2006年09月05日

PS:今天突然看到这篇BLOG,感觉挺不错的,就转过来了,感觉说的挺好。

1,吵架不当着父母,亲戚,邻居的面吵,在公共场所给对方面子。
2,不管谁对谁错,只要一吵架,男方必须先轻声轻气哄女方一次,女方才能马上冷静下来,否则女方一看到男方哇啦哇啦,女方也忍不住哇啦哇啦,一旦造成严重后果,全部由男方负责。
3,在家里吵架不准一走了之,实在要走不得走出小区,不许不带手机和关机。
 
4,尊敬对方的父母长辈,吵架不开心不能对父母无礼。
 
5,有错一方要主动道歉,无错一方在有错方道歉并补偿后要尽快原谅对方。
6,双方都有错时要互相检讨,认识到错误并道歉后由男方主动提出带女方出去散心。
7,要出气不准砸东西,只能吃东西,实在手痒只能砸枕头。
8,吵架尽量不隔夜,晚上困觉觉时男方必须主动抱女方,女方生气百般推让男方 也不能就此放弃,一定要哄到女方睡着,做上美梦。。。
 
9,每周都要给对方按摩一次,因为大家经常吵架都很辛苦,男方手艺不好的话可以跟盲人师傅学,严禁和发廊女学!
10,吵架时男方不准挂电话,如果挂了要马上打回去,并表示歉意,吵架时女方如果挂了电话,男方必须在1分钟内打给女方,电话不通打手机,总之不能气绥,屡挂屡打,但是女方也要给男方面子,每次挂电话次数不大于5次。

(公约条款暂时为以上这几条,可由女方无理由无时间限制的更改,男方有权利 提出异议,但是异议是否被采纳最终解释权在女方手里)

http://wangleilly.spaces.live.com/PersonalSpace.aspx?_c02_owner=1链接地址

 

 
[%=@title%] [%=@count%]票 [[%=@percent%]%]
提交
1.不说话的时候。
沉默但目光专注地看你说话的男人,一定内心丰富,这一刻的男人,因为他身上似乎有一种至命的磁场,让你觉得他酷极了。

2.含着半口饮料微笑。
为了回应你,他哪怕嘴里含着咖啡或者美酒,也不急着咽下,先反馈给你一个积极友好的笑容,这样的绅士举止,当然会让你心头顿生暖意

与好感。

3.果决而内疚地摁灭烟火头。
只是因为你的出现,正在抽烟的他,立即用这一动作欢迎你,无声,但那动作非常男性化,这比为你脱外套拉椅子,更贴心也更有说服力。

4.“我干, 你随意”。
酒桌上说这话的男人,豪爽,但不乏柔情,非常善解人意,仿佛可以为你赴汤蹈火,但背影一点也不冰冷。

5.“不要在风口接电话”。
他在街头用手机给远方的女友打电话时说了这么一句话,风吹着他的脸,他眯着的眼,很迷人吧!

6.一下子强有力地把你拽到怀里。
一切不容置疑,男人的霸气通过一种温暖的手段淋淳尽臻地表现出来,你绝对拒绝不了。

7.镜子前拉一下领带。
这时的男人很认真,而且有种片刻的孩子气,这很会激发温存欲望。

8.下楼时吹了口哨。
那是一小节美妙但已成他记忆一部分的旋律,女性喜欢考究男人的唇齿,而那一刻,他会满足你的。

9.无辜地耸耸肩膀。
喜欢看男人这时的身体语言,每一个细节都令你怜惜疼爱。

10.嚼口香糖的男人,有些玩世不恭,特别是NBA的球星,总是忙里偷闲地嚼着口香糖,一种无所谓的感觉,带点男人的“痞”。

11.在海滩上躺着晒太阳的男人。
古胴色皮肤,迷离的双眼,你是不是有种“活埋”他的冲动?

12.突然把车开到你身边,摇下车窗对你笑,这是许多浪漫故事的开头。

13.在寒风中不停跳着等人,双手插在口袋里,领子高高竖起。这一刻,你是否希望你就是他要等的人。

14.弯腰轻抚一只摇尾巴的狗。
有爱心的男人,看起来特别舒服。

15.掏钱买单的男人,并且说:“不用找了!”

16.双手从背后变出一朵玫瑰的时候,你一定会认为他是最好的魔术师。也许他改变不了风向,但可以改变你的心情。

17.他顽皮地跑,因为他手里拿着你吃剩的蛋糕,他总喜欢分享你的剩菜。

18.他做俯卧撑的时候,脸上都是性感的汗珠。很有男人味。

19.抱着篮球向你走来。
活力龙,总会给你带去兴奋。

20.就职演说前的停顿,目光扫视全场。
大气的男人,很有慑服力。

21.坏坏地注视着你,光明正大地暖昧。
这种目光恭维,是种深刻的激光式的抚摸。

22.灿

2006年09月02日

关于域用户的开设在前面的文章中(如何把一台成员服务器提升为域控制器(一)(二))已经涉及过了,所以在这里开设用户的方法就不再重复了,本篇文章主要向大家介绍一下用户配置文件。

  首先,什么是用户配置文件?根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢?那么用户配置文件包括哪些内容呢?来给大家看一副截图:

  用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域(demo.com)里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况:

  本地帐号先登陆:那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo

  域帐号先登陆:那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。

  通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。  

 

  目前很多公司的IT Pro都有共同的感叹,就是用户喜欢把自己的桌面什么的搞得乱七八糟,虽然通过组策略可以限制掉一部份,但总觉得不是很完善,在这里,向大家推荐使用强制用户配置文件,用户可以对自己个人配置文件任意修改,但是一旦注销后,这些修改将不会被保存,这样用户下次登陆里,用户的配置文件还是保持和原来一样,那么如何实现这个功能呢?其实只要将用户配置文件夹下的“Ntuser.dat”改成“Ntuser.man”就可以了,来看一下修改过程:

  首先,在显示隐藏文件和已知文件的扩展名,可以在“工具-文件夹选项-查看”里进行修改:

  ~

  点“确定”后,就可以在看到那个“Ntuser.dat”文件了,但此时会有一个问题,如果去修改C:\Documents and Settings\swg下的“Ntuser.dat”,会发现根本没有办法修改这个文件,因为文件在使用中,无法修改;如果去修改网络公共位置的“Ntuser.dat”,也就是\\192.168.5.1\share\swg下的“Ntuser.dat”,修改当然可以修改,但是由于在“swg”用户注销的时候,本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉,也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者,然后给管理员帐号添加权限,这样就可以直接在服务器上把“Ntuser.dat”改掉,但本人实践过几次,都发现这样的操作会引起一些权限无法继承,而导致出错的情况,所以不建议大家使用,这里推荐一种方法:

  先把“swg”帐号注销掉,然后用另外一个帐号登陆,比如管理员,当然,如果在登陆成功后直接去访问\\192.168..5.1\share\swg以试图修改的话,那么你将会感到失望,因为还是拒绝访问的,那么如何访问并修改呢,可以这样操作,“开始-运行-cmd”然后回车,这样就启动了命令行,在命令行下输入:net use \\192.168.5.1 password /user:swg,显示“命令成功完成”,这样就利用“swg”和服务器建立一个连接,此时就可以

  然后再注销管理员帐号,用“swg”登陆,看看有没有成功:

  看到了吧,类型由“漫游”变成了“强制”,现在可以在桌面这些地方进行任意的修改,你会发现注销再登陆,又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。

  最后再请大家注意两个问题:

  1、 在配置强制用户配置文件时,当用其它用户登陆修改时,请保证被修改的用户处于注销状态,为什么?大家不妨自己想一想!

  2、 当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。

\\192.168.5.1\share\swg,里进行修改了,

 

  当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:

  请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功能呢?现在就来实践一下:

  首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限:

  然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”帐号为例:

 

  在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输入:\\192.168.5.1\share\%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:

  然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。

  如上图所示,DEMO\swg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?

  如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开:

  画面很熟悉吧?

自从我写了前六篇文章之后,陆续收到一些朋友的来信,不过大家好像问的都是一些和文章本身内容关系不大的问题,凡事只要我知道的,我都在E-Mail里给大家做了解答,只要限于本人的水平有限,所以有回答不对的地方请大家多多谅解!如果你有正确的方法或者比我的方法更好的话,也非常欢迎给我来信,在此本人先表示感谢!在这里本人挑选两个比较典型的问题专门再写两篇文章,在这里我先写一篇活动目录之迁移,那么现在开始切入正题。

  说到活动目录迁移就要用到迁移工具,但Windows本身却并没有自带个工具,我建议大家到微软的官方网站上去下载,因为可以下到最新版,安装盘里那个版本太低了。这个工具的全称叫Active Directory Migration Tool,我们以下简称ADMT,最新版本是3.0,这个新版本较上次的版本我想表扬一下微软,总算有中文版了,虽然这个工具的使用还是比较简单的,所以上面的英文也不是很难,但有中文版了也算是微软的用心之处嘛,不过表扬完了,顺便再批判一下,你说你一个迁移工具,怎么会和SQL勾搭上了呢?真不知道微软又想干什么?是技术需要吗?我没什么感觉。是商业需要吗?问比尔。反正我不管了,只要好用就行了。

  我先来介绍一下实验的环境:

  目标域:

  域名:demo.com

  域控制器:server

  操作系统:Windows Server 2003

  IP:192.168.5.1

  子网掩码:255.255.255.0

  DNS:192.168.5.1

  源域:

  域名:ms.com

  域控制器:win200ser(本来是打算用win2000ser的,一时大意,少打了一个“0”,将错就错了,反正也没有什么关系)

  操作系统:Windows 2000 Advanced Server

  IP:192.168.5.10

  子网掩码:255.255.255.0

  DNS:192.168.5.10

  实验目的:要把ms.com上的一个叫“Tom”的用户和一台名叫“Test2000”的计算机帐号迁移到Demo.com。  

 

  说到这儿呢,我顺便还想再和大家提一下转发器的问题,有些朋友喜欢使用转发器来解决上面的问题,从理论上来讲,好像也没有什么讲不通的地方,但是用转发器的时候,很多人都会在上面出现一个严重的错误操作,以我的实验环境为例,这个错误操作就是在demo.com的DNS上设置转发器,转发到ms.com上面的DNS服务器;然后再到ms.com的DNS服务器上设置转发器,转发到demo.com上的DNS服务器。当然我知道大家这么设置的理由是什么,就是当demo.com上的机器需要访问ms.com上的资源的时候,而本地的DNS服务器无法解析,这时可以根据DNS服务器上设置的转发器,转到ms.com上的DNS服务器来进行解析,从而获得正确的IP地址;同理,当ms.com上的机器要访问demo.com上的资源时,也可以利用本地的DNS服务器上的转发器转到demo.com上的DNS服务器上来。以此来解决两个域之间的DNS解析问题。从表面上看,好像还是挺有道理的。但实际上你会为这样的操作付出代价的,什么原因?来分析一下,当一个客户端发出一个请求,是两台DNS服务器上有的纪录,那么是不会有什么问题的,因为当服务器本身能解析请求时,转发器是不起作用的。但是,当下面的客户机发出一个错误的请求,比如输错了一个字母,也就是说发出的请求在两台DNS服务器上都没有纪录的时候,那么这时就会根据转上器上的地址来进行转发,而你又是在两台DNS服务器上设置相互转发,那么这条请求就会从这台服务器到那台服务器,再从那中服务器到这台服务器•••••……,并且周而复始,这样就会进入一个死循环,会大大的加重你的服务器的负担,甚至引起死机的可能性也不是没有。所以DNS服务器之间是不能设置相互转发的,这一点请大家切记切记!

  OK,那我们继续,建立完DNS辅助区域以后,再始建立域的信任关系。

  先到目标域上,也就是demo.com上,点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:

  在域名“demo.com”上击“右键”:

  选“属性”:

  点击“信任”:

  点击上面的“新建信任”:

  点“下一步”:

  输入对方域的DNS名称,这里是“ms.com”,再点“下一步”:

  可以选择信任方向,这里我们选“双向”:

  点“下一步”:

  再点“下一步”:

  这里要输入的是信任密码,不要以为是让你输入管理员密码哟,这可是两回事,设置好以后点“下一点”:

  确认一下,要是没有问题就点“下一步”:

  点“下一步”:

  选“否”,点击“下一步”:

  还是选“否”,以上两步请确认另一方被创建后选“是”,由于这里对方域还没有被创建所以这里选“否”,点击“下一步”:

  最后点击完成。

 

  接下来就到源域上面也去进行同样的设置。不过Windows 2000域创建信任关系要比Windows 2003域来得简单,这里我就不写了。

  信任关系被创建后,接下来就是相互把对方域的管理员帐号添加到本域的Bulitin容器下的Administrators组。这个操作就不说了。

  前期的准备工作就到此为止了,开始进行正式的迁移操作了:

  首先当然是安装迁移工具,这里我安装的是ADMT3.0,安装过程很简单,只要狂点下一步就可以完成了。但要注意的是,ADMT工具一定要装在目标域上。安装完成后,我们可以点击“开始-设置-控制面板-管理工具-Active Directory迁移工具”:

  乍一看,就会吓一跳,什么都没有,怎么迁移?别急,在“Active Directory迁移工具”上击“右键”:

  都看到了吧,功能众多吧?这里本人仅仅向大家演示一上用户迁移和计算机迁移,所以我先点击“用户帐号迁移向导”:

  点“下一步”:

  这里要正确的填写“源域”和“目标域”,千万别倒过来哟。然后再点“下一步”:

  在这里选择“从域中选择用户”:

  点击“添加”:

  找到我们要迁移的用户,这里是“tom”,然后点“确定”:

  点击“下一步”:

  这里要选择的是目标OU,也是把用户迁移到哪,如果你不知道上图中所示的这种书写形式的话,可以点击“浏览”进行选择OU,选择完成后,系统会自动转换。再点“下一步”:

 

  这里需要提醒一下大家,要选择“生成复杂密码”,暂时还不能选择“迁移密码”,而且大家还要注意密码文件的存储位置,以迁移完成后去寻找那个密码。如果选择了“迁移密码”,那么会出现下面的出错提示:

  要迁移密码呢,在ADMT的帮助信息里有详细的介绍,这里我就不重复了。我们还是暂时不迁移密码,点“下一步”:

  这里可以设置被迁移帐号迁移成功后,是禁用还是启用,几天后过期等信息,我这里选择和源相同,注意的是建议大家把“将用户SID迁移至目标域”前的勾打上。这样就可以把源帐号的SID复制到与新帐号相关联的历史标记中,同时还会触发SID审核,可能会引起源域的域控制器的重启,这时请等待重启完成:

  输入源域的管理员帐号和密码,点“下一步”:

  如果用到了“漫游用户配置文件”的话,可以选上第一项,其它的可以保持默认,然后点击“下一步”:

  这里可以把一些用户属性进行排除,被排除的将不会进行迁移,建议大家还是保存默认的好。除非有些属性到了目标域后会引起问题。点“下一步”:

  大家可以根据自己的需要进行对上图的选择,就是当目标域中存在同名帐号之类的冲突现象时,所采取的动作,是迁移还是不迁移,或者怎么迁移的情况。选定后,请点击“下一步”:

  请大家确认上面的信息,如果没有问题,点击“完成”:

  上面是一个进度表和一个简单的日志记录,上图表示迁移成功!然后再到目标域的“Active Directory用户和计算机”里去看一下有没有“tom”这个用户:

  看到了吧,已经成功迁移过来了。

  再来看一个如何迁移计算机帐号的,上面我们选择的是“用户帐号迁移向导”,现在我们要选择的是“计算机迁移向导”:

  点“下一步”,下面的图和上例中差不多,我就只截出和上面不一样的图:

  第六步:

  这里我全部选上了:

  这里我选择的是“添加”:

  迁移成功后,计算机多少时间后重启在上图中指定,剩下的和上面的迁移用户基本一至,完成后可以到目标域的“Active Directory用户和计算机”里去看一下有没有“test2000”这台计算机:

  也迁移过来了吧?

  现在你可以到客户端上去把test2000这台计算机重新加入到demo.com,然后再用“tom”这个用户登陆,你会发现设置和以前一样保持不变的。

  好了,关于迁移我先写到这儿,其实ADMT的功能远不止此,大家可以自行研究一下,如果有问题请给我发E-Mail,我的MAIL地址:hzswg@sohu.com。

 

  在执行正式的操作以前呢,我们先要来做三个准备工作:

  1、 把目标域,在这里也就是demo.com的功能级别提升为纯模式。

  点击“开始-设置-控制面板-管理工具-Active Directory用户和计算机”:

  在“demo.com”上击右键:

  选择上面选中的“提升域功能级别”:

  请注意,当前的域功能级别是Windows 2000 混合模式,然后开始提升操作:

  点击上图中的“提升按钮”,注意这种操作是不可逆的,提升完成后,就会出现如下画面:

  这就表示提升成功了,如果有多台域控制的话,请注意复制时间,以确定这一修改被复制到整个域的所有域控制器上。

  2、 对两个域做一个双向信任关系。

  应该说这是一个关于域的基本操作,但是很遗憾的是很多朋友都在这一步上栽了一个大跟斗,他们都来信告诉我无法建立信任关系,当他们给我看了下面的截图:

 

  以及听取了他们的整个操作过程以后,我基本上断定是因为他们没有正确配置DNS的原因,我想他们肯定是用本域的DNS服务器去解析信任域的域名,由于本地的DNS服务器里是没有对方域的纪录,所以才会造成无法解析,从而导致信任关系无法建议。在这里我向大家推荐一种方法,就是建议DNS的辅助区域来解决这个问题:

  先到demo.com域,点击“开始-设置-控制面板-管理工具-DNS”:

  展开“SERVER”,定位到“正向查找区域”,并在上面击“右键”:

  选择“新建区域”:

  点击“下一步”:

  在这里,我们要选择“辅助区域”,然后再点“下一步”:

  这里输入和信任域相同的名称,我这里输入的是“ms.com”,然后再点击“下一步”:

  这里要输入信任域DNS服务器的IP地址,试验环境中是“192.168.5.10”,继续“下一步”:

  最后点击“完成”。

  出现上图就表示辅助区域已经建立成功了,然后到源域上再操作一次。

 

 

 

 

 

Q1、客户机无法加入到域?

 

 

一、权限问题。

 

要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。

 

 

二、不是说2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。吗?这时如何在这台计算机上登录到域呀!

 

显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。注意:域管理员不受10台的限制。

 

 

三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现拒绝访问提示。

 

这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。

 

 

四、域xxx不是AD域,或用于域的AD域控制器无法联系上。

 

       在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的 IP 地址,然后开始进行网络身份验证。DNS不可用时,也可以利用浏览服务,但会比较慢。2000以前老版本计算机,不能利用DNS来定位DC,只能利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器,指向DC所用的DNS服务器

 

 

加入域时,如果输入的域名为FQDN格式,形如mcse.com,必须利用DNS中的SRV记录来找到DC,如果客户机的DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。”2000及以上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时,应该用此方法。

 

 

       加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,需要等待较长的时间,所以不推荐。再者,由于客户机的DNS指的不对,则它无法利用2000DNS的动态更新动能,也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它,这本应该是可以的。

 

 

       若客户机的DNS配置没问题,接下来可使用nslookup命令确认一下客户机能否通过DNS查找到DC(具体见前)。能找到的话,再ping一下DC看是否通。

 

 

 

 

 

Q2、用户无法登录到域?

 

 

 

 

一、用户名、口令、域

 

       确保输入正确的用户名和口令,注意用户名不区分大小写,口令是区分大小写的。看一下欲登录的域是否还存在(比如子域被非正常删除了,域中唯一的DC未联机)。

 

 

二、DNS

 

       客户机所配的DNS是否指向DC所用的DNS服务器,讨论同前。

 

 

三、计算机帐号

 

       基于安全性的考虑,管理员会将暂时不用的计算机帐号禁用(如财务主管渡假去了),出错提示为“无法与域连接……,域控制器不可用……,找不到计算机帐户……”,而不是直接提示“计算机帐号已被禁用”。可到AD用户和计算机中,将计算机帐号启用即可。

 

 

       对于 Windows 2000/XP/03,默认计算机帐户密码的更换周期为 30 天。如果由于某种原因该计算机帐户的密码与 LSA 机密不同步,登录时就会出现出错提示:“计算机帐户丢失……”或“此工作站和主域间的信任关系失败”。解决办法:重设计算机帐户,或将该计算机重新加入到域。

 

 

四、默认普通域用户无权在DC上登录

 

       见下一小节的Q1。

 

 

五、跨域登录中的问题

 

在2000及以上计算机上登录到域的过程是这样的:域成员计算机根据本机DNS配置去找DNS服务器,DNS根据SRV记录告诉它DC是谁,客户机联系DC,验证后登录。

 

 

  如果是在林中跨域登录,是首先查询DNS服务器,问林的GC是谁。所以要保证林内有可用的GC。如果是要登录到其它有信任关系的域(不一定是本林的),要保证DNS能找到对方的域。

 

 

 

Q3、如何解决本地或域管理员密码丢失?

 

 

  本地管理员密码丢失,可通过删除sam文件(2000SP3以前)或通过NTpassword软件来解决。但要解决域管理员密码丢失,它们就无能为力了,这时就需要用到“凤凰万能启动盘”中的ERD Commander 2002了,接下来我们将详细讨论使用此盘解决管理员密码丢失问题。

 

 

1、上网搜索“凤凰启动盘”或“凤凰万能启动盘”,大约178M

 

 

2、下载后解压缩,将其内容刻录成光盘;

 

 

3、用此光盘启动计算机,显示XP安装界面,Start ERD Commander 2002环境;

 

 

4、出现选择菜单,选择第一项:ERD Commander 2002;

 

 

5、出现类似XP的启动界面

 

 

6、进入选择系统安装的路径,一般会自动测出操作系统、版本及是否域控制器;

 

 

7、出现类似的XP桌面:选择Start/Administrative Tools/Locksmith;

 

 

8、进入ERD Commander 2002 locksmith向导界面,下一步;

 

 

9、选择Administrator,重设其密码;(此时切不可手动重新启动计算机,否则此修改将无效)

 

 

10、选择Start/Logoff,点OK;

 

 

11、稍候片刻,点reboot后重新启动计算机

 

 

凤凰启动盘中的ERD Commander 2002功能强大,不仅可破解本地管理员密码,包括NT/2000/XP/03的各个版本。还可以破解NT/2000/03域管理员密码,均已实验证明。

 

 

由于可自动识别操作系统和版本,及是否DC,所以用户在操作时,重设密码的方法都是一样的。对于03,重设密码时要注意符合密码策略中要求的符合复杂性要求,且密码最小长度为7,否则重设的密码会无效。

Q4、无法使用域内的共享打印机?

 

 

       现象:计算机重启或注销,再登录进来,无法使用以前安装的域内的共享网络打印机,

 

 

为用户重新安装打印机,当时可以打印,但不久问题又会出现。用户反映说有时能打印,有时就是不能打印。

 

 

       其原因在于用户没有登录到域(很多用户即使计算机加入到了域,也经常习惯性地选择登录到本地机),没有域用户身份,当然无权访问域内的资源。而且关键是Windows系统在这里有个小毛病,它并不象你访问共享文件夹那样,由于没有身份而提示你输入用户名和密码来进行验证,而是直接提示你“拒绝访问,无法连接”、“当前打印机安装有问题”,“RPC服务不可用”等等(在不同的操作系统或应用程序中提示会所不同)。

 

 

       解决办法有3种,最好还是用方法1。:

 

 

1、要求用户将其域用户帐号加入到本地管理员组,以后每次都以域用户帐号登录。

 

 

说明:这本身就是微软推荐的一种办法。因为如果不这样,普通用户以本地管理员身份登录时,控制本机没问题,但访问域资源时需要输入域用户名和口令;而用户若以域用户身份登录,又没有本机管理特权。比如说:无法关机,无法修改网络等配置,无法安装软件、驱动等。这样做了以后,用户以域用户身份登录,同时他又是本地管理员。

 

 

2、在打印服务器上启用Guest用户,保证everyone有打印权限。但这样做不安全,所以不推荐。

 

 

3、在客户机上每次要使用打印机前,在开始—运行:\\PrintServer,这时会提示你输入用户名和密码。通过验证后,再去使用打印机。很显然这样方法比较麻烦。

 

 

 

Q5、无法访问域内的共享资源?

 

 

       上例中我们提到过客户机如果加入到了域,但用户选择登录到本地机。当访问域内共享资源时,会提示输入用户名和口令。若不出现提示,直接出现拒绝访问。一般是由于目标计算机上启用了guest,而guest用户没有权限造成的。

 

 

       接下来的讨论实质和域的关系不太,但确实是我们访问网络共享资源中经常会碰到的问题:基于UNC路径的IP形式来访问时的故障,如在开始/运行:\\10.63.243.1。

 

 

前提:在网卡、协议、连接没问题的情况下。即在可ping通的前提下,若\\10.63.243.1不通,排错可从下面几个方面来考虑。

 

 

1、目标机的“Microsoft网络的文件和打印机共享”服务的问题。

 

 

提示:“\\10.63.243.1 文件名、目录名或卷标语法不正确”。

 

 

检查:服务是否安装、是否选中,或重装一下。

 

 

操作:网上邻居/右键/属性/本地连接/右键/属性

 

 

2、由于访问相关的net logon、server、workstation服务务未正常启动的影响。

 

 

提示:

 

 

(1)若目标机(为域成员)上的net logon服务停了:“试图登录,但网络登录服务未启动”。

 

 

(2)若目标机上的server服务停了:“\\10.63.243.1 文件名、目录名或卷标语法不正确。”

 

 

(3)若本机的worstation服务停了:“\\10.63.243.1 网络未连接或启动”。连其它计算机,也是一样的提示。

 

 

检查:相应服务是否已经正常启动。

 

 

操作:我的电脑/右键/管理/服务和应用程序/服务下

 

 

3、由于本机与其它计算机重名(指NetBIOS名称)的影响

 

 

提示:访问任何计算机均提示:“找不到网络路径”。

 

 

检查:重启一下,看是否有“网络中存在重名”的提示。可能上次开机时没注意给忽略了。

 

 

操作:我的电脑/属性/网络标识/属性/计算机名下,修改计算机名。

 

 

4、XP/03由于默认安全策略:“帐户:使用空白密码的本地帐户只允许进行控制台登录”的影响

 

 

提示:\\10.63.243.1无法访问。您可能没有权限使用网络资源。请与这台服务器的管理员联系以查明您是否有访问权限。登录失败:用户帐户限制。可能的原因包括不允许空密码,登录时间限制,或强制的策略限制。

 

 

检查:改用非空密码的帐户试试,或查看XP/03目标机上的本地策略。

 

 

操作:开始/运行:gpedit.msc。计算机配置/Winodws设置/安全设置/本地策略/安全选项下,由默认值“启用”改为“禁用”。

 

 

注意:域帐号访问不受此策略限制。

 

 

5、网络共享访问被筛选器的设置所阻止

 

 

提示:找不到网络路径

 

 

检查: TCP/IP筛选、IPSEC、RRAS筛选器是否被启用,且TCP端口139和445被禁用。

 

 

操作:

 

 

(1)网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—TCP/IP筛选

 

 

(2)网上邻居/属性/本地连接/属性:TCP/IP—高级—选项—IP安全机制

 

 

(3)开始/程序/管理/路由和远程访问/IP路由选择/常规/接口/右键属性/常规:输入/输出筛选器。

 

 

说明:

 

 

(1)RRAS筛选器只在2000/03 Server版中才有,IPSEC只有在2000的上述位置才有。

 

 

(2)若你就想设置筛选器,基于端口控制,不让别人访问你的网络共享资源,需要同时禁止TCP:139和445口。

 

 

(3)由于此种原因产生的访问故障,一般是由于实验后忘了复原,或别人故意和你开玩笑。

 

 

 

 

 

Q6、在AD域中,如何批量添加域用户帐号?

 

 

 

 

作为网管,有时我们需要批量地向AD域中添加用户帐户,这些用户帐户既有一些相同的属性,又有一些不同属性。如果逐个添加、设置的话,十分地麻烦。一般来说,如果不超 过10个,我们可利用AD用户帐户复制来实现。如果再多的话,我们就应该考虑使用csvde.exe或ldifde.exe来减轻我们的工作量了。最后简单介绍一下利用脚本(可利用循环功能)批量创建用户帐号

 

 

 

 

 

一、AD用户帐户复制

 

1、在“AD域和计算机”中建一个作为样板的用户,如S1。

 

 

2、设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。

 

 

3、在S1上/右键/复制,输入名字和口令。

 

 

说明:

 

 

1、  只有AD域用户帐户才可以复制,对于本地用户帐户无此功能。

 

 

2、  帐户复制可将在样板用户帐户设置的大多数属性带过来。具体如下:

二、比较csvdeldifde

三、以csvde.exe为例说明:域用户帐户的导出/导入

 

  操作步骤如下:

 

 

1、  在“AD域和计算机”中建一个用户,如S1。

 

 

2、  设置相关需要的选项,如所属的用户组、登录时间、用户下次登录时需更改密码等。

 

 

3、  在DC上,开始/运行:cmd

 

 

4、  键入:csvde  –f  demo.csv

 

 

说明:

 

 

(1)不要试图将这个文件导回,来验证是否好使。因为这个文件中的好多字段在导入时是不允许用的,如:ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等属性。我们导出这个文件目的只是为了查看相应的字段名是什么,其值应该怎么写,出错信息如下:

(2)可通过-d –r参数指定导出范围和对象类型。例如:

 

 

       -d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”

 

 

              -r “< Objectclass=user>”

 

 

1、  以上面的文件为参考基础,创建自己的my.csv,并利用复制、粘贴、修改得到多条记录。例如:

 

 

dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName

 

 

"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,S1@mcse.com

 

 

"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,S2@mcse.com

 

 

………………,其它可用字段,我试了一下,见下表(不全):

6、导入到AD,键入 csvde  –i –f  my.csv  –j c:\

 

 

说明:-j用于设置日志文件位置,默认为当前路径。此选项可帮助用户在导入不成功时排错。

 

 

 

 

 

有一点大家必须明确的是:我们在这里做AD域用户帐户复制、做AD域用户帐户的导出/导入,并不能代替“AD备份和恢复”。我们只是在批量创建用户帐号,帐号的SID都是重新生成的,权利权限都得重新设才行。(当然我们可以把导入的用户,通过memberof字段设到一些用户组中去,使它有权利权限。但这与利用“AD备份和恢复”到原状,完全是两回事)。

 

 

 

 

 

四、利用脚本创建批量用户帐户

 

 

1、利用脚本创建用户帐号(用户可参考下例)。

 

 

Set objDomain = GetObject("LDAP://dc=fabrikam,dc=com")

 

 

Set objOU = objDomain.Create("organizationalUnit", "ou=Management")

 

 

objOU.SetInfo

 

 

说明:在fabrikam.com域创建一个名叫Management的OU。

 

 

 

 

 

Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")

 

 

Set objUser = objOU.Create("User", "cn= AckermanPila")

 

 

objUser.Put "sAMAccountName", "AckermanPila"

 

 

objUser.SetInfo

 

 

objUser.SetPassword "i5A2sj*!"

 

 

objUser.AccountDisabled = FALSE

 

 

objUser.SetInfo

 

 

说明:在Management OU下创建一个名叫AckermanPila的用户,口令为i5A2sj*!,启用。

 

 

 

 

 

Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")

 

 

Set objGroup = objOU.Create("Group", "cn=atl-users")

 

 

objGroup.Put "sAMAccountName", "atl-users"

 

 

objGroup.SetInfo

 

 

objGroup.Add objUser.ADSPath

 

 

objGroup.SetInfo

 

 

说明:在Management OU下创建一个名叫atl-users的用户组,将用户AckermanPila加入到这个组中。

 

 

 

 

 

Wscript.echo "Script ended successfully"

 

 

说明:显示“脚本成功结束”信息

 

 

 

 

 

2、利用脚本中的循环功能实现批量创建用户帐号

 

 

 

 

Set objRootDSE = GetObject("LDAP://rootDSE")

 

 

Set objContainer = GetObject("LDAP://cn=Users," & _

 

 

                                                  objRootDSE.Get("defaultNamingContext"))

 

 

For i = 1 To 1000

 

 

Set objUser = objContainer.Create("User", "cn=UserNo" & i)

 

 

objUser.Put "sAMAccountName", "UserNo" & i

 

 

objUser.SetInfo

 

 

objUser.SetPassword "i5A2sj*!"

 

 

objUser.AccountDisabled = FALSE

 

 

objUser.SetInfo

 

 

Next

 

 

WScript.Echo "1000 Users created."

 

 

说明:在当前域的Users容器中创建UserNo1到UserNo1000,共1000个用户帐户

 

 

Q7、我的计算机不知道怎么回事,系统时间总是被改快1小时?

 

 

加入域的计算机,没有自己的时间。这是因为时间参数,在AD复制中是一个极为重要的因素。如:决定多主控复制时,谁的修改最终生效。所以整个域的时间,都由域的PDC仿真主控来控制,整个林的时间都由林根域上的PDC仿真主控来控制。

 

 

       说明:如果整个林的时间都快1小时,对你AD的正常工作没有任何影响。

 

 

       解决:修改林根域的PDC仿真主控计算机的时间。实际工作中,要先查看域内计算机的时区设置是否正确。

 

 

 

Q8、建立AD域,需要有什么样的权限才行?

 

 

 

 

1、若是创建林内的第一个域,即林根域,只要有目标计算机上的本地管理员权限即可。

 

 

2、作为已有域的附加DC,需要该域的域管理员(Domain Admins)权限。

 

 

3、安装子域的DC,或新树的DC,都涉及到林结构的改变,需要林管理员(Enterprise Admins)权限才行。

 

 

 

Q9、如何在2000域中添加一台03DC

 

 

       03和2000比,功能更强大了,在域和AD的体系结构上也有了一些变化(参见前面:域、林功能级别)。但微软的产品十分讲究向前兼容,我们可以实现在一个2000域中加入03DC、加入03DNS,并且DC间的AD复制,DNS间的区域传输,都好像没有版本差异一样。

 

 

       但要注意:直接就在03计算机上安装AD是不行的,会收到出错提示“Active Directory版本不同”。我们需要做一些准备工作,在2000DC(SP2及更高)上运行03光盘/I386/adprep,

 

 

具体第一步:adprep /forestprep进行林准备,第二步adprep /domainprep进行域准备。

 

 

  顺便说一下:03可以作为2000域的附加DC,2000也可以作为03域的附加DC,而直接在2000上安装AD即可,不需要准备。

 

 

 

Q10、创建AD域时,由于没有NTFS分区,导致AD安装失败?

 

 

在2000/03成员或独立服务上上运行dcpromo命令,安装AD,将其提升为DC,其上必须有一个NTFS 5.0分区,用来保存AD的sysvol文件夹。

 

 

注意:2000的NTFS分区是NTFS 5.0,NT4的是NTFS 4.0,NT4必须安装SP4后,才可访问2000的NTFS分区。

 

 

如果C是引导分区,即系统夹winnt或windows所在分区,采用FAT32分区,系统会自动查找下一个可用的NTFS分区来存放系统卷,如d:\sysvol。如果找不到NTFS分区,就会出错,导致AD安装失败。这时可利用convert命令将某个FAT32分区转成NTFS分区,这个转换会保持数据的完好。但要注意这个转换是单向不可逆,想回复到FAT分区,除非重新格式化该分区。

 

 

以转换D盘为例,具体操作如下:

 

 

1、开始/运行:convert d: /fs:ntfs

 

 

2、提示是否转换,键入y确认转换。

 

 

说明:这时并没有真正开始转换,如果后悔,可以到注册表HLM\当前控制\控制\会话管理\BootExecute下,删除其值Convert d: /fs:ntfs 。

 

 

3、重新启动计算机,将在登录界面出现前,真正实施FAT到NTFS的转换。

Q11、安装AD域时,出现NetBIOS名称冲突?

 

 

 

 

       在安装AD时,安装选项会要求输入:新域的DNS全名,在这里应该输入新域的完全有效域名FQDN,形如:mcse.com。系统会打算以mcse作为此域的NetBIOS名称,并在网络中检查是否存在重名,需要等一会儿。

 

 

如果不重名则设为mcse(建议用户不要修改此名),重名系统则自动设为mcse0,建议用户最好换个名字,因为你的网络可能还会有2000以前版本的老系统,考虑到NetBIOS名称解析和DNS名称解析的互助,保持一致性比较好。

 

 

说明:NetBIOS名称,只是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的,如果确信域内计算机都是2000及以上系统(它们通过DNS定位域),其实NetBIOS名称冲不冲突,都无所谓。

 

 

这种冲突可能源自于网络中如果已有一个域,名字叫做mcse.org,DNS名虽然不冲突,但是NetBIOS名称冲突。也可能是你安装了一个mcse.com域未能完全成功,又再次安装导致的,这样情况倒可以强行将NetBIOS名称将为mcse,而不是mcse0。

 

 

 

 

 

Q12、安装AD完成后,重启登录非常慢,甚至长达20分钟之久。

 

 

这一般是由于用一台运行了一段时间的2000/03 Server来安装AD造成的,故障较难定位。若重启几次后就正常了,则不必理会。如果多次重启后还是非常慢,那就要重装系统及AD了。建议:最好在新装的系统上来安装AD,这样不容易出问题。

 

 

 

Q13、安装AD时,选择了在本机安装DNS,但安装结束后,在DNS中未生成SRV记录?

 

 

 

 

如果决定在安装AD过程中在本机安装DNS,应在安装前,将本机TCP/IP配置中的DNS服务器指向自己,这样在安装AD完成后重启时,SRV记录将被自动注册到DNS服务器的区域当中去的,生成四个以下划线开头的文件夹,如_msdcs。

 

 

03DNS在这里夹的层次结构有所变化,将_msdcs.域名夹提升了一级,直接放到了查找区域下,但本质没变。

 

 

如果安装前忘了将DNS指向自己,也可以后补上。然后到计算机管理/服务下,重启Net Logon服务即可。这样可以把启动时未能注册到DNS服务器的SRV记录(缓存在windows\system32\cache中)写入DNS。如果仍然不行的话,那只好重启DC了。

 

 

 

 

 

Q14、安装子域失败。

 

 

       在保证权限(需要林管理员权限,不要误以为是父域管理员权限)、DNS没问题的情况下,最常见的安装子域失败的原因就是域命名主控失效,出错提示为:“由于以下原因,操作失败:AD无法与域命名主机xxx联系。指定的服务器无法运行指定的操作。”

 

 

说明:域命名主控要正常工作,它本身要求GC必须可用。这是由于:为了保证域的名字在林中唯一,域命名主机需要查询GC。若是2000林,GC必须和域命名主机在同一台计算机上才行。若是2003林,不要求GC必须和域命名主机非得在同一台计算机上。

 

 

解决:保证域命名主控联机,如果确信其已无法正常工作,可强制传给(查封seize)林内的任意一台DC,子域的DC也可以。原来的主控必须被重做系统后,才可连入网络,以保证域命名主控的林唯一性。

 

 

 

 

Q15、修改用户密码需要几分钟,甚至更长的时间。

 

 

 

 

前面我们介绍过:PDC仿真主控负责最小化密码变化的复制等待时间,若一台DC接受到密码变化的请求,它必须通知PDC仿真主控。若是PDC仿真主机失效,收到该请求的DC必须经过一段时间的查找后,确认真的找不到PDC仿真主控了,才会自己修改用户密码。所以在此情况下,应首先检查PDC仿真主控。

 

 

如果确信其已无法正常工作,可强制传给(查封seize)域内的任意一台DC。原来的主控必须被重做系统后,才可连入网络,以保证PDC仿真主控的域唯一性。

 

 

 

 

 

 

 

 

Q16、正常卸载AD时的常见问题

 

 

 

 

       在实际工作中有时我们需要改变服务器角色,或者将实验中安装的DC回复到普通成员/独立服务器身份,这就要进行AD的卸载。

 

 

1、卸载时会提示给新的本地管理员设置密码

 

 

2、附加DC卸载后,仍在域中。

 

 

3、如果AD不能卸载,应从以下几方面考虑:

 

 

(1)网卡是否正常工作

 

 

即使你整个林中只有一台计算机,也要保证网卡正常工作,才能将AD卸载。网卡不工作或禁用网卡都会导致AD无法卸载,提示“卸载SYSVOL文件夹出错”

 

 

(2)权限

 

 

权限要求与安装AD时类似,若一个林中只有一个域,那么你要卸载的就是林根域,需要林管理员(Enterprise Admins)权限;卸载附加DC需要该域的域管理员(Domain Admins)权限;卸载子域或树,涉及到林结构的改变,也需要林管理员权限。

 

 

(3)DNS

 

 

       一般应保证与安装时所用DNS一致。如果做了DNS规划,必须保证1中权限所要求的管理员身份能通过DNS找到相应DC,进行验证。

 

 

(4)域命名主控

 

 

       卸载时只要涉及到林结构的改变,就需要保证域命名主控有效;卸载附加DC时不要求域命名主控有效。

 

 

但要注意的是:卸载时,域命名主控失效的出错信息与安装时的“AD无法与域命名主机xxx联系”提示不同,具体是:由于以下原因,操作失败。以提供的凭据绑定到服务器xxx失败。“RPC服务器不可用”。

 

 

(5)卸载的顺序

 

 

       与安装顺序相反,应该先逐级卸载下面的子域,最后卸载树根域、林根域。否则将导致子域无法卸载,而存在的子域还有问题,找不到林根域、树根域了。

 

 

       因为这时极有可能架构和域命名主控及GC未转移,林管理员组和架构管理员组(Schema Admins)已经随林根域的删除而没有了。为什么这么说呢?因为如果管理员考虑到主控及GC等的转移问题,也就不会误删除林根域了。

 

 

 

 

 

Q17AD无法正常卸载,或者说DC无法正常降级为成员服务器?

 

 

1Dcpromo /forceremoval强制卸载AD

 

2、重设目录恢复模式下的管理员密码:

 

 

2000:winnt\system32\setpwd.exe

 

 

03:使用ntdsutil实用工具,set dsrm password

 

 

 

 

 

       如果按照上例的要求,还是无法正常卸载AD,且出错提示未提到DNS方面的故障。考虑本机上已安装有的应用程序,你还不想重做系统,可考虑使用如下办法。

 

 

1、开始/运行,在命令行中输入regedit或regedt32打开注册表编辑器。

 

 

2、找到以下的键值:

 

 

  HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options

 

 

  键值:ProductType  类型:REG_SZ

 

 

3、 将原来的值“LanmanNT”改为“ServerNT”。

 

 

              

 

 

说明:

 

(1)LanmanNT表示本机为域控制器DC,ServerNT表示本机为非DC。

 

 

(2)只有当CurrentControlSet1和CurrentControlSet下的键值:ProductType 所等于的数据不同时,即一个为ServerNT,一个为LanmanNT才允许修改。否则将会出如下提示:

 

 

¨     对于2000:“系统已检测到干预您的注册产品类型,这是您对软件许可证的侵犯。干预产品类型是不允许的。”

 

 

¨     对于03:“系统检测到您的注册的产品类型有篡改现象。这是对软件许可证的侵犯。篡改产品类型是不允许的。”

 

 

(3)教学实践中可以利用ntdsutil将子域的server对象(实质指DC)手动删除,然后运行dcpromo降级,降级失败后演示此知识点。

 

 

接下来,方法一:

 

 

1、重新启动计算机,按F8键进入到“目录服务恢复模式”。

 

 

说明:

 

(1)在此模式下,AD不工作,以便对AD库文件及系统卷sysvol进行操作。

 

 

(2)登录的口令不同于平时所用的口令,是在安装AD时,所设的目录恢复模式下的口令。保存在本机一个SAM库文件中。

 

 

2、删除存放活动目录数据库的文件夹,默认为C:\WinNT\NTDS,或C:\Windows\NTDS。

 

 

3、删除存放系统卷的文件夹,默认为C:\WinNT\SYSVOL,或C:\Windows\SYSVOL

 

 

4、重新启动计算机。

 

 

5、由于还有一些作为域控制器的注册表键值和文件存在,所以在重新启动完计算机后,还需要使用dcpromo命令来升级计算机B到一个临时的域的域控制器(域名可以任意填写),然后再用dcpromo命令降级,这样才会完整地删除所有和域控制器相关的注册表键值和文件。

 

 

方法二

 

 

1、开始/运行,在命令行中输入dcpromo

 

 

2、由于前面已经修改了注册表,此时为AD安装界面,而非卸载界面。

 

 

3、会遇到如下出错提示:“由于网络上名称冲突,选定默认的NetBIOS域名‘xxx’”。

 

 

说明:xxx为你修改注册表前原来域的NetBIOS名称。

 

 

4、不必介意出错提示,手动设置你想要的名称。比如你此次的域为abc.com,则手动设xxx改为ABC即可。

 

 

5、再接下来会遇到提示:“c:\winnt\ntds文件夹不是空的,当升级处理开始时,要删除文件夹中所有的文件吗?(如果不,请指定另一个文件夹。)”

 

 

6、选择:是

 

 

说明:

 

(1)在选择系统卷的夹,如c:\winnnt\sysvol后,时间可能会比较长,请耐心等待。

 

 

(2)和正常安装时一样,可能会碰到DNS错误提示,一般选择在本机安装DNS即可。

 

 

(3)也可能会出现“计算机已脱离域,帐号未被禁用”的提示,不必理会。

 

 

(4)最重要的一点是:这第一次非常可能不成功,再重来一遍dcpromo即可。

 

 

7、如果这次安装是为了清除残余的注册表键值和垃圾文件,可再次运行dcpromo进行卸载。当然直接使用这台DC,也是可以的。

 

 

       最后强调一下,此方法并不是万能的。一是前面我们已经提到的,有时注册表不允许修改或者改完了存不上。再有就是如果在卸载的一开始,就出现有关DNS的出错信息,必须首先排除DNS故障才行。

Q18、如何清理AD数据库中的垃圾对象。

 

 

 

 

       如果我们非正常卸载AD子域、DC等,就会在AD元数据库中留下垃圾。比如上面的例子,又比如未经AD卸载就把DC计算机的系统重做了。这些垃圾对象一般来讲无碍大局,但如果我们想优化AD的性能,不想给用户带来不必要的麻烦(比如用户选择登录到已经不存在的子域),就可以利用ntdsutil工具进行元数据库清理(metadata cleanup),来删除垃圾对象。具体操作如下:

 

 

1、开始/运行:cmd,在命令行下键入 ntdsutil。

 

 

说明:

 

(1)直接,开始/运行:ntdsutil,也可以。

 

 

(2)进行元数据库清理,不要进到目录恢复模式下。

 

 

(3)进行元数据库清理,可以在非DC的2000/XP/03计算机上进行。但有些操作(如使用ntdsutil工具进行授权恢复、整理移动AD库文件)必须在DC上进行。

 

 

(4)在ntdsutil的每级菜单下都可以通过键入:?或HELP,查看本级菜单下可用的命令。

 

 

2、在 ntdsutil: 提示符下,键入 metadata cleanup ,然后按 ENTER。

 

 

说明:ntdsutil是个分层的多级命令行工具,用户在键入名字时,可简写,只要不同于本级命令中的其它命令即可。比如上面的命令metadata cleanup可简写为m c。

 

 

3、在 metadata cleanup: 提示符下,键入 connections ,然后按 ENTER。

 

 

4、在 server connections: 提示符下,键入 connect to server servername,然后按 ENTER。

 

 

说明:

 

(1)其中 servername 是指域控制器的DNS名称,用主机名或FQDN均可。注意:虽然联机说明中提到了可以用IP去连,但实际上发现用IP去连接,会出现参数不正确的出错提示。

 

 

(2)在这里要连接的DC,应是一个正常工作的、可操作的DC,而不是你要清理的那个DC对象。

 

 

5、键入 quit ,然后按 ENTER 回到 metadata cleanup: 提示符。

 

 

6、键入 select operation target ,然后按 ENTER。

 

 

7、键入 list domains ,然后按 ENTER。

 

 

说明:此操作将列出林中的所有域,每一域附带与其相关联的一个数字。

 

 

8、键入 select domain number,然后按 ENTER。

 

 

说明:其中 number 是与故障服务器所在的域相关的数字。

 

 

9、键入 list sites ,然后按 ENTER。

 

 

10、键入 select site number,然后按 ENTER。

 

 

说明:其中 number 是指域控制器所属的站点号码。

 

 

11、键入 list servers in site ,然后按 ENTER。

 

 

说明:这将列出站点上所有服务器,每一服务器附带一个相关的数字。

 

 

12、键入 select server number,然后按 ENTER 。

 

 

说明:其中 number 是指要删除的域控制器。

 

13、键入 quit ,然后按 ENTER,退回到Metadata cleanup 菜单。

 

 

接下来,根据需要,删除相应的垃圾对象:

 

 

14、键入 remove selected server ,然后按 ENTER。

 

 

此时,Active Directory 确认域控制器已成功删除。若收到无法找到对象的错误报告,Active Directory 可能已删除了域控制器。

 

 

15、或者键入 remove selected domain,然后按 ENTER。

 

 

说明:要想删除域,必须得先删除这个域的server对象(实质是DC)才行。

 

 

16、键入 quit 然后按 ENTER 直至回到命令符。

 

 

 

 

 

如果清理的是Server对象,还需要:1、到Active Directory 站点和服务上,展开适当站点,删除相应Server对象。2、到Active Directory 用户和计算机上,双击打开Domain Controllers这个OU,删除相应的DC对象。

 

 

       如果清理的是Domain对象,还需要到Active Directory域和信任关系上,删除相应的已经没有用的信任关系。否则该域名还会出现在登录的域列表。

 

 

       在实际操作中,必须先做元数据清理,然后再到相应的管理工具中删除相应的对象。若是直接到管理工具中去删,系统将不允许删除。

 

 

 

 

 

Q19、欲替换域中唯一的一台DC,如何传送五种主控和转移GC

 

 

 

 

一、传送五种主控

 

 

操作:

 

1、安装第二台DC(假设为DC2,原来的为DC1),

 

 

2、到相应的管理工具(具体见前)下,右键连接到域控制器:DC2,

 

 

3、右键/操作主机/相应标签下,点击更改即可。

 

 

说明:

 

1、其实在图形界面下,操作很简单,关键看能不能成功。

 

 

2、目标都在下面,只有架构的特殊,目标在上面。

 

 

3、如果DC都是最近安装的,极易成功。如果是运行了一段时间的,就不好说了。但我估计你的成功率应在九成以上,因为一般网管都不太动这个。

 

 

4、传送结构主控时,若目标已是GC,会提示出错。可以不理会,继续。因为结构主控负责:更新外部对象的索引(组成员资格),不应该和GC在同一个DC上,应手动移走,否则将不起作用。而单域不需要基础结构主控非得有效,我们一般平常用的都是单域,默认基础结构主控就和GC在一起,不起作用。

 

 

5、若传送不成功,不要着急,等5分钟~2小时不等,你什么都没做,再试可能就成功了。可以利用AD站点和服务/站点/默认的第一个站点名/SERVER/DC/ntds setting/AD连接/右键/立即复制副本,来强制AD马上复制。但有时候,仅依赖于此,还是不行,还得等。

 

 

6、至于把老DC从AD中去除,在开始/运行/DCPROMO,卸载AD。不要选“这是域中最后一台DC”,若能成功卸载,就一切OK了。如不成功,可以直接把原DC废掉重装。AD中会有原DC的垃圾对象,也不影响什么。若非要清干净,参见前例。

 

 

7、如果原角色DC已经无法访问,就只能进行强制传送了,也就是查封(seize)。查封的实质就是强行推出新的主控,会有数据的丢失。在图形界面下会有提示:原主控无法联系,是否强行传送。选择“是”,进行的就是查封操作。

 

 

8、利用ntdsutil工具roles下transfer命令和seize命令也可以实现上述操作。实验中发现,无论是用transfer还是seize,关键看是否能连接到原主控。连接下情况,就是传送;不连接情况下就是查封。如:在连接情况下,使用查封(seize)命令,操作的结果仍是传送:原主控不再是主控,目标成为新的主控。

 

 

二、转移GC

 

       GC不具有唯一性,可在AD站点和服务中,将DC2设为GC。操作如下:

 

 

1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右键/属性。

 

 

2、选中“全局编录”。

 

 

3、你会看到在选项下面的说明:发布全局目录所需要的时间取决您使用的复制拓扑。

 

 

说明:不要急于把DC1断开,应等待足够长的时间,局域网环境一般也就是几分钟。是否将GC的内容成功传送,可在DC2上查看注册表

 

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters下是否有这样一条:Global Catalog Promotion Complete=1。若未传送完,没有这一条。

 

 

 

Q20、如何进行AD的备份与恢复

 

 

       最好的办法是作为系统状态数据的一部分,利用2000/03自带的备份工具来进行备份/恢复。备份工具位于:开始/程序/附件/系统工具下。利用备份/恢复系统状态数据,可以恢复之前的域用户帐户数据和DNS,以及安全设置、组策略设置、还有配置等等。但DHCP、WINS等需要单独备份。
说明:

 

 

1、  DNS区域必须为AD集成区域,如果不是,在备份之前,将标准主区域转成AD集成区域即可。因为AD集成的意思就是:将DNS区域信息,作为AD的一部分进行存储、复制。

 

 

2、  管理工具下有关AD和域的管理工具的快捷方式不会被恢复(03仍未解决这个问题),可以运行2000S光盘I386\adminpak.msi,将所有的域管理工具追加上。也可手动开始/运行/MMC,添加相应的管理工具,如DNS、AD用户和计算机等。

 

 

3、  重装的2000/03系统,不必安装AD,直接恢复就行。开机,F8,目录恢复模式,恢复大约需要4-5分钟。(实际当中我也试了,新装的系统,没有安装AD,在正常启动模式下恢复也可以,因为它根本没有AD,不涉及到AD正在工作,不允许替换的问题,只不过时间会稍长一些,约7-8分钟)

 

 

4、  2000下利用备份工具恢复系统状态数据时,需要手动将“如果文件已存在:不替换”改为“如果文件已存在,总是替换”。

 

 

具体操作:工具/选项/还原:选择“无条件替换本地上的文件”。否则2000在恢复时,可能不会把winnt\sysvol\sysvol(里面是组策略具体的设置值,被称为GPT)给恢复回来。03DC上没有这个问题,系统会自动提示是否替换,选择“是”即可。

 

 

5、具体备份/恢复的步骤,参考下例。

Q21、如何进行授权恢复

 

       首先我们通过一个例子,来说明一下什么是授权恢复。

 

 

设域内有不止一台DC,管理员误删除了一个OU,然后用以前的AD备份进行了恢复操作。如果不做什么特别的设置(即授权恢复),当DC间进行AD同步时,由被恢复的数据是以前的,AD的版本号低,将被其它DC的高版本内容所覆盖。这样刚被恢复的OU就又被删掉了。

 

 

所以我们需要手动通过ntdsutil工具指定对这个OU对象进行授权恢复,系统将按距备份时间每隔一天100000的标准来增加其AD版本号,确保一定高于其它DC上的版本号。

 

 

具体操作如下:

 

 

1、重启DC,按F8,选择目录恢复模式

 

 

2、用目录恢复模式下的管理员SAM帐号登录

 

 

3、开始/程序/附件/系统工具/备份,在恢复标签下进行“系统状态数据”的恢复

 

 

4、若此时重新启动DC,则以上为正常恢复,即非授权恢复。

 

 

若要进行授权恢复,则此时一定不要重启DC

 

 

4、开始/运行:ntdsutil

 

 

5、键入authoritative restore,到授权恢复提示符

 

 

6、键入restore subtree 对象DN(也可以是子树,甚至是整个AD)

 

 

7、退出Ntdsutil

 

 

8、重新正常启动DC。

 

 

说明:若要进行系统卷SYSVOL(主要是组策略设置)的授权恢复,即将组策略恢复到以前的状态,但AD库要保留当前。不必使用Ntdsutil,直接将AD库恢复到其它位置即可,这是因为系统状态数据在备份/恢复时,不能进行细化的选择。

 

 

 

 

 

Q22、如何移动、整理AD数据库?

 

 

一、移动AD数据库

 

       将 Ntds.dit 数据文件移动到指定的新目录中并更新注册表,使得在系统重新启动时,目录服务使用新的位置。系统为了安全起见,并不删除原来的数据库。具体操作如下:

 

 

1、为了以防万一,最好备份AD。

 

 

2、重启DC,按F8,选择目录恢复模式

 

 

3、用目录恢复模式下的管理员SAM帐号登录

 

 

4、开始/运行:ntdsutil

 

 

5、输入files,切换到文件提示符files>下

 

 

6、输入 move DB to c:\ folder

 

 

7、移动Ntds.dit成功提示。

 

 

8、输入quit二次,退出

 

 

9、重新正常启动DC

 

 

 

 

 

二、整理AD数据库

 

       将调用 Esentutl.exe 以压缩现有的AD库文件,并将压缩后的AD库文件写入到指定文件夹中。压缩完成之后,将保留原来的AD库文件,将新的压缩后的AD库文件保存到到该文件的原来位置。

 

 

另外顺便说明一下,ESENT也支持联机压缩,目录服务定期(默认12小时)调用联机压缩,但联机压缩只是重新安排数据文件内的页面,并不能象手动压缩这样:将空间释放回文件系统。

 

       整理AD数据库具体步骤如下:

 

 

1-5步,与前面相同。

 

 

6、输入compact to c:\folder

 

 

7、显示整理碎片,直至完成。

 

 

8、输入quit,退出。

 

 

9、对于2000需要:复制新的NTDS.DIT文件覆盖旧的NTDS.DIT文件

 

 

10、重新正常启动DC2-3-4组策略应用相关实例

 

 

 

 

关于组策略应用的实例,那真是三天三夜也说不完,因为总共有600+200多条策略。在此仅举几例,来说明问题。有的比较简单,有的稍微复杂一些,我们会展开来讨论一下。需要强调的是,作为管理员平时要多看看组策略中具体都有哪些设置,当然谁也不可能逐条去实践去测试,但要大概有个印象。当有某种需求时,你才会想起某条组策略设置来,根据印象找到那条策略,先看说明标签,再具体实践,逐步积累。

       前面我们讲过安全策略是组策略的子集(一部分),我们会首先讨论和安全策略相关的实例,然后才是其它的策略。

 

 

 

 

Q1、普通域用户无法在DC上登录?

 

 

       为了保护域控制器,默认能在DC上登录的用户只有:AdministratorsAccount operatorsBackup operatorsServer operatorsPrint operators这些特定的管理组。要想使普通域用户有权在DC上登录,可以将其加入到这些组中。

       但更多时候,我们不想让用户有过多的权利权限,也可以在开始/程序/管理工具/域控制器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加,指派其在DC上登录的权利即可。

 

 

Q2、在03域中添加用户时,总是提示我不符合密码策略,怎么办?

 

 

 

对于03,默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求,且密码最小长度为7。口令的复杂性包括三条:一是大写字母、小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中不得包括全部或部分用户名。

我们可以设置复杂一些的密码,也可以重新设默认域的安全策略来解决。操作如下:

开始/程序/管理工具/域安全策略/帐户策略/密码策略:

¨       密码必须符合复杂性要求:由“已启用”改为“已禁用”;

¨       密码长度最小值:由“7个字符”改为“0个字符”。

欲策略设置马上生效,可利用gpupdate进行刷新。(具体见前)

       如果添加的是本地用户,解决办法与此相同,只不过修改的是本地安全策略。

 

 

Q3、在2000/03域中,前网管设置了一个开机登陆时的提示页面,已过时,现想取消,如何操作?

 

 

 

登录到本机时出现,则在管理工具/本地安全策略,或开始/运行:gpedit.msc中配置。若是登录到域时出现,则在管理工具/域的安全策略,或AD用户和计算机/属性/组策略中配置。具体会涉及到:安全设置/本地策略/安全选项下的这两条,

¨       交互式登录:用户试图登录时消息标题

¨       交互式登录:用户试图登录时消息文字

 

 

Q4、如何设置不让用户修改计算机的配置(如TCP/IP等)?

 

 

 

可以利用本地策略或基于域的组策略锁定,具体操作:

1  本地:开始/运行:gpedit.msc。或

2  域:开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略

3、在用户配置/管理模板/网络/网络及拨号连接:禁止访问LAN连接的属性。

说明:

1  若利用本地策略实现,本地管理员,可以重新设置策略解开。

2  若利用域策略实现,只是域用户受此限制。本地管理员,不受此限制。

所以应该不给用户本地管理员口令,让用户以非本地管理员/域用户身份登录。为了保证用户能安装软件或做其它管理工作,可将其加入本地的Power Users组。

 

 

Q5、非管理员用户无法登录到终端服务器?

 

 

 

       欲使用户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server,对于2000S需要在服务器上安装终端服务,对于03S只需在我的电脑/右键/属性/远程/远程桌面下,选中“允许用户远程连接到这台计算机”即可。对于管理员默认即可通过TS登录进来。

       非管理员用户通过终端服务无法登录,除了网络连接方面的问题以外,主要有以下五个方面的原因:

1、终端服务器同时是DC,而普通用户无权在DC上登录。

 

       解决办法:具体见前。

2、安全策略/本地策略/用户权利分配:通过终端服务允许登录。

 

       这是03特有的,2000没有这条安全策略。解决办法,

方法一、在我的电脑/右键/属性/远程/远程桌面下,选中“允许用户远程连接到这台计算机”选项后,单击“选择远程用户”/添加。用户将被自动加入到Remote Desktop Users组,而这个组默认有“通过终端服务允许登录”的权利。

方法二、手动将用户加入到Remote Desktop Users

方法三、手动直接指派用户“通过终端服务允许登录”的权利

注意:如果终端服务器同时是DC,必须使用方法三。原因是为了保护DCDC上的本地安全策略里,只允许Administratrs组有此权利,而将Remote Desktop Users组删掉了。

3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限。

 

       解决办法:手动将用户加入到Remote Desktop Users组,或确保用户在此权限下有来宾访问或用户访问的权限。

4、用户所用帐号口令为空。

 

       若终端服务器为03,用户使用此服务器上的本地帐号、且口令为空,通过TS登录。由于03本地安全策略/本地策略/安全选项/帐户:使用空白密码的本地帐户只允许进行控制台登录,默认启用,这将会阻止用户登录。解决办法:使用非空密码或禁用此策略。

       顺便提一下,这也是常见的通过网络访问XP/03上的共享资源,不通的原因之一。

5、所用帐号属性/终端服务配置文件/“允许登录到终端服务器”选项。

 

       这个选项,默认就是选中的,除非有人动过。解决办法:手动选中即可。

6、还有两种可能:
12000:未安装TS服务;03:未启用远程桌面
203:启用了ICF,但未设允许RDP进入

Q6、在2000(也仅是2000)中由于禁止本地登录权利而导致的所有用户、管理员无法登录。

 

 

       在安全策略/本地策略/用户权利分配下有两条策略:

¨       拒绝本地登录,默认为“未定义”。

¨       允许在本地登录,其默认值分别为:

u       本地计算机策略:AdministratorsBackup OperatorsPower UsersUsers

u       默认域的策略:未定义

u       默认域控制器的策略:AdministratorsAccount OperatorsBackup OperatorsServer OperatorsPrint OperatorsIUSR_dcname

       说明:如果在同一级别上、对同一对象(用户或组)、同时设置了“允许”和“拒绝”,“拒绝”权利的优先级别高。也就是说二者冲突时,“拒绝”权利生效。

 

 

假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员,又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录,出错提示为:“此系统的本地策略不允许您采用交互式登录”,也就没办法将策略设置改回正常了。

这种情形看起来像一个解不开的"死结":要解除禁止本地登录的组策略设置,必须以管理员身份本地登录;要以管理员身份本地登录,就必须先解除禁止本地登录的组策略设置。

问题还是有办法解决的,分别讨论如下:

 

一、被域策略和域控制器策略所阻止

 

       显然你应该是被域策略和域控制器策略同时阻止了登录权利,因为:

1、如果只是域策略阻止,由于默认域控制器的策略上允许Administrators登录,而域控制器(Domain Controllers)是个OU,前面我们讲过组策略的LSDOU原则,所以管理员可以登录到DC上,把策略改回去。

2、如果只是域控制器的策略阻止,它只对DC生效。管理员可以在域内的其它计算机上登录到域,把策略改回去。

要解决被域策略和域控制器策略同时阻止,首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中,位于DCwinnt\sysvol\sysvol中,以GUID为文件夹名。”其中安全设置部分保存在DCwinnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实质就是一个文本文件,可利用记事本进行编辑。

说明:前面我们介绍过,默认域的策略、默认域控制器的策略使用固定的GUID,分别是:

¨       默认域的策略的GUID31B2F340-016D-11D2-945F-00C04FB984F9

¨       默认域控制器的策略的GUID6AC1786C-016F-11D2-945F-00C04FB984F9

 

 

可以利用C盘的隐含共享C$,或winnt\sysvol\sysvol的共享sysvol连过去,直接编辑,具体操作如下:

1、在另一台联网的计算机(Win9X/2000/XP均可)上,使用域管理员账号连接到DC

2、利用记事本打开GptTmpl.inf文件。

3、找到文件中[Privilege Rights]小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字,进行编辑即可。如:

¨       使SeDenyInteractiveLogonRight所等于的值为空。

¨       保证SeInteractiveLogonRight= *S-1-5-32-544,……

4、保存退出。

说明:

 

1、关于各SID所表示的意义,参见前面的表格。SID前面的*要保留,系统执行时才不会其后面的SID当作具体的用户/组的名字。

2、如果域中不止一台DC,为保证DC同步时刚才所做的修改最终生效(原理同授权恢复),需要:

1)打开winnt\sysvol\sysvol\你的域名\Policies\刚刚所修改策略的 GUID\ GPT.INI文件

2)找到文件中的[General]小节下的“Version”,手动将其值增大,通常是加10000。这是我们修改的这个组策略对象的版本号,版本号提高后可以保证我们的更改被复制到其它DC上。

3)保存退出。

5、重新启动DC,域策略将被刷新。

说明:也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必重启DC了。但需要用到telnet,细节参考前面telnet命令和接下来的内容。

6、以域管理员身份在DC上正常登录到域,重新设置安全域策略中的相关项目。

 

 

二、被本地安全策略所阻止

 

       很多人都会想到利用MMC远程管理功能,重设目标机的安全策略。具体操作如下:

开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机,如果有权限的话,你会发现你能找到并管理其它的策略设置,但是就是没有安全策略等项目出现在列表中。

       这是由于在Windows2000中,不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同,它存放在一个二进制的安全数据库secedit.sdb

那么我们该怎么办呢?我们可以使用telnet连接到故障计算机上,利用前面我们介绍过secedit命令导出安全设置到安全模板,即扩展名为.inf的文本文件中。利用记事本编辑后,再利用secedit命令将修改后的安全设置配置给计算机,这样也就大功告功了。但如果故障计算机上的telnet服务没有启动,那么我们应该首先把故障计算机上telnet服务启动起来,才能连过去。

说明:因为telnet服务的启动类型,默认为手动,所以正常情况下它是不会启动的。此时连过去的出错信息为:正在连接以xxx不能打开到主机的连接,在端口23:连接失败。

综上所述,具体解决办法如下:

1、在另一台联网的计算机(2000/XP/03均可)上,修改其管理员密码,使用户名和口令均与故障计算机上的相同。(这主要为了方便,若在连接或使用的时候输入目标计算机上的用户名和口令,也可以)

2、注销后,重新登录进来。

3、我的电脑/右键/管理,打开计算机管理。

4、在计算机管理上/右键/连接到另一台计算机:故障计算机IP

5、在服务下找到telnet,手动将它启动起来。

接下来使用telnet连接过来

6、开始/运行:cmd,键入telnet 目标IP

7、在C:\>提示符下,键入secedit /export /cfg c:\sectmp.inf,导出它的当前安全设置。

8、点击开始/运行:\\目标IP\C$,双击c:\sectmp.inf,用记事本打开。

9、编辑sectmp.inf文件,具体同前面情况一的步骤3

10、回到步骤7的命令窗口,键入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf将修改后的设置值,配置给计算机。

11、运行secedit /refreshpolicy machine_policy /enforce刷新策略,这样就不必故障计算机了。

12、以本地管理员身份在故障计算机上正常登录到域,重新设置安全域策略中的相关项目。

 

 

最后说明一下:对于XP/03不存在上述问题,微软已经修正了这个问题。用户不能阻止所有人或管理员登录,在图形界面下根本设不上;使用其它手段强行设上了也不起作用。因此大家可以想一想,针对上面第一种情况,实际上可以加一台XP/032000域,在XP/03上登录到域,将其解开。

本例的实际排错意义并不大,但建议大家最好还是能把这个实验做一下,因为它涉及到了很多知识点,如:基于域安全策略、本地安全策略的实施原理,组策略及其优先级,权利、SID,还有同名同口令帐户登录、telnetsecedit工具的使用等等。再有大家也可以做一下实验,既然我们能通过网络解开,同样也能通过网络设上。

Q7Win2000/03域中默认策略被误删,如何恢复?

 

 

       对于Win2000,微软在下载中心提供了Windows 2000默认策略还原工具的下载。微软开发这一工具旨在帮助用户在意外删除默认策略时,能够重新还原“默认缺省域的组策略”和“默认域控制器的组策略”文件。请到下列地址下载相应工具:

http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en

对于Win03,微软提醒用户不要将其应用于Windows Server 2003上。Win03自带的Dcgpofix.exe就可以完成还原任务。

需要强调的是:作为管理员应及时将组策略的设置进行备份。可利用2000/03自带的备份工具,把组策略作为系统状态的一部分进行备份。也可以利用GPMC工具专门备份组策略的设置。这样即使出问题了,重新恢复,也不用再把组策略重新设置了。

 

Q8、作为管理员,我通过组策略设置了一些限制,如“不要运行指定的windows应用程序”,但总有个别用户在网上能找到破解的办法,我该怎么办?

 

 

这段话使我想起了关于网络安全一条名言:没有绝对的安全。我个人也觉得在计算机网络世界里,永远是高手在蒙低手。若水平都很高,那么最终的安全又回到了物理安全设置上(术语叫:社会工程)。下面以“不要运行指定的windows应用程序”这条组策略设置的攻防转换,来阐明这个问题

 

 

第一回合:

 

 

 

       管理员:通过本地策略限制某用户运行某些用户程序,如QQ、反恐、realplay等。操作:开始/运行,键入gpedit.msc,用户配置/管理模板/系统/不要运行指定的windows应用程序,启用/显示/添加:上述应用的.exe文件名即可。

       用 户:用户如果知道管理员怎么设置的限制,同样的办法取消限制即可。

 

 

第二回合:

 

 

 

       管理员:mmc.exe也加入到上述禁止运行列表中,使用户无法打开任何MMC管理控制台。

       用 户:开始/运行:cmd,键入mmc,将会打开控制台下,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制。

       说明:用户在CMD方式下,直接键入gpedit.msc仍不能运行。此解法的知识点来自这条策略的说明标签。

 

 

第三回合:

 

 

 

       管理员:cmd.exe也禁止运行

       用 户:重新启动计算机,按F8,选择带命令行的安全模式。登录进来后,在CMD方式下,键入mmc,将会打开控制台下,文件/添加删除管理单元,添加:组策略对象编辑器/本地计算机策略,取消限制。

 

 

第四回合:

 

 

 

       管理员:一看不行了,还是借助于基于域的组策略吧。将用户计算机加入到域,不给用户本地管理员的口令,要求用户使用一个域用户帐号(为不影响用户的其它正常应用,可将其加入到客户机的Power Uers组),并将此域用户帐号放到一个OU中,链接组策略,设置上述限制。

       用 户:手动删除注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun
下的被禁用的程序。

 

 

第五回合:

 

 

 

       管理员:因为默认情况下,若用户手动修改注册表中的组策略设置值,若策略未变,组策略不负责强制改回。管理员可利用组策略/计算机配置/管理模板/系统/组策略/注册表策略处理,设置成“即使尚未更改组策略对象也进行处理”,执行强制性的、周期性刷新策略。

       用 户:用户修改程序文件名,以避开策略的限制(尤其是对非MS的应用程序)。

 

 

第六回合:

 

 

       管理员:设置权限,让用户无权修改文件名。

 

          户:利用用凤凰启动盘重设本地管理员密码,以本地管理员登录进来后,不受上述限制,也可以干脆脱离域

 

 

第七回合:

 

 

 

管理员:BIOS中禁用光驱并设上BIOS密码,或物理断开光驱。

用 户:打开机箱,跳线清除BIOS密码,或物理连接上光驱。

 

 

……  ……

       通过本例大家也看到了,作为网络员应当不断学习,提高自身技术才行。在学习要充分利用Internet这个最广博的老师,最大的知识库。

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2006年09月01日

在每天享受着LCD那与众不同的高档次显示效果的同时,不要忘记了保养这个极其重要的环节。LCD只有保养得好,才能够长期无故障地为用户服务。如果已经拥有了LCD或者平板显示器,这里的一些提示就对你十分有用了。应该明确的是,价格不菲的LCD,只要遵循一些简单的保养步骤,就可以忠心耿耿地长时间服务,在LCD中,唯一的一个逐渐消耗的零件就是显示器的背景照明灯。长期使用以后,会发现屏幕变得暗淡或者干脆就不亮了,在这两种情况下,只要更换背景照明灯就可以使LCD起死回生,变得和新的一样。
    1.避免屏幕内部烧坏
    记住,CRT显示器能够因为长期工作而烧坏,对于LCD也如此。所以一定要记住,如果在不用的时候,一定要关闭显示器,或者降低显示器的显示亮度,否则时间长了,就会导致内部烧坏或者老化。这种损坏一旦发生就是永久性的,无法挽回。所以一定要引起足够的重视。另外,如果长时间地连续显示一种固定的内容,就有可能导致某些LCD像素过热,进而造成内部烧坏。
    为了避免这种内部烧坏,在不使用的时候可采取下列措施:
    1)没事的时候请关掉显示器;
    2) 经常以不同的时间间隔改变屏幕上的显示内容(例如运行屏幕保护程序);
    3)将显示屏的亮度减小到比较暗的水平;
    4) 显示一种全白的屏幕内容。
    2.保持环境的湿度
    所有曾经因为将饮料洒到键盘上而造成键盘损坏的用户都知道这个常识。不要让任何具有湿气性质的东西进入LCD。发现有雾气,要用软布将其轻轻地擦去,然后才能打开电源。如果湿份已经进入LCD了,就必须将LCD放置到较温暖而干燥的地方,以便让其中的水分和有机化物蒸发掉。对含有湿度的LCD加电,能够导致液晶电极腐蚀,进而造成永久性损坏。
    3.正确清洁显示屏表面
    如果发现显示屏表面有污迹,可用沾有少许玻璃清洁剂的软布轻轻地将其擦去,不要将清洁剂直接洒到显示屏表面上。清洁剂进入LCD将导致屏幕短路。
    4.避免不必要的振动
    LCD屏幕十分脆弱,所以要避免强烈的冲击和振动。LCD差不多就是用户家中或者办公室中所有用品中最敏感的电气设备。LCD中含有很多玻璃的和灵敏的电气元件,掉落到地板上或者其他类似的强列打击会导致LCD屏幕以及CFL单元的损坏。还要注意不要对LCD显示表面施加压力。
    5.请勿拆卸
    有一个规则就是,永远也不要拆卸LCD。即使在关闭了很长时间以后,背景照明组件中的CFL换流器依旧可能带有大约1000V的高压,这种高压能够导致严重的人身伤害。所以永远也不要企图拆卸或者更改LCD显示屏,以免遭遇高压。未经许可的维修和变更会导致显示屏暂时甚至永久不能工作。所以在你手脚实在闲不住的时候,最好去摆弄割草机或者别的什么玩艺儿,就是别动娇贵而危险的LCD!

2006年08月31日

由于这两天玩的太累了。以后再补。

2006年08月29日

  /BASEVIDEO:使用标准VGA方式启动。这种方式主要用于显示驱动程序失效时。
  /BAUDRATE:指出用于调度的波特率,如果用户不设置,则使用默认的9600,而对于
线缆Modem则使用19200。
  /BOOTLOG:使Win2000将日志写入 %SystemRoot%\NTBTLOG.TXT 。
  /BURNMEMORY=   :使NT在已知的内存上少使用指定的数量,如果/burnmemory=64,则
有64M内存NT不使用。
  /CRASHDEBUG:调度器在NT启动时启动,只有在内核错误时才有用,如果系统经常会
无故出错,这个选项就很有用了。
  /DEBUG:在启动NT时调入调度器,它可以在任何时间激活,在错误可以再次出现时
使用它比较合适。
  /DEBUGPORT= comx :指定用于调度的端口,其它X就指端口号。
  /FASTDETECT:对于Win2000启动时,它使系统不检查串行口和并行口。
  /HAL=<hal>:允许用户不使用默认的HAL。
  /INTAFFINITY:设置多处理器HAL(HALMPS.DLL),使编号最大的处理器接收中断请
求。如果不设置此选项,Win2000会使所有处理器接收中断请求。
  /KERNEL=<kernel>:与上面的功能相同,不过是针对SMP中的内核而言的。
  /MAXMEM:n:指定NT可以使用的最大内存数,如果一个内存片损坏,这个开关就十分
有用了。
  /NODEBUG:不使用调试信息。
  /NOGUIBOOT:指定此选项会使Win2000不加载VGA驱动程序,也就不会显示启动过程
和失败时的兰屏信息。
  /NOSERIALMICE=[COMx | COMx,y,z…]:在特定的COM中上禁止对串行鼠标的检测。
如果用户有一个非鼠标设备接在COM口上,这个选项会十分有用。如果此开关未加参
数,系统会禁止所有COM口。
  /NUMPROC=n:只允许前N个系统处理器工作。
  /ONECPU:在多处理器中只使用一个处理器。
  /PCILOCK:不让NT为PCI设置分配IO/IRQ资源,而启用BIOS设置。
  /SAFEBOOT:安全启动,这个大家一定十分熟悉,Win2000只启动
HKLM\System\CurrentControlSetControl\SafeBoot中的驱动程序和服务,其后跟三个
参数MINIMAL,NETWORK或DSREPAIR之一。MINIMAL和NETWORK在允许网络下启动系统。而
DSREPAIR要求系统从备份设备中调入活动目录的设置。还有一个选项是
"(ALTERNATESHELL)",它让系统调入由
HKLM\System\CurrentControlSetSafeBoot\AlternateShell指定的SHELL程序,而不使
用默认的Explorer。
  /SOS:在调入驱动程序名时显示它的名字,在因驱动问题而无法启动时使用比较
好。
  /WIN95:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用
Win9x。启动文件BOOTSECT.W40。
  /WIN95DOS:在装有三个系统DOS、Win9x和Windows NT的系统上,让NTLDR直接调用
DOS启动文件BOOTSECT.DOS
  /YEAR=:使用指定的年份,如果设置为/YEAR=2005,那现在的时间就是2005年,此
选项仅对NT4+SP4和Win2000生效。

http://www.microsoft.com/china/windowsxp/comparison.asp

2006年08月28日

CSDN上有一篇关于杀毒软件性能测试的帖子。很有意思,贴过来大家试试。

这段由欧洲防病毒协会提供的代码绝对值得大家一试:看看你杀毒软件的能力吧!

测试方法:

1.鼠标右键点击桌面空白处,创建一个“文本文档”。(什么,还不会建?我倒)

2.将下面这段测试代码复制到“文本”里,保存,然后可以直接右键点击这个文本,用杀毒软件扫描,也可以等一会,如果你的杀毒软件还行,会自动报毒并将该文本删除,那就可以初步放心了。

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

测试原理:

该段代码是欧洲计算机防病毒协会开发的一种病毒代码,其中的特征码已经包含在各种杀毒软件的病毒代码库里,所以可以用做测试病毒扫描引擎。

测试等级:

特等:复制完代码后便提示内存有病毒

优等:刚保存完就提示病毒(或者直接删除)

中等:保存后几秒提示病毒(或者直接删除)

下等:需自己启动病毒扫描查杀才提示病毒(或者直接删除)

劣等:无论怎么扫描都无法提示病毒(或者直接删除)

请大家测试完后在评论里说下自己用的什么杀毒软件以及排什么等级,那这篇文就好似中文杀毒软件评测文章了,也可以惠及更多的网友了。