开。

2  若利用域策略实现,只是域用户受此限制。本地管理员,不受此限制。

所以应该不给用户本地管理员口令,让用户以非本地管理员/域用户身份登录。为了保证用户能安装软件或做其它管理工作,可将其加入本地的Power Users组。

 

 

Q5、非管理员用户无法登录到终端服务器?

 

 

 

       欲使用户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server,对于2000S需要在服务器上安装终端服务,对于03S只需在我的电脑/右键/属性/远程/远程桌面下,选中“允许用户远程连接到这台计算机”即可。对于管理员默认即可通过TS登录进来。

       非管理员用户通过终端服务无法登录,除了网络连接方面的问题以外,主要有以下五个方面的原因:

1、终端服务器同时是DC,而普通用户无权在DC上登录。

 

       解决办法:具体见前。

2、安全策略/本地策略/用户权利分配:通过终端服务允许登录。

 

       这是03特有的,2000没有这条安全策略。解决办法,

方法一、在我的电脑/右键/属性/远程/远程桌面下,选中“允许用户远程连接到这台计算机”选项后,单击“选择远程用户”/添加。用户将被自动加入到Remote Desktop Users组,而这个组默认有“通过终端服务允许登录”的权利。

方法二、手动将用户加入到Remote Desktop Users

方法三、手动直接指派用户“通过终端服务允许登录”的权利

注意:如果终端服务器同时是DC,必须使用方法三。原因是为了保护DCDC上的本地安全策略里,只允许Administratrs组有此权利,而将Remote Desktop Users组删掉了。

3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限。

 

       解决办法:手动将用户加入到Remote Desktop Users组,或确保用户在此权限下有来宾访问或用户访问的权限。

4、用户所用帐号口令为空。

 

       若终端服务器为03,用户使用此服务器上的本地帐号、且口令为空,通过TS登录。由于03本地安全策略/本地策略/安全选项/帐户:使用空白密码的本地帐户只允许进行控制台登录,默认启用,这将会阻止用户登录。解决办法:使用非空密码或禁用此策略。

       顺便提一下,这也是常见的通过网络访问XP/03上的共享资源,不通的原因之一。

5、所用帐号属性/终端服务配置文件/“允许登录到终端服务器”选项。

 

       这个选项,默认就是选中的,除非有人动过。解决办法:手动选中即可。

6、还有两种可能:
12000:未安装TS服务;03:未启用远程桌面
203:启用了ICF,但未设允许RDP进入

Q6、在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录。

 

 

       在安全策略/本地策略/用户权利分配下有两条策略:

¨       拒绝本地登录,默认为“未定义”。

¨       允许在本地登录,其默认值分别为:

u       本地计算机策略:AdministratorsBackup OperatorsPower UsersUsers

u       默认域的策略:未定义

u       默认域控制器的策略:AdministratorsAccount OperatorsBackup OperatorsServer OperatorsPrint OperatorsIUSR_dcname

       说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的优先级别高。也就是说二者冲突时,“拒绝”权利生效。

 

 

假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员,又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录,出错提示为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了。

这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。

问题还是有办法解决的,分别讨论如下:

 

一、被域策略和域控制器策略所阻止

 

       显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:

1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain Controllers)是个OU,前面我们讲过组策略的LSDOU原则,所以管理员可以登录到DC上,把策略改回去。

2、如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。

要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位于DCwinnt\sysvol\sysvol中,以GUID为文件夹名。”其中安全设置部分保存在DCwinnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实质就是一个文本文件,可利用记事本进行编辑。

说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID,分别是:

¨       默认域的策略的GUID31B2F340-016D-11D2-945F-00C04FB984F9

¨       默认域控制器的策略的GUID6AC1786C-016F-11D2-945F-00C04FB984F9

 

 

可以利用C盘的隐含共享C$,或winnt\sysvol\sysvol的共享sysvol连过去,直接编辑,具体操作如下:

1、在另一台联网的计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC

2、利用记事本打开GptTmpl.inf文件。

3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字,进行编辑即可。如:

¨       使SeDenyInteractiveLogonRight所等于的值为空。

¨       保证SeInteractiveLogonRight= *S-1-5-32-544,……

4、保存退出。

说明:

 

1、关于各SID所表示的意义,参见前面的表格。SID前面的*要保留,系统执行时才不会其后面的SID当作具体的用户/组的名字。

2、如果域中不止一台DC,为保证DC同步时刚才所做的修改最终生效(原理同授权恢复),需要:

1)打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPT.INI文件

2)找到文件中的[General]小节下的“Version”,手动将其值增大,通常是加10000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。

3)保存退出。

5、重新启动DC,域策略将被刷新。

说明:也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必重启DC了。但需要用到telnet,细节参考前面telnet命令和接下来的内容。

6、以域管理员身份在DC上正常登录到域,重新设置安全域策略中的相关项目。

 

 

二、被本地安全策略所阻止

 

       很多人都会想到利用MMC远程管理功能,重设目标机的安全策略。具体操作如下:

开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机,如果有权限的话,你会发现你能找到并管理其它的策略设置,但是就是没有安全策略等项目出现在列表中。

       这是由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同,它存放在一个二进制的安全数据库secedit.sdb

那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上,利用前面我们介绍过secedit命令导出安全设置到安全模板,即扩展名为.inf的文本文件中。利用记事本编辑后,再利用secedit命令将修改后的安全设置配置给计算机,这样也就大功告功了。但如果故障计算机上的telnet服务没有启动,那么我们应该首先把故障计算机上telnet服务启动起来,才能连过去。

说明:因为telnet服务的启动类型,默认为手动,所以正常情况下它是不会启动的。此时连过去的出错信息为:正在连接以xxx不能打开到主机的连接,在端口23:连接失败。

综上所述,具体解决办法如下:

1、在另一台联网的计算机(2000/XP/03均可)上,修改其管理员密码,使用户名和口令均与故障计算机上的相同。(这主要为了方便,若在连接或使用的时候输入目标计算机上的用户名和口令,也可以)

2、注销后,重新登录进来。

3、我的电脑/右键/管理,打开计算机管理。

4、在计算机管理上/右键/连接到另一台计算机:故障计算机IP

5、在服务下找到telnet,手动将它启动起来。

接下来使用telnet连接过来

6、开始/运行:cmd,键入telnet 目标IP

7、在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。

8、点击开始/运行:\\目标IP\C$,双击c:\sectmp.inf,用记事本打开。

9、编辑sectmp.inf文件,具体同前面情况一的步骤3

10、回到步骤7的命令窗口,键入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf将修改后的设置值,配置给计算机。

11、运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必故障计算机了。

12、以本地管理员身份在故障计算机上正常登录到域,重新设置安全域策略中的相关项目。

 

 

最后说明一下:对于XP/03不存在上述问题,微软已经修正了这个问题。用户不能阻止所有人或管理员登录,在图形界面下根本设不上;使用其它手段强行设上了也不起作用。因此大家可以想一想,针对上面第一种情况,实际上可以加一台XP/032000域,在XP/03上登录到域,将其解开。

本例的实际排错意义并不大,但建议大家最好还是能把这个实验做一下,因为它涉及到了很多知识点,如:基于域安全策略、本地安全策略的实施原理,组策略及其优先级,权利、SID,还有同名同口令帐户登录、telnetsecedit工具的使用等等。再有大家也可以做一下实验,既然我们能通过网络解开,同样也能通过网络设上。

Q7Win2000/03域中默认策略被误删,如何恢复?

 

 

       对于Win2000,微软在下载中心提供了Windows 2000默认策略还原工具的下载。微软开发这一工具旨在帮助用户在意外删除默认策略时,能够重新还原“默认缺省域的组策略”和“默认域控制器的组策略”文件。请到下列地址下载相应工具:

http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en

对于Win03,微软提醒用户不要将其应用于Windows Server 2003上。Win03自带的Dcgpofix.exe就可以完成还原任务。

需要强调的是:作为管理员应及时将组策略的设置进行备份。可利用2000/03自带的备份工具,把组策略作为系统状态的一部分进行备份。也可以利用GPMC工具专门备份组策略的设置。这样即使出问题了,重新恢复,也不用再把组策略重新设置了。

 

Q8、作为管理员,我通过组策略设置了一些限制,如“不要运行指定的windows应用程序”,但总有个别用户在网上能找到破解的办法,我该怎么办?

 

 

这段话使我想起了关于网络安全一条名言:没有绝对的安全。我个人也觉得在计算机网络世界里,永远是高手在蒙低手。若水平都很高,那么最终的安全又回到了物理安全设置上(术语叫:社会工程)。下面以“不要运行指定的windows应用程序”这条组策略设置的攻防转换,来阐明这个问题

 

 

第一回合:

 

 

 

       管理员:通过本地策略限制某用户运行某些用户程序,如QQ、反恐、realplay等。操作:开始/运行,键入gpedit.msc,用户配置/管理模板/系统/不要运行指定的windows应用程序,启用/显示/添加:上述应用的.exe文件名即可。

       用 户:用户如果知道管理员怎么设置的限制,同样的办法取消限制即可。

 

 

第二回合:

 

 

 

       管理员:mmc.exe也加入到上述禁止运行列表中,使用户无法打开任何MMC管理控制台。

       用 户:开始/运行:cmd,键入mmc,将会打开控制台下,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制。

       说明:用户在CMD方式下,直接键入gpedit.msc仍不能运行。此解法的知识点来自这条策略的说明标签。

 

 

第三回合:

 

 

 

       管理员:cmd.exe也禁止运行

       用 户:重新启动计算机,按F8,选择带命令行的安全模式。登录进来后,在CMD方式下,键入mmc,将会打开控制台下,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制。

 

 

第四回合:

 

 

 

       管理员:一看不行了,还是借助于基于域的组策略吧。将用户计算机加入到域,不给用户本地管理员的口令,要求用户使用一个域用户帐号(为不影响用户的其它正常应用,可将其加入到客户机的Power Uers组),并将此域用户帐号放到一个OU中,链接组策略,设置上述限制。

       用 户:手动删除注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun
下的被禁用的程序。

 

 

第五回合:

 

 

 

       管理员:因为默认情况下,若用户手动修改注册表中的组策略设置值,若策略未变,组策略不负责强制改回。管理员可利用组策略/计算机配置/管理模板/系统/组策略/注册表策略处理,设置成“即使尚未更改组策略对象也进行处理”,执行强制性的、周期性刷新策略。

       用 户:用户修改程序文件名,以避开策略的限制(尤其是对非MS的应用程序)。

 

 

第六回合:

 

 

       管理员:设置权限,让用户无权修改文件名。

 

          户:利用用凤凰启动盘重设本地管理员密码,以本地管理员登录进来后,不受上述限制,也可以干脆脱离域

 

 

第七回合:

 

 

 

管理员:BIOS中禁用光驱并设上BIOS密码,或物理断开光驱。

用 户:打开机箱,跳线清除BIOS密码,或物理连接上光驱。

 

 

……  ……

       通过本例大家也看到了,作为网络员应当不断学习,提高自身技术才行。在学习要充分利用Internet这个最广博的老师,最大的知识库。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2006年09月01日

在每天享受着LCD那与众不同的高档次显示效果的同时,不要忘记了保养这个极其重要的环节。LCD只有保养得好,才能够长期无故障地为用户服务。如果已经拥有了LCD或者平板显示器,这里的一些提示就对你十分有用了。应该明确的是,价格不菲的LCD,只要遵循一些简单的保养步骤,就可以忠心耿耿地长时间服务,在LCD中,唯一的一个逐渐消耗的零件就是显示器的背景照明灯。长期使用以后,会发现屏幕变得暗淡或者干脆就不亮了,在这两种情况下,只要更换背景照明灯就可以使LCD起死回生,变得和新的一样。
    1.避免屏幕内部烧坏
    记住,CRT显示器能够因为长期工作而烧坏,对于LCD也如此。所以一定要记住,如果在不用的时候,一定要关闭显示器,或者降低显示器的显示亮度,否则时间长了,就会导致内部烧坏或者老化。这种损坏一旦发生就是永久性的,无法挽回。所以一定要引起足够的重视。另外,如果长时间地连续显示一种固定的内容,就有可能导致某些LCD像素过热,进而造成内部烧坏。
    为了避免这种内部烧坏,在不使用的时候可采取下列措施:
    1)没事的时候请关掉显示器;
    2) 经常以不同的时间间隔改变屏幕上的显示内容(例如运行屏幕保护程序);
    3)将显示屏的亮度减小到比较暗的水平;
    4) 显示一种全白的屏幕内容。
    2.保持环境的湿度
    所有曾经因为将饮料洒到键盘上而造成键盘损坏的用户都知道这个常识。不要让任何具有湿气性质的东西进入LCD。发现有雾气,要用软布将其轻轻地擦去,然后才能打开电源。如果湿份已经进入LCD了,就必须将LCD放置到较温暖而干燥的地方,以便让其中的水分和有机化物蒸发掉。对含有湿度的LCD加电,能够导致液晶电极腐蚀,进而造成永久性损坏。
    3.正确清洁显示屏表面
    如果发现显示屏表面有污迹,可用沾有少许玻璃清洁剂的软布轻轻地将其擦去,不要将清洁剂直接洒到显示屏表面上。清洁剂进入LCD将导致屏幕短路。
    4.避免不必要的振动
    LCD屏幕十分脆弱,所以要避免强烈的冲击和振动。LCD差不多就是用户家中或者办公室中所有用品中最敏感的电气设备。LCD中含有很多玻璃的和灵敏的电气元件,掉落到地板上或者其他类似的强列打击会导致LCD屏幕以及CFL单元的损坏。还要注意不要对LCD显示表面施加压力。
    5.请勿拆卸
    有一个规则就是,永远也不要拆卸LCD。即使在关闭了很长时间以后,背景照明组件中的CFL换流器依旧可能带有大约1000V的高压,这种高压能够导致严重的人身伤害。所以永远也不要企图拆卸或者更改LCD显示屏,以免遭遇高压。未经许可的维修和变更会导致显示屏暂时甚至永久不能工作。所以在你手脚实在闲不住的时候,最好去摆弄割草机或者别的什么玩艺儿,就是别动娇贵而危险的LCD!

2006年08月29日

  /BASEVIDEO:使用标准VGA方式启动。这种方式主要用于显示驱动程序失效时。
  /BAUDRATE:指出用于调度的波特率,如果用户不设置,则使用默认的9600,而对于
线缆Modem则使用19200。
  /BOOTLOG:使Win2000将日志写入 %SystemRoot%\NTBTLOG.TXT 。
  /BURNMEMORY=   :使NT在已知的内存上少使用指定的数量,如果/burnmemory=64,则
有64M内存NT不使用。
  /CRASHDEBUG:调度器在NT启动时启动,只有在内核错误时才有用,如果系统经常会
无故出错,这个选项就很有用了。
  /DEBUG:在启动NT时调入调度器,它可以在任何时间激活,在错误可以再次出现时
使用它比较合适。
  /DEBUGPORT= comx :指定用于调度的端口,其它X就指端口号。
  /FASTDETECT:对于Win2000启动时,它使系统不检查串行口和并行口。
  /HAL=<hal>:允许用户不使用默认的HAL。
  /INTAFFINITY:设置多处理器HAL(HALMPS.DLL),使编号最大的处理器接收中断请
求。如果不设置此选项,Win2000会使所有处理器接收中断请求。
  /KERNEL=<kernel>:与上面的功能相同,不过是针对SMP中的内核而言的。
  /MAXMEM:n:指定NT可以使用的最大内存数,如果一个内存片损坏,这个开关就十分
有用了。
  /NODEBUG:不使用调试信息。
  /NOGUIBOOT:指定此选项会使Win2000不加载VGA驱动程序,也就不会显示启动过程
和失败时的兰屏信息。
  /NOSERIALMICE=[COMx | COMx,y,z…]:在特定的COM中上禁止对串行鼠标的检测。
如果用户有一个非鼠标设备接在COM口上,这个选项会十分有用。如果此开关未加参
数,系统会禁止所有COM口。
  /NUMPROC=n:只允许前N个系统处理器工作。
  /ONECPU:在多处理器中只使用一个处理器。
  /PCILOCK:不让NT为PCI设置分配IO/IRQ资源,而启用BIOS设置。
  /SAFEBOOT:安全启动,这个大家一定十分熟悉,Win2000只启动
HKLM\System\CurrentControlSetControl\SafeBoot中的驱动程序和服务,其后跟三个
参数MINIMAL,NETWORK或DSREPAIR之一。MINIMAL和NETWORK在允许网络下启动系统。而
DSREPAIR要求系统从备份设备中调入活动目录的设置。还有一个选项是
"(ALTERNATESHELL)",它让系统调入由
HKLM\System\CurrentControlSetSafeBoot\AlternateShell指定的SHELL程序,而不使
用默认的Explorer。
  /SOS:在调入驱动程序名时显示它的名字,在因驱动问题而无法启动时使用比较
好。
  /WIN95:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用
Win9x。启动文件BOOTSECT.W40。
  /WIN95DOS:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用
DOS启动文件BOOTSECT.DOS
  /YEAR=:使用指定的年份,如果设置为/YEAR=2005,那现在的时间就是2005年,此
选项仅对NT4+SP4和Win2000生效。

http://www.microsoft.com/china/windowsxp/comparison.asp

2006年08月28日

CSDN上有一篇关于杀毒软件性能测试的帖子。很有意思,贴过来大家试试。

这段由欧洲防病毒协会提供的代码绝对值得大家一试:看看你杀毒软件的能力吧!

测试方法:

1.鼠标右键点击桌面空白处,创建一个“文本文档”。(什么,还不会建?我倒)

2.将下面这段测试代码复制到“文本”里,保存,然后可以直接右键点击这个文本,用杀毒软件扫描,也可以等一会,如果你的杀毒软件还行,会自动报毒并将该文本删除,那就可以初步放心了。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

测试原理:

该段代码是欧洲计算机防病毒协会开发的一种病毒代码,其中的特征码已经包含在各种杀毒软件的病毒代码库里,所以可以用做测试病毒扫描引擎。

测试等级:

特等:复制完代码后便提示内存有病毒

优等:刚保存完就提示病毒(或者直接删除)

中等:保存后几秒提示病毒(或者直接删除)

下等:需自己启动病毒扫描查杀才提示病毒(或者直接删除)

劣等:无论怎么扫描都无法提示病毒(或者直接删除)

请大家测试完后在评论里说下自己用的什么杀毒软件以及排什么等级,那这篇文就好似中文杀毒软件评测文章了,也可以惠及更多的网友了。

打印机:Epson 6200l

系统:winxp sp2

一、现象描述:
Windows系统中,计算机发送打印命令或使用“EPSON Status Monitor 3”(状态监视器)的时候,系统会出现自动重启或显示器屏幕出现蓝屏的现象。

二、原因分析:
出现此问题的原因主要是由于一些“广告软件(Adware)”与打印机的 Status Monitor 3(状态监视器,用于检测打印机工作状态的工具)存在软件冲突。这些广告软件通常是用户上网时,在不知情的情况下,自动下载到计算机中,打印机在打印时,广告软件与打印机的状态监视器发生冲突,导致计算机自动重启或死机(蓝屏)。通常,这些广告软件并不能通过杀毒软件完全清除。

三、解决方法:
出现以上现象可以通过安装“状态监视器更新程序”解决:
1. 卸载计算机上已安装的打印机驱动:
操作步骤:单击“开始”—>“设置”—>“控制面板”—>“添加删除程序”,选择“EPSON 打印机软件”中的“更改/删除”,如图(1)

 1

图(1)“添加删除程序”窗口

在“卸载EPSON打印机工具”窗口,点击“打印机型号”标签,选中“EPL-6200L”打印机图标,确定后退出,如图(2)

2

图(2)卸载EPSON打印机工具

2、卸载流氓软件

其中几台用这样的办法解决了。

2006年08月24日

Active Routes:
Network Destination Netmask Gateway Interface Metric
0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.88 1
0.0.0.0 0.0.0.0 192.168.123.254 192.168.123.68 1
127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1
192.168.123.0 255.255.255.0 192.168.123.68 192.168.123.68 1
192.168.123.0 255.255.255.0 192.168.123.88 192.168.123.88 1
192.168.123.68 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.123.88 255.255.255.255 127.0.0.1 127.0.0.1 1
192.168.123.255 255.255.255.255 192.168.123.68 192.168.123.68 1
192.168.123.255 255.255.255.255 192.168.123.88 192.168.123.88 1
224.0.0.0 224.0.0.0 192.168.123.68 192.168.123.68 1
224.0.0.0 224.0.0.0 192.168.123.88 192.168.123.88 1
255.255.255.255 255.255.255.255 192.168.123.68 192.168.123.68 1
Default Gateway: 192.168.123.254
===========================================================================
当前的路由:

destination 
目的网段 
mask 
子网掩码

interface 
到达该目的地的本路由器的出口ip
gateway 
下一跳路由器入口的ip,路由器通过interfacegateway定义一调到下一个路由器的链路,通常情况下,interfacegateway是同一网段的

metric 
跳数,该条路由记录的质量,一般情况下,如果有多条到达相同目的地的路由记录,路由器会采用metric值小的那条路由 

第一条
缺省路由:意思就是说,当一个数据包的目的网段不在你的路由记录中,那么,你的路由器该把那个数据包发送到哪里!缺省路由的网关是由你的连接上的default gateway决定的
该路由记录的意思是:当我接收到一个数据包的目的网段不在我的路由记录中,我会将该数据包通过192.168.123.88这个接口发送到192.168.123.254这个地址,这个地址是下一个路由器的一个接口,这样这个数据包就可以交付给下一个路由器处理,与我无关。该路由记录的线路质量 1

第二条
缺省路由:
该路由记录的意思是:当我接收到一个数据包的目的网段不在我的路由记录中,我会将该数据包通过192.168.123.68这个接口发送到192.168.123.254这个地址,这个地址是下一个路由器的一个接口,这样这个数据包就可以交付给下一个路由器处理,与我无关。该路由记录的线路质量 1

第三条
本地环路:127.0.0.0这个网段内所有地址都指向自己机器,如果收到这样一个数据,应该发向哪里 该路由记录的线路质量 1

第四条
直联网段的路由记录:当路由器收到发往直联网段的数据包时该如何处理,这种情况,路由记录的interfacegateway是同一个。
当我接收到一个数据包的目的网段是192.168.123.0时,我会将该数据包通过192.168.123.68这个接口直接发送出去,因为这个端口直接连接着192.168.123.0这个网段,该路由记录的线路质量 1

第五条
直联网段的路由记录
当我接收到一个数据包的目的网段是192.168.123.0时,我会将该数据包通过192.168.123.88这个接口直接发送出去,因为这个端口直接连接着192.168.123.0这个网段,该路由记录的线路质量 1

第六条
本地主机路由:当路由器收到发送给自己的数据包时将如何处理
当我接收到一个数据包的目的网段是192.168.123.68时,我会将该数据包收下,因为这个数据包时发送给我自己的,该路由记录的线路质量 1

第七条
本地主机路由:当路由器收到发送给自己的数据包时将如何处理
当我接收到一个数据包的目的网段是192.168.123.88时,我会将该数据包收下,因为这个数据包时发送给我自己的,该路由记录的线路质量 1

第八条
本地广播路由:当路由器收到发送给直联网段的本地广播时如何处理
当我接收到广播数据包的目的网段是192.168.123.255时,我会将该数据从192.168.123.68接口以广播的形势发送出去,该路由记录的线路质量 1

第九条
本地广播路由:当路由器收到发送给直联网段的本地广播时如何处理
当我接收到广播数据包的目的网段是192.168.123.255时,我会将该数据从192.168.123.88接口以广播的形势发送出去,该路由记录的线路质量 1

第十条
组播路由:当路由器收到一个组播数据包时该如何处理
当我接收到组播数据包时,我会将该数据从192.168.123.68接口以组播的形势发送出去,该路由记录的线路质量 1

第十一条
组播路由:当路由器收到一个组播数据包时该如何处理
当我接收到组播数据包时,我会将该数据从192.168.123.88接口以组播的形势发送出去,该路由记录的线路质量 1

第十二条
广播路由:当路由器收到一个绝对广播时该如何处理
当我接收到绝对广播数据包时,将该数据包丢弃掉

连接的缺省网关:192.168.123.254

2006年08月18日

认识动态链接库DLL文件http://bbs.pcpro.com.cn/viewthread.php?tid=10040

DLL文件即动态链接库文件,是一种可执行文件,它允许程序共享执行特殊任务所必需的代码和其他资源。Windows提供的DLL文件中包含了允许基于Windows的程序在Windows环境下操作的许多函数和资源。 

DLL多数情况下是带有DLL扩展名的文件,但也可能是EXE或其他扩展名。它们向运行于Windows操作系统下的程序提供代码、数据或函数。程序可根据DLL文件中的指令打开、启用、查询、禁用和关闭驱动程序。 

DLL可在“C:Windows”目录“C:WindowsSystem”目录和程序的安装目录中找到。如果启动程序,但一个或多个DLL文件丢失或毁坏,则会收到出错消息,如“找不到xyz.dll”。如果启动的程序带有一个过期的DLL文件或不匹配的DLL文件,则会出现“未定义的动态链接调用”消息。这时,你可在其他电脑上找到正确的DLL文件并将它拷贝到适当的目录下,程序就能正确运行。

1、如何了解某应用程序使用哪些DLL文件

  右键单击该应用程序并选择快捷菜单中的“快速查看”命令,在随后出现的“快速查看”窗口的“引入表”一栏中你将看到其使用DLL文件的情况。

2、如何知道DLL文件被几个程序使用

  运行Regedit,进入HKEY_LOCAL_MACHINESoftwareMicrosrftWindowsCurrent-
VersionSharedDlls子键查看,其右边窗口中就显示了所有DLL文件及其相关数据,其中数据右边小括号内的数字就说明了被几个程序使用,(2)表示被两个程序使用,(0)则表示无程序使用,可以将其删除。

3、如何解决DLL文件丢失的情况

  有时在卸载文件时会提醒你删除某个DLL文件可能会影响其他应用程序的运行。所以当你卸载软件时,就有可能误删共享的DLL文件。一旦出现了丢失DLL文件的情况,如果你能确定其名称,可以在Sysbckup(系统备份文件夹)中找到该DLL文件,将其复制到System文件夹中。如果这样不行,在电脑启动时又总是出现“***dll文件丢失……”的提示框,你可以在“开始/运行”中运行Msconfig,进入系统配置实用程序对话框以后,单击选择“System.ini”标签,找出提示丢失的DLL文件,使其不被选中,这样开机时就不会出现错误提示了。 

 解决DLL文件错误

DLL实质上是包含了一些函数和数据的可执行模块,由微软公司提供。它可以被应用程序或其它DLL调用。在项目开发或编程中,它是一个前人劳动的经验集合:各个公司个人在项目开发或编程中都会积累下很多的经验、技巧和专业资料,利用动态链接库的技术,将这些成果经验汇集起来,使资源可以得到更广泛的应用;在个人用户的使用中,它又是包含数据及指令的模块,使各个相对独立的数据能被执行、链接调用。 

  虽然出现DLL文件错误的原因很多,但平常用家遇到的问题归结起来不外乎系统软件方面和硬件方面的问题。 

系统软件方面的解决招式 

  轻手:
用最新版本的杀毒软件查杀病毒。有相当部分的病毒会造成系统文件的丢失或损坏,所以首先要升级病毒库彻底查杀病毒。 

  中拳:
使用系统自带的修复或还原功堋T赪IN98、ME中,在“开始—运行”对话框中键入“sfc”并回车,启动“系统文件检查器”进行常规检查。若查出有错误,按照提示从系统盘中提取相关文件即可;在WindowsXP中,Windows文件保护功能可以保护一些系统文件,例如.sys、.dll、.ocx、.ttf、.fon和.exe文件。Windows文件保护在后台运行,可保护Windows安装程序安装的所有文件,而这些文件就保存在windowsxp的安装目录下的\system32\dllcache\下面。windows文件保护需要拷贝或还原文件时,把你的xp安装盘放入或者指定你在硬盘上备份的路径即可。如果是在整理完注册表后出现,则需要恢复注册表。 

  重刀:
自己动手,丰衣足食。有少部分DLL文件出错是要靠手动解决或升级系统文件解决的。 

  例1:整理系统后,运行realplayer,报告说找不到所需的DLL文件Pncrt.dll,无法启动。 

  解决办法:上网下载新版本realplayer并升级。重新打开realplayer,仍然弹出对话框,说找不到所需的DLL文件Pncrt.dll无法启动。奇怪了,是不是这个DLL文件是系统文件?运行SFC命令,报告无系统文件损坏或丢失,那么肯定这个文件是软件自带的了。于是上网查找资料,说要将注册表中的相关键值删除,重新安装,按此操作进行,也无法解决问题。于是查找Pncrt.dll文件,发现C:\WINDOWS\VCM下有此文件,于是将其复制到realplayer的关联文件夹C:\ProgramFiles\CommonFiles\Real\Common中,运行realplayer,仍报告出错。查看该文件的属性,发现有“版本”这一项,版本的值为6.0.0.0。于是想到可能是该文件存在,但版本的关联不对,导致出错,于是在存在Pncrt.dll的情况下重新安装新版本的realplayer,运行一切正常,问题解决。 

  例2:WIN98中设置显示属性时出现RUNDLL32故障。 

  解决办法:在“开始—运行”中,输入msconfig,然后在System.ini这一页,打开boot文件夹,按“新增”,新增一行叙述: 

  drivers=mmsystem.dll 

  设定好后,储存你的设定,重新开机即可。 

  例3:在WIN98第二版中使用IBM语音识别系统4.0版后,再使用IE出现“KERNEL32.dll和OLEAUT32.DLL还有MFC42.DLL发现不明问题,无法使用”。 

  解决办法:到c:\windows\system中找到这三个文件并把它们复制下来,复制到IBM语音识别系统的x:\ViaVoice中的bin文件夹;这样我们就可以恢复IE、OE、记事本这些软件所需的DLL文件了。 

硬件方面的解决招式 

  轻脚:
检查是否有超频。不仅是CPU,包括PCI、显卡、内存的频率都应该检查,特别是在BIOS中的设置;在正常频率和电压下使用有利于硬件设备的稳定性。 

  中腿:
检查硬件的驱动版本是否相称,以及硬件间是否有冲突,并安装相应的补丁;比如创新SBLive与CoppermineCPU存在兼容性问题,会引起DLL文件出错甚至蓝屏。 

  重踢:
将机箱打开,清洁插件并重新拔插配件。这样做的好处是解决一些由于电气性不稳定而引起的古怪的问题。 

  必杀技:
1、覆盖安装或还原系统;
2、格式化系统盘重新安装系统。 

关于系统文件(dll)丢失、错误的解决方法

◆症状1:
机器正常。使用Win98,一安装就弹出窗口提示:“未处理的异常情况”错误代码:0×80070725,说明:RPC占位程序的版本不兼容。安装程序将立即结束。”杀过毒,注册表清理。怎么解决?

◆说明: 
RPC(远程调用程序),用于通过网络将应用程序函数调用转发到远程系统。最典型的用途就是远程管理。一旦出现系统警告“RPC占位程序不兼容”时,首先可能的就是系统中有关的网络组件程序发生问题。 

发生这个问题大多在Win98/NT操作系统上。因为在Win2000/XP操作系统中,都使用了IPV6支持PRC技术,普遍支持目前Windows程序,所以一般在2000后的系统中很少有这个问题出现。 

98个人用户频繁出现这问题的常见原因:

1.用户安装新程序里的网络功茉赪in98下不兼容。比如金山毒霸2002/2003,里面有新的网络防火墙功能,而这个功能实现的前提条件是系统必须要有更好的系统网络组件。一旦系统中的有关文件较老,而安装程序却未提供有关更新时,就会出现这个问题。 

2.这个情况更多发生网络游戏安装中。为了加快游戏的速度,许多网络游戏设计时大量采用了32位以上的RPC支持功能,而在许多98用户中却并有这样的系统文件,这样就会经常在安装、运行的时候出现该问题。 

◆建议: 
1.打补丁(http://download.microsoft.com/downl…us/mcrepair.exe)。 
2.网络游戏安装中出现该问题也可将DirectX版本升级到8.0以上。如果升级DirectX8后仍出现这个问题,原因还来自于系统中的网络配置。打开网络邻居,加装有关的IPX、TCP/IP协议,可以解决问题。 

◆症状2:
在上网过程中,IE突然关闭,再次打开出现错误显示wsock32.dll 动态链接库错误,必须重启电脑,IE才能正常,请问原因和解决办法。

◆建议: 
如果就是偶尔一次,重启解决问题就可以了。 
如果经常出现wsock32.dll动态链接库错误,就要需要查毒,可能中毒了(如下说明) 
Hybris蠕虫病毒,该病毒通过电子邮件的附件进行传播,一旦收件人打开附件,就会被感染。它在WindowsSystem目录下产生一个wsock32.dll的副本,副本的主文件名是随机产生的8个字母,没有文件扩展名。还会修改Windows目录下的winint.ini文件,使下次Windows开机时原wsock32.dll文件被覆盖。 
如果执行了Hybris病毒,病毒将修改Windows的系统文件wsock32.dll,并且将附有该病毒的电子邮件发送出去。无论使用哪一种电子邮件软件,都可能感染该病毒。 

◆症状3:
运行“系统信息”提示找不到mfc42u.dll。经查确认无毒。 

◆建议: 
下载该文件:http://www.microsoft.com 

◆症状4:
IE6.0地址栏里ctrl+enter的自动填写功能出现www.*.com.cn,而不是www.*.com.。 

◆说明: 
IE6的browselc.dll文件中字符串的BUG。 
browselc.dll位于: 
Win9x:WindowsSystem 
Win2000:WINNTSystem32 
WinXP:WindowsSystem32 

◆建议: 
一、下载browselc.dll:http://download.pchome.net/system/patch/9524.html

二、手动修改:找到browselc.dll文件,复制原文件,然后用eXeScope(或其他能修改exe文件的软件)打开复制的文件(不能直接对原文件进行修改),修改处位于resource>string,把809字符串中的co.cn 修改成com,保存退出。 
替换:修改完的browselc.dll文件需要在DOS下(如果装了双系统可在另一个系统中)替换原文件。(因为这个文件是受到系统保护的,并且当前正被系统使用。替换时请注意备份原文件。) 

◆症状5:
IE中无法在新窗口中打开衔接。

◆建议: 
1.开始→运行,输入regsvr32 actxprxy.dll,点击确定,接着会出现一个信息对话框“DllRegisterServer in actxprxy.dll succeeded”,该对话框中点确定; 

2.开始→运行,输入regsvr32 shdocvw.dll,点击确定,接着会出现一个信息对话框“DllRegisterServer in shdocvw.dll succeeded”,该对话框中点确定; 

3.重新启动电脑。 

◆症状6:
一开机自动运行Rundll32.exe程序,进入msconfig把它从启动栏选项去掉,下次开机还是照样自动运行。

◆说明: 
rundll的功能是以命令列的方式呼叫Windows的动态链结库。 
Rundll32.exe与Rundll.exe的区别就在于前者是呼叫32位的链结库,后者是用于16位的链结库。rundll32.exe是专门用来调用dll文件的程序。 
如果用的是Win98,rundll32.exe一般存在于Windows目录下; 
如果用的WinXP,rundll32.exe一般存在于WindowsSystem32目录下。 
若是在其它目录,就可能是一个木马程序,它会伪装成rundll32.exe。 

◆建议: 
一般由3721引起,卸载3721可以解决问题。 
(在启动项中表现为“ Rundll32.exe C:WINDOWSDownloaded Program FilesCNSMIN.DLL,Rundll32 ”) 

◆症状7:
一使用IE就会跳出对话框“Explorer发生错误(KERNEL32.DLL)”,重新启动后问题依旧。 

◆建议: 
用“记事本”创建或者直接修改系统配置文件C:Config.sys,在其中加入如下3行语句: 

FILES=65 
BUFFERS=40 
STACKS=64,512 

如果错误仍然存在,可使用“记事本”打开系统文件夹(Windows)下的system.ini文件,然后在[386Enh]节上加入如下两行语句: 
Increases default stack pages from 2 to 6 
MinSPs=6 
(MinSPs默认值是2,如需要,每次增加2直到解决问题为止,而第一句前面的“;”主要起注释作用。) 
修改好后保存退出,重启使之生效。 

◆症状8:
开机时弹出对话框,提示“缺少动态库链接文件msnp32.dll,network,无法正常运行”,按确定后,进入系统一切正常。在别人的机器上无法找到这个文件,重新覆盖装系统也没有用。 

◆说明: 
msnp32.dll是Microsoft网络功能的重要组件,安装了网卡(包括拨号适配器)和Microsoft网络客户端,该文件位于System目录下。系统找不到该文件,可能被误删。 

◆建议: 
在网络属性中删除掉所有的协议和适配器,然后重新添加适配器、TCP/IP协议和Microsoft网络客户,Windows将重新复制网络功能需要的文件。 

◆症状9:
系统提示:“找不到所需的.DLL文件——MSVBVM60.DLL” 

◆说明: 
此文件为VB运行库文件,许多程序的安装和运行都需要该文件。 

◆建议: 
1.下载此文件后复制到系统的system文件夹下。(http://download.pchome.net/development/vb/807.html,压缩包中包括MSVBVM60.DLL和VB6CHS.DLL) 

2.开始→运行,输入regsvr32 C:WindowsSystemMSVBVM60.DLL,确定(此操作目的是注册此动态链接库文件)。 

注意:此文件为系统文件,需在“查看”→“文件夹选项”→“文件”选项中选中“显示所有文件”后才能看到此文件。 

◆症状10:
笔记本电脑,最近开机显示:启动程序时出错“找不到所需的.DLL文件——DMIAPI32.DLL”,如何解决? 

◆说明: 
DMIAPI32.DLL是(DMI)桌面管理界面服务所需的文件,对笔记本尤为重要。基于DMI标准的管理实用程序可很容易实现远程监控和管理,如系统BIOS和常驻软件驱动程序的检查和管理。 DMI标准是实现笔记本易管理性的唯一捷径。

◆建议: 
1.在DMIAPI32.DLL的同一目录下还有一文件名是Win32sl.exe的文件,检查注册表的启动项里有没有设置此文件随系统启动。没有的话,加进去。 
2.同时可能是此dll文件已坏,建议联系笔记本的经销商,可得到此文件的原始拷贝。 

修改DLL文件的具体应用

在系统的组策略和注册表中,我们可以修改一些键值来优化我们的系统,并加强操作系统的安全性。可是,对于限制下载、禁止删除文件等功能,我们无法通过上述的操作来完成,这只有通过修改系统DLL文件来实现。

目前,我们通过修改系统的DLL文件,可以实现禁止删除文件、禁止IE下载、禁止IE另存为、禁止文件打开方式等功能。

系统中部分DLL文件的功能

1、Browselc.dll   IE所需要调用的库文件DLL 结构雏形就是它了 

2、Shdoclc.dll   系统窗口及设置等,如删除文件、重命名

3、Shell32.dll   系统窗口及设置等,如删除文件、重命名

4、Cryptui.dll   IE控件下载及提示对话框程序

修改DLL文件的方法

1、下载DLL文件修改工具EXESCOPE6.3 - 6.4工具

2、获取Browselc.dll、Shdoclc.dll、Shell32.dll和Cryptui.dll这几个链接文件。在找这几个文件时,最好将其他机器的硬盘,挂接在本机中,然后用本机的操作系统启动并复制这几个文件。

3、在修改DLL文件的时候,打开该键值,在右面的对话框中将所要修改的键值禁用即可,不要删除,以备日后恢复(如图)

DLL文件修改秘籍

1、禁止下载的修改方法:

打开 Shdoclc.dll 修改资源–对话框—4416,将4416键值禁用即可。

2、禁止网页添加到收藏夹,打开Shdoclc.dll 修改资源–对话框—21400,将该键值禁用即可。

3、禁止恶意网页加载控件,修改Cryptui.dll文件,要同时修改5个地方才能完全禁止

资源–对话框—130 
资源–对话框—230 
资源–对话框—4101 
资源–对话框—4104 
资源–对话框—4107 

将以各对话框中的相应键值,修改成为禁用就可以了。

4、禁止系统删除文件修改Shell32.dll,这个文件需要修改5个地方才可以禁止系统删除文件。

资源–对话框—1011 
资源–对话框—1012 
资源–对话框—1013 
资源–对话框—1021 
资源–对话框—1022 

将以上五个地址的键值禁用就可以了!

5、禁止文件被改名,修改shell32.dll,有2个地方需要修改

资源–对话框—1018 
资源–对话框—1019 

将以上两处的相应键值,修改为禁用就可以了!

6、禁止运行菜单,修改shell32.dll,将资源–对话框—1018键值设置为禁用。

7、禁止系统文件被挪动修改shell32.dll,需要修改4个地方

资源–对话框—1014 
资源–对话框—1015 
资源–对话框—1016 
资源–对话框—1017 

8、禁止目标另存为,修改 Shdoclc.dll 文件,需要修改3个地方

资源–菜单–258—257  
资源–菜单–258—252 
资源–菜单–24641–2268 

在这个修改中,我们要把各对应的键值删除。打开该键值后,右键菜单中有删除。在资源–菜单–24641—2268中,有多项该键值,请逐一删除。

9、禁止自定义文件夹选项修改Shell32.dll 文件,需要修改以下4个地方

资源–菜单–215—28719 
资源–菜单–216—28719 
资源–菜单–217—28719 
资源–菜单–216—28719 

找到以上四处键值,直接需要删除后即可,而不是禁用。

10、禁止IE文件夹选项,修改 Browselc.dll 文件,需要修改3个键值

资源–菜单–263 (这里有多个请删除)—41251(删除) 
资源–菜单–266( 也有多个请删除)—41329 (删除) 
资源–菜单–268—41251 (删除) 

在上面的3个键值中,个别键值有多处,请逐一删除。

11、禁止98 文件共享控件,修改 Msshrui.dll,需要修改2个地方

资源— 对话框—- 1 — AutoRadioButton 
资源— 对话框—- 30 — AutoRadioButton 

将以上两处的键值禁用即可。其他的选项,可以根据自己的需要进行修改。找到相应的功能键值,将不需要的功能,禁用就可以了。

12、禁止文件的打开方式,修改 Url.dll,需要修改2个地方 

资源— 对话框— 7000 
资源— 对话框— 7005 

将以上两处的键值禁用即可。

13、禁止更改系统桌面,修改 Shdoc401.dll,有2处地方需要修改

资源— 对话框— 29952— PushButton:浏览 
资源— 对话框— 29952— PushButton:图案 

将以上两处的键值禁用即可。

14、禁止系统文件夹自定义,修改 Shd401lc.dll,有2处地方需要修改 

资源— 对话框— 29957 
资源— 对话框— 29958 

将以上两处的键值禁用即可。

15、禁止文件保存路径及打开,修改 Comdlg32.dll,有2处地方需要修改

资源— 对话框— 1547 
资源— 对话框— 1548 

将以上两处的键值禁用即可。

注意事项

1、本文以Windows XP/2000操作系统的DLL文件修改为例,并不一定适用于Windows 98操作系统,请在修改DLL文件时注意。

2、在禁止下载的操作中,除修改禁止下载的链接文件Shdoclc.dll外,还要修改禁止文件另存为的链接文件Shdoclc.dll。如果修改一个链接文件无法实现相应的功能,请查看其他链接文件中是否存在需要修改的键值。

3、修改后的DLL链接文件,需要在DOS模式下导入并重新启动机器才有效。

4、本文章只介绍了我们日常操作中经常用到的DLL修改选项,其他选项请参看DLL文件中的具体选项进行修改。

5、在修改DLL文件前,请先备份系统原有的DLL文件,以备修改失败恢复。

dll文件下载
http://www.dll-files.com/dllindex/index.shtml