2005年08月30日

忘记管理员密码怎么办之第一招O&O软件
用O&O Bluecon2000强制更改Windows2000本地管理员密码(无需知道原来的密码)
题目:用O&O Bluecon2000强制更改Windows2000本地管理员密码(无需知道原来的密码)
内容:
O&O Bluecon 2000是一款德国人开发的工具软件,它可以让你方便的修复被损坏的Windows NT/2000系统,与Windows 2000的恢复控制台差不多,唯一不同的是它不需要你输入密码就能够进入系统.这款工具最常用的功能可能就是修改本地管理员的密码了.

使用O&O Bluecon 2000修改本地管理员密码的步骤如下:

一.制作工具盘.
(1)制作四张Windows2000安装启动盘,制作方法见本站的Winnt/2000重要软盘制作小全。
(2)启动O&O BlueCon 2000软件的"O&O BootWizard",修改我们刚才制作的安装软盘(只修改第1张和第4张),共分四步.
(3)第一步Select Boot Device询问你使用哪一种方式引导系统,是Floppy(即四张安装软盘)还是CD-ROM,我们在这儿选Floppy(4 disk required)这一项,按下一步;
(4)第二步Select Options询问我们是不是创建Windows2000安装启动盘,因为我们刚才就创建了,因此不选,按下一步;
(5)第三步Patch Disk 1和Patch Disk 4,会提示你依次插入第1张和第4张进行修改操作.按屏幕提示完成工具盘制作.

二.修改本地管理员密码
这款工具与我前一款介绍的修改管理员密码的工具相同,只能够修改SAM中的本地管理员密码.
在使用O&O修改本地管理员的密码前,先介绍一下O&O支持的命令,共28个,你可以在"A:\>"提示符下使用"?"或"help"命令查看.这28个命令中比较重要的有:

backup:备份注册表
device:显示某一操作系统的硬件配置情况
edlin:一个文本编辑工具
passwd:修改密码命令
reboot:重新启动机器命令
regedit:编辑注册表命令
service:显示/启动/禁止服务命令
scopy或scp:文件复制命令,可以复制文件的安全属性
user:显示某一操作系统的用户
vmap:显示当前卷的信息

这些命令的参数与详细用法可以使用"命令 /?"的方式获得.

具体的修改本地用户的操作如下:
(1)将第1张软盘插入软驱中,重新启动机器,以软盘引导系统,按屏幕提示依次插入这4张盘,走完安装界面,最后,系统会提示:

O&O Bluecon 2000 V2.0 Build 256 – English Keyboard
(c) 2000 O&O Software GmbH. Allright reserved.
A:\>

(2)使用Passwd命令对SAM数据库账号的密码进行修改,Passwd命令的用法如下:

Passwd []

Passwd命令中Password参数是可选的,如果你不输入该账号的密码,那么该账号的密码将被清空(不建议这样).
如果你要将管理员Administrator的密码修改为123456,就可以这样使用:

A:\>Passwd Administrator 123456

回车后如果你当前系统中存在多个操作系统,系统会提示你要修改哪个操作系统的管理员密码.类似提示如下:

Please choose a system to logon
1. "Microsoft Windows 2000 Server" /fastdetect
2. "Microsoft Windows XP Professional" /fastdetect
3. "Microsoft Windows 2000 Recovery Cortrol" /cmdcons

选择一个合适的要修改的操作系统,我们这儿选1,即要修改Windows2000 server的管理员密码.一会儿如果系统提示"Password was successfully changed"就表示管理中的密码修改成功.如果你的O&O软件不是完全版而只是未注册版,那系统会提示管理员的密码是只读的,不能够进行修改.
(3)从软驱出取出软盘,重新启动系统,进入目录恢复模式,我们就可以使用新的管理员密码进入系统了.

这款软件最新版的下载地址是 www.oosoft.com

忘记管理员密码怎么办之第二招:输入法漏洞
[我之所以还要转这篇文章,是因为下面我还要使用这篇文章要讲的方法,实际上大家应该对这个方法非常熟悉了,而且输入法漏洞也几乎绝种乐.]

题目:使用输入法漏洞建立管理员账号的方法整理

内容:
输入法漏洞可以说是中文Windows2000推出后的第一个致命漏洞,通过它我们可以做许多的事情,包括建立用户.
我将网上的一些关于如何通过这个漏洞建立用户的收集整理了几种,以备管理员朋友们不时之需.

一、使用文件类型编辑创建管理员用户
开机到登陆界面
1.调出输入法,如全拼->帮助->操作指南,跳出输入法指南帮助文件
2.右击"选项"按钮,选择"跳至url"
3.在跳至URL上添上"c:\",其它的也可.
4.帮助的右边会进入c:\
5.按帮助上的"选项"按钮.
6.选"internet"选项.会启动文件类型编辑框.
7.新建一个文件类型,如一个you文件类型,在跳出的文件后缀中添上"you".确定.
8.选中文件类型框中的"you"文件类型,点击下面的"高级按钮",会出现文件操作对话框.
9.新建一种文件操作,操作名任意写,如"ppp"
10.该操作执行的命令如下:
C:\WINNT\system32\cmd.exe /c net user aboutnt 123456 /add & C:\WINNT\system32\cmd.exe /c net localgroup administrators
aboutnt /add
完成后退出
11.将c:\的某个文件如"ppp.txt"改为"ppp.txt.you",然后双击打开这个文件.
12.通常这个文件是打不开的,系统运行一会便没有了提示,但这时我们已经将用户aboutnt加上了,权限是管理员.
13.返回,重新以aboutnt用户登录即可。

二、使用快捷方式创建管理员用户
1-4步与第一种同。
5.右击c:\下的任一文件或文件夹,如右击Winnt文件夹,创建它的快捷方式:"快捷方式 WINNT".
6.右击"快捷方式 WINNT"文件->"属性"->"快捷方式"标签,将目标修改为"c:\winnt\system32\net.exe user aboutnt 123456 /add",起始位置修改为"c:\winnt\system32".确定退出."快捷方式 WINNT"文件的图标会由一个文件夹变成一个dos窗口.

7.右击"快捷方式 WINNT",运行它,创建"aboutnt"用户
8.重复6步,将目标修改为"c:\winnt\system32\net.exe localgroup administrators
aboutnt /add",起始位置修改为"c:\winnt\system32".确定退出.
9.右击"快捷方式 WINNT",运行它,将"Aboutnt"用户加入了本地管理员组中.
10.删除"快捷方式 WINNT"文件,返回,以以aboutnt用户登录即可.
忘记管理员密码怎么办之第三招:屏幕保护程序
屏幕保护程序有时作用是非常大的,使用它恢复被遗忘的管理员密码就是一个例子.

使用了屏幕保护程序的办法,大家都知道,通常(注意,并不绝对),如果系统启动出现登录邀请框后15分钟不登录,win2000会启动屏幕保护程序logon.scr,位于c:\winnt\system32下,一个win2000标志会满屏跑.
我这次就对这个logon.scr做了手脚,因为logon.scr是个可执行文件,于是我先将logon.scr改名为logon.zqs,然后将c:\winnt下的explorer.exe复制到c:\winnt\system32下,改名为logon.scr,这一步需要我们拆下硬盘到其它机器上去操作,当然有其它的方法也行.

重新启动机器,出现登录对话框后不登录,等待15分钟,屏幕保护程序启动,一个资源管理器出现了,目标定位在c:\下,下面的操作就简单了,使用输入洞的方法即可.不再详说.
忘记管理员密码怎么办之第四招:启动脚本
这第四种方法较之前面的第二,第三种方法,是最可行的一种,可能百发百中吧.请着重看启动脚本的最后一种应用.

深入浅出Win2000计算机启动/关机脚本

一.简介

Win2000计算机启动/关机脚本(startup/shutdown scripts)是Win2000的一个新特点.启动
脚本是邀请用户登录之前运行的批文件,它的功能类似于Win9X和DOS中的自动执行批处理
文件autoexec.bat;关机脚本是计算机关机之前运行的批文件.

与Win2000用户登录/注销脚本(logon/logoff scripts)相比,它们之间的主要区别是:计算机
启动/关机脚本在计算机启动和关机时运行,脚本程序只运行一次,通常在启动脚本运行完毕后才出现邀请用户登录的对话框;用户登录/注销脚本在邀请用户登录的对话框出现后,用户
登录系统或从系统注销时运行,运行次数由用户登录/注销的次数决定,每登录/注销系统一
次,脚本程序就运行一次.

二.指派

在启用计算机启动/关机脚本前,必须进行指派.指派计算机启动/关机脚本需要通过组策略
MMC(管理控制台)管理单元进行,具体的操作如下:

1.单击"开始"菜单->"运行",在打开框内输入"MMC",打开微软管理控制台(Microsoft Management Console,MMC).

2.单击"控制台"菜单->"添加/删除管理单元…",在跳出"添加/删除管理单元"对话框内单
击"添加"按钮,添加独立管理单元.

3.在"添加独立管理单元"对话框的"可用的独立管理单元"列表内选择"组策略",按下面的"添
加"按钮.

4.当系统询问使用哪一个组策略对象时,如果你要指派面向本地计算机,只在本地计算机执行
的启动/关机脚本,请选择缺省的"本地计算机"组策略对象;如果你要指派面向Win2000域,在
域内所有计算机上执行的启动/关机脚本,那请点击"选择组策略对象"对话框中的"浏览…"按
钮,在"浏览组策略"对话框选定能应用到整个域中的组策略对象,这里以"Default Domain
Policy"对象为例,它是Win2000域缺省的域策略对象(图一)(t1.gif).

5.完成后依次关闭各对话框回到管理控制台,现在管理控制台上就有了一个相应的组策略对象树(图二)(t2.gif).

6.在管理控制台左侧的控制台树窗格中,依次展开组策略对象->"计算机配置"->"Windows设置"->"脚本(启动/关闭)"节点,双击右侧详细资料窗格中的"启动"或"关机"项目就可以设置计算机启动或关机时使用的脚本了(图三)(t3.gif)(因Win2000计算机启动和关机脚本的设置方法相同,下面的操作均以启动脚本为例).

7.双击右侧详细资料窗格中的"启动"项目,在跳出的"启动属性"对话框中点击"添加"按钮,添
加新的计算机启动脚本.

8.一个启动脚本条目包括两方面的内容:脚本名和脚本参数(图四)(t4.gif).如果脚本名不包含文件路径,比如图中的脚本文件名只是"scripta.vbs",系统会到缺省的计算机启动脚本路径下寻找这个脚本文件.脚本的参数是可选的,可填可不填,看实际情况而定,图中的开机脚本使用了运行参数"start".

9.本地计算机脚本的缺省路径通常是"%systemroot%\system32\GroupPolicy\Machine\Scripts",如"C:\winnt\system32\GroupPolicy\Machine\Scripts".应用到域的计算机脚本的缺省路径通常是""\\\sysvol\\Policies\\Machine\Scripts",如"\\MyDC1\sysvol\Mydom.com\Policies\{31B2F340-016D-11D2-832F-00C04FB873F9}\Machine\Scripts".启动脚本文件存放在"Startup"子文件夹中,关机脚本文件存放在"ShutDown"子文件夹中.

10.我们可以根据需要重复点击"启动属性"对话框中的"添加"按扭,为计算机添加多个启动脚
本(图五)(t5.gif).

11.设置完毕,保存后退出组策略MMC管理单元.等组策略刷新后,这些脚本就会在计算机启动和关机时起作用.

三.深入

1.我们对计算机启动/关机脚本的设置数据被Win2000保存在了一个名为scripts.ini的隐藏配
置文件中,这个文件位于"C:\WINNT\system32\GroupPolicy\Machine\Scripts"目录下,可以使用任一款文件编辑软件如记事本进行编辑.

scripts.ini文件内容通常包含两个数据段:[Startup]和[Shutdown],[Startup]数据段下是启动脚本配置,[Shutdown]数据段下是关机脚本配置.每个脚本条目被分成脚本名和脚本参数
两部分存贮,脚本名保存在XCmdLine关键字下,参数保存在XParameters关键字下,这里的X
表示从0开始的脚本序号,以区别多个脚本条目和标志各脚本条目的运行顺序.下面是一个简单的scripts.ini文件的例子:

[Startup]
0CmdLine=d:\start\ss.bat
0Parameters=
1CmdLine=scriptsa.vbs
1Parameters=start
[Shutdown]
0CmdLine=shut.vbs
0Parameters=

从例子中我们可以看出,共设置了两个计算机启动脚本:ss.bat和scripta.vbs.ss.bat位于
d:\start目录下,没有使用参数;scriptsa.vbs位于缺省的启动脚本目录C:\WINNT\system32
\GroupPolicy\Machine\Scripts\Startup下,使用了参数"start".两个脚本的执行顺序是先执行ss.bat后执行scriptsa.vbs.设置了一个关机脚本shut.vbs,没有使用参数,该脚本位于缺省的关机脚本目录C:\WINNT\system32\GroupPolicy\Machine\Scripts\Shutdown下.

2.启动/关机脚本的运行情况,包含是否同步运行、是否显示运行状态、最长等待时间等,
都可以在组策略中进行微调.具体操作如下:

(1)-(5)步同第二部分指派操作中的1-5步;

(6)在管理控制台左侧的控制台树窗格中,依次展开组策略对象->"计算机配置"->"管理模板"->"登录"节点,右侧详细内容窗格中显示的内容有四项与启动/关机脚本有关(图六)
(t6.gif):非同步运行启动脚本,显示启动脚本的运行状态,显示关机脚本的运行状态,组策略脚本的最长等待时间.

(7)非同步运行启动脚本
在默认情况(也就是没有配置的情况,下同)下,系统要等每个启动脚本运行完毕才运行下一个启动脚本.如果启用这个策略,系统则不会协调启动脚本的运行顺序,启动脚本可以同时运行.
如果停用或不配置这个策略,每个启动脚本要在上一个脚本运行完毕后才能运行.建议不配置.

这个策略对应的注册表值是"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\sy
stem\RunStartupScriptSync",这是一个REG_DWORD值,0表示启用,1表示禁用.

(8)显示启动/关机脚本的运行状态
在默认情况下,系统不显示启动脚本中的指令.如果启用这个策略,系统会在启动脚本运行时
显示每个指令,指令将出现在命令窗口,或显示出人机交互界面。这个功能主要是为高级用户设计的.如果停用或不配置这个策略,指令则不会显示.建议不配置.

举个例子,假设你在启动脚本中有一条命令是"c:\winnt\explorer.exe c:\winnt",如果启用了
这一策略允许显示启动脚本的运行状态,那么当计算机启动时,一个资源管理器窗口就会跳
出来,桌面被打开,系统以system用户的身份交互登录到计算机上,这无异于那个著名的输入
法漏洞!由此可以看出,打开启动/关机脚本的运行状态有时是非常危险的.

这两个组策略条目对应的注册表值分别是"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\sy
stem\HideStartupScripts"和"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
CurrentVersion\policies\system\HideShutdownScripts",均为REG_DWORD值,0表示启用,1表示禁用.

(9)组策略脚本的最长等待时间
这个策略限制了由组策略完成运行登录、开始和关闭脚本所需的全部时间.如果当指定时间已超过但脚本尚未完成运行,系统会停止脚本处理并记录一个错误事件.在默认情况下,系统
允许合并的脚本集运行600秒(10分钟).

要使用这个策略,在第二个框中键入从1到32000之间的数目以确定您希望系统等待脚本完
成的时间,单位是秒.要让系统一直等到完成运行脚本为止,无论等待时间多久,请键入0.但不建议这样,如果你的脚本写的很差,那后果将难以想象!

2005年08月22日
Win Installer出错的解决方案
 PCWorld.COM.CN | 2005-08-09 11:19 |

引:现在许多软件都使用windows Installer(windows安装服务)作为自己的安装程序,有时因为各种原因以及windows Installer本身的缺陷,会导致windows Installer出错。

  症状一:删除某个程序后,在运行某些软件时,老会弹出一个“windows正在配置Windows Installer,请稍候”的窗口。

  解决办法:

  1、重新安装Windows Installer,office XP安装盘的根目录有两个名为instmsi.exe和InstMsiW.exe的文件,instmsi.exe用于win9X/Me,InstMsiW.exe用于Win2000/XP;

  2、打开组策略→计算机配置→管理模板→Windows组件→Windows Installer→禁用Windows Installer,只是这样一来,很多软件就有能安装了,此法用于Win2000/XP。

  3、请看本文最后的“终级解决方案”

  症状二:Win2000/XP安装软件时提示“无法访问windows安装程序,服务中windows Installer状态为停止,不能启动

  解决办法:

  1、命令提示符下输入:misiexec /regserver

  2、在“管理工具”→“服务”中启动windows Installer

  症状三:Win2000/XP安装软件时提示“不能访问Windows Installer服务……”

  解决办法:

  1、检查当前用户有无管理员权限;

  2、结束进程Ikernel.exe后再安装;

  3、删除系统安装目录Program Files\Common Files\InstallShield\Engine下的所有文件再安装。

  4、首先,运行“msiexec /unregserver”,停止Windows Installer服务;

  接着,安装InstMsiW.exe(office XP安装盘的根目录下有,也可以从网上下载,地址为:

  http://download.microsoft.com/do … EN-US/InstMsiW.exe),用Winrar解压至设定的目录;进入目录,右键点击msi.inf,选“安装”,右键点击mspatcha.inf,选安装;

  最后运行“msiexec /regserver”启用服务。

  症状四:安装软件时提示“系统管理员设置了系统策略,禁止进行此项安装”

  解决办法:

  1、尝试用症状三的解决方法;

  2、打开组策略→用户配置→管理模板→Windows组件→Windows安装服务→将“禁止从媒体安装”设为“禁用”,将“永远以高特权进行安装”设置为“启用”

  以上问题的终级解决方案:

  下载安装微软提供的Windows Installer CleanUp Utility 1.0,它的主要功能是清除程序的Windows Installer配置信息。启动该工具,它会列出目前系统中所有Windows Installer使用安装的软件,选中出问题的软件,然后点“Remove”按钮即可。

2005年08月17日


在确定了适合您的环境的风险级别并制定了总体安全策略之后,可以开始保护您 的环境了。在基于 Windows 2000 的环境中,这主要是通过组策略来实现的。
在本章中,我们将介绍如何利用安全模板来建立组策略对象 (GPO),以便在基于 Windows 2000 的环境中定义安全设置,还将讨论一个将支持使用这些 GPO 的简单组织单位 (OU) 结构。


——————————————————————————–

警告:在生产环境中实现本章讨论的安全模板之前,必须首先在实验室中 彻底测试这些安全模板以确保服务器继续按照预期的方式工作。


——————————————————————————–

使用组策略的重要性

安全策略的目标在于制定在环境中配置和管理安全的步骤。Windows 2000 组策略 有助于在您的 Active Directory 域中为所有工作站和服务器实现安全策略中的技术建议。您可以将组策略和 OU 结构结合使用,为特定服务器角色定义其特定的安全设置。

如果您使用组策略来实现安全设置,则可以确保对某一策略进行的任何更改都将 应用到使用该策略的所有服务器,并且新的服务器将自动获取新的设置。

组策略的应用方式

为安全有效地使用组策略,了解它的应用方式非常重要。一个用户或计算机对象 可能受多个 GPO 的约束。这些 GPO 按顺序应用,并且设置不断累积,除发生冲突外,在默认情况下,较迟的策略中 的设置将替代较早的策略中的设置。

第一个应用的策略是本地 GPO。运行 Windows 2000 的每台计算机都有一个本地 GPO。在默认情况下,只对“安全设置”下的节点进行配置。本地 GPO 的名称空间其他部分中的设置既不启用也不禁用。本地 GPO 存储在每个服务器中 的 %systemroot%\System32\GroupPolicy 中。

在本地 GPO 之后,后来的 GPO 依次在站点、域、父 OU 和子 OU 上应用。下图 显示了每个策略是如何应用的:


图 3.1

GPO 应用层次结构

如果在每个级别都定义了多个 GPO,那么应由管理员设置它们的应用顺序。

在以下情况下用户或计算机将应用在组策略中定义的设置:a) 组策略应用到它们 的容器;b) 它们出现在至少具有应用组策略权限的 GPO 的自由访问控制 列表 (DACL) 中。


——————————————————————————–

注意:在默认情况下,内置组 Authenticated Users 具有应用组策略 权限。该组包含所有域用户和计算机。

确保组策略得到应用
组策略设置(部分)位于 Active Directory 中。这意味着对组策略进行的更改不会立即得到应用。域控制器首先需要将对组 策略的更改复制到其他域控制器。在一个站点内这个复制过程将需要花费 15 分钟,而复制到其他站点则需要更长时间。一旦复制完更改,还需要一段时间( 对于域控制器来说为 5 分钟,对于其他计算机来说为 90;30 分钟)才能使对策略的更改在目标计算机上得到刷新。

如果需要,您可以强制立即执行以下任一操作。

强制域控制器复制
打开 Active Directory 站点和服务,展开站点,展开 <站点名>,然后展开服务器。
展开 和 ,然后针对 每个服务器选择 NTDS 设置。
在右窗格中,右键单击连接对象名,然后选择立即复制副本。这将强 制在这两个域控制器之间立即进行复制。
对每个域控制器重复第 2 步和第 3 步。
在服务器上手动刷新策略
在服务器的命令提示符下,键入 Secedit/refreshpolicy machine_policy/enforce。此命令通知服务器检查 Active Directory 中是否有对策略的任何更新,如果有的话,就立即下载它们。
验证有效的策略设置
启动本地安全策略。
在安全设置下,单击本地策略,然后单击安全选项。
在右窗格中,检查有效设置列,以便验证正确的安全设置是否得到应 用。

——————————————————————————–

注意:当您使用组策略应用安全设置时,应详细了解它们的属性和交互, 这一点非常重要。Microsoft 白皮书 — Windows 2000 Group Policy(Windows 2000 组策略)提供了有关如何部署组策略的更多详细信息。有关更多详细信息, 请参见本章末尾的“详细信息”一节。


——————————————————————————–

组策略的结构

组策略的配置设置存储在两个位置:

GPO — 位于 Active Directory 中
安全模板文件 — 位于本地文件系统中
对 GPO 所做的更改直接保存在 Active Directory 中,而对安全模板文件所作的 更改必须先导回到 Active Directory 内的 GPO 中,才能应用所作的更改。


——————————————————————————–

注意:本操作指南向您提供了可用于修改 GPO 的模板。如果您直接进行 更改并修改 GPO,则它们将与模板文件不同步。因此,建议您先修改模板文件, 然后将它导回到 GPO 中。


——————————————————————————–

Windows 2000 提供了许多安全模板。下面的模板可在低安全环境中应用。

Basicwk.inf — 适用于 Windows 2000 Professional
Basicsv.inf — 适用于 Windows 2000 Server
Basicdc.inf — 适用于基于 Windows 2000 的域控制器
为了在基于 Windows 2000 的计算机上实现更高的安全性,还提供了其他模板。 这些模板为基本模板提供了更多的安全设置:

Securedc.inf 和 Hisecdc.inf — 适用于域控制器
Securews.inf 和 Hisecws.inf — 适用于成员服务器和工作站
这些模板被视作增量模板,这是由于必须先应用基本模板然后才能添加增量模板 。在本指南中,我们以 Hisecdc.inf 和 Hisecws.inf 作为起始点创建了几个新安全模板,目的在于创建一个非常严格的环境,您可以 有选择地打开它,以便提供所需的功能,而且同时保持非常重要的安全性。


——————————————————————————–

注意:Windows 2000 默认安全模板以 .inf 文件的形式存储在 %SystemRoot%\Security\Templates 文件夹中。

安全模板的格式
模板文件是基于文本的文件。可从 MMC 的“安全模板”管理单元或通过使用“记 事本”等文本编辑器来更改模板文件。下表列出了策略部分与模板文件部分之间 的对应关系。

表 3.1:与组策略设置相对应的安全模板部分策略部分 模板部分
帐户策略 [系统访问]
审计策略 [系统日志]
[安全日志]
[应用程序日志
用户权限 [特权]
安全选项 [注册表值]
事件日志 [事件审计]
受限制的组 [组成员资格]
系统服务 [服务常规设置]
注册表 [注册表项]
文件系统 [文件安全]


安全模板文件中的某些部分(如 [文件安全] 和 [注册表项] 包含特定的访问控 制列表 (ACL)。这些 ACL 是由安全描述符定义语言 (SDDL) 定义的文本字符串。有关编辑安全模板和 SDDL 的详细信息可在 MSDN 上找到。 有关进一步的详细信息,请参见本章末尾的“详细信息”一节。

 

测试环境

在对生产环境进行任何更改之前,应在测试环境中彻底评估对 IT 系统的安全性所做的任何更改,这一点非常重要。测试环境应尽可能地模仿生产 环境。它至少应包括您将在生产环境中拥有的多个域控制器和每个成员服务器角 色。

测试对于确保以下两点非常重要:在进行更改之后环境仍然正常工作;确保已按 照预期的计划提高了安全级别。您应当在测试环境中彻底验证所有更改并进行漏 洞评估。


——————————————————————————–

注意:任何人在您单位进行漏洞评估之前,应确保他们已获得准予进行此项工 作的书面许可。


——————————————————————————–

 

 

检查域环境

在生产环境中实现组策略之前,应确保域环境保持稳定和正常工作,这一点非常 重要。Active Directory 中应加以验证的一些关键部分包括 DNS 服务器、域控制器复制和时间同步。您还应当使用测试环境来帮助确保生产环境 稳定。

验证 DNS 配置

DNS 名称解析对于服务器和域控制器的正常运行至关重要。在针对一个域实施了 多个 DNS 服务器的情况下,应对每个 DNS 服务器进行测试。您应当执行以下测 试:

在域控制器上:
使用详述选项运行 dcdiag /v 和 netdiag /v,以便在每个域控制器上测试 DNS 并检查输出中是否有错误。DCDIAG 和 NETDIAG 可在 Windows 2000 安装光盘中“Support/Tools”目录下找到。
停止和启动 Net Logon 服务并检查事件日志中是否有错误。Net Logon 服务 将服务记录动态注册到该域控制器的 DNS 中,并在无法成功注册 DNS 记录时生成错误信息。这些服务记录可在 %SystemRoot%\System32\Config 目录中的 netlogon.dns 文件中找到。
在成员服务器上,通过使用 nslookup 或运行 netdiag /v 来验证 DNS 是否 正确运行。
域控制器复制

在实现组策略之前,应确保多个域控制器之间的复制能够正常运行,这一点非常 重要。如果复制不能正确进行,则对组策略的更改将不会应用到所有域控制器。 这将导致正在域控制器上查找组策略更新的服务器之间产生矛盾。如果服务器指 向在其中完成更改的域控制器,那么这些服务器将进行更新,而如果服务器指向 那些仍在等待要进行复制的组策略的域控制器,那么这些服务器将不进行更新。< p> 使用 Repadmin 强制和验证复制

Repadmin 是一种命令行工具,包含在 Windows 2000 光盘中的“Support”目录 中。您可使用 repadmin 来确定目标服务器的目录复制伙伴,并通过发送一个命令来将源服务器与目标服 务器同步。这是通过使用源服务器的对象全局唯一识别符 (GUID) 来完成的。

使用 repadmin 在两个域控制器之间强制进行复制
在一个域控制器的命令提示符下,键入以下命令:
repadmin /showreps
在输出的“Inbound Neighbors”部分,查找需要同步的目录分区以及目标服 务器要与之进行同步的源服务器。记下源服务器的对象 GUID 值。
通过输入以下命令启动复制:
repadmin /sync


——————————————————————————–

注意:一旦您拥有每个域控制器的对象 GUID 之后,即可创建使用 repadmin 工具的批处理脚本,以便启动服务器之间的复制并提供有关复制是否成 功的状态信息。

集中安全模板
要将用于生产的安全模板存储在一个安全位置,并且只有负责实现组策略的管理 员才能访问该模板,这一点非常重要。在默认情况下,安全模板存储在每个域控 制器上的 %SystemRoot%\security\templates 文件夹中。此文件夹在多个域控制器之间不进行复制。因此,您需要选择一个保 存原版安全模板的域控制器,这样,您就不会遇到模板的版本控制问题。

时间配置

要确保系统时间正确并且所有服务器都使用同一时间源,这一点非常重要。Windo ws 2000 W32Time 服务为在 Active Directory 域中运行的基于 Windows 2000 计算机提供时间同步。W32Time 服务能确保基于 Windows 2000 的客户端的时钟与一个域中的域控制器保持同步。这是 Kerberos 身份验证所必 需的,而且时间同步还有助于进行事件日志分析。

W32Time 服务是使用 RFC 1769 中描述的简单网络时间协议 (SNTP) 来将时钟同 步的。在 Windows 2000 林中,时间是按照以下方式进行同步的:

林根域中的主域控制器 (PDC) 模拟器的操作主机是您单位的权威时间源。
对于林中其他域中的所有 PDC 操作主机来说,在选择要用来同步它们的时间 的 PDC 模拟器时,它们都遵循域的层次结构。
一个域中的所有域控制器都与它们的域中的 PDC 模拟器操作主机同步时间, 这些域控制器将该操作主机作为它们的入站时间伙伴。
所有成员服务器和桌面客户机都将身份验证域控制器作为它们的入站时间伙 伴。
为了确保时间准确,林根域中的 PDC 模拟器应与外部 SNTP 时间服务器同步。您 可通过运行以下 net time 命令来配置此项,其中 是您的服务器列表:

net time /setsntp:


——————————————————————————–

注意:如果林根中的 PDC 模拟器位于防火墙后面,则您可能需要打开防 火墙上的 UDP 端口 123,以便允许 PDC 模拟器连接到基于 Internet 的 SNTP 时间服务器。


——————————————————————————–

如果您的网络使用较早的 Windows 操作系统,则这些计算机上的时钟可通过在登 录脚本中使用以下命令来同步,其中 是网络上的域控制器:

net time \\ /set /yes


——————————————————————————–

注意:运行非 Windows操作系统的计算机也应该与外部时间源同步其时钟 ,以便可以根据时间来分析日志事件。有关详细信息,请参见 Microsoft 知识库 文章 Q216734:“How to Configure an Authoritative Time Server in Windows”( 如何在 Windows 中配置权威时间服务器)


——————————————————————————–

 

策略设计和实现

如果您打算有效地使用组策略,则必须认真地确定它的应用方式。为简化组策略 安全设置的应用和检查过程,我们建议您在以下两个级别应用安全设置:

域级。满足一般的安全要求,如必须针对所有服务器实施的帐户策略和审 计策略。
OU 级。满足并非网络中的所有服务器都共有的特定服务器的安全要求。例 如,基础结构服务器的安全要求就与那些运行 IIS 的服务器的要求不同。
影响安全性的组策略设置可分为若干个部分。

表 3.2:组策略的各个组成部分及其用途策略部分 说明
帐户策略\密码策略 配置密码存留期、长度和复杂性
帐户策略\帐户锁定策略 配置锁定时间、阈值和复位计数器
帐户策略\Kerberos 策略 配置票证寿命
本地策略\审计策略 启用/禁用特定事件的记录
本地策略\用户权限 定义权限,如本地登录、从网络访问等
本地策略\安全选项 修改与注册表值有关的特定安全选项
事件日志 启用成功或失败监视
受限制的组 管理员可控制谁属于特定组
系统服务 控制每个服务的启动模式
注册表 对注册表项配置权限
文件系统 对文件夹、子文件夹和文件配置权限


所有服务器都有一个预定义的本地策略。在最初创建 Active Directory 域时,还创建了默认的域和域控制器策略。在修改任何默认策略之前,一定要记 下它们所包含的设置,这一点非常重要,因为这样您可以在万一出现问题时轻松 地返回到以前的状态。

服务器角色

在本指南中,我们定义了几种服务器角色并创建了可增强这些角色安全性的安全 模板。

表 3.3:Windows 2000 服务器角色服务器角色 说明 安全模板
Windows 2000 域控制器 Active Directory 域控制器 BaselineDC.inf
Windows 2000 应用程序服务器 锁定的成员服务器,可在上面安装 Exchange 2000 等服务。为让该服务正确地运行,必须放松安全。 Baseline.inf
Windows 2000 文件和打印服务器 锁定的文件和打印服务器。 Baseline.inf 和文件和服务 Incremental.inf
Windows 2000 基础结构服务器 锁定的 DNS、Windows Internet 名称服务 (WINS) 和 DHCP 服务器。 Baseline.inf 和基础结构 Incremental.inf
Windows 2000 IIS 服务器 锁定的 IIS 服务器。 Baseline.inf 和 IIS Incremental.inf


上述每个角色的安全性要求都有所不同。我们将在第四章“基于角色保护服务器 ”中对每个角色的适当的安全设置详细地进行讨论。


——————————————————————————–

注意:本指南假定服务器执行已定义的特定角色。如果您的服务器与这些角色 不符,或者您拥有多用途服务器,则应将这里定义的设置作为指导来创建您自己 的安全模板。但是,还应当记住,每个服务器执行的功能越多,就越容易受到攻 击。


——————————————————————————–

支持服务器角色的 Active Directory 结构

正如以上所述,您可按照许多不同的方法来应用组策略:使用多个 GPO;在许多不同的层次上。在本指南中,我们定义了许多可用于保护各种服务器 角色的组策略设置。您需要确保您的 Active Directory 结构允许您应用这些设置。

为了帮助您保护基于 Windows 2000 的环境,我们还预定义了一些可导入到 GPO 中的安全模板。但是,如果您打算按原样使用这些模板,则需要确保拥有相应的 Active Directory 结构。在本指南中定义的 GPO 可以与下图中的 OU 结构一起 使用。


图 3.2

要与定义的 GPO 一起使用的 OU


——————————————————————————–

注意:域结构在此处并不重要,因为域和 OU 组策略只在定义它们的域中 应用。站点结构也不重要,因为在本指南中我们没有在站点级别定义 GPO。

创建 OU 结构
启动 Active Directory 用户和计算机。
右键单击域名,选择新建,然后选择组织单位。
键入成员服务器,然后单击确定。
右键单击成员服务器,选择新建,然后选择组织单位 。
键入应用程序服务器,然后单击确定。
针对文件和打印服务器、IIS 服务器和基础结构服务器重复 第 5 步和第 6 步。
有必要更详细地查看 OU 结构。

域级策略

在构建 Windows 2000 域时,创建了一个默认的域策略。对于要应用到整个域中 的安全设置来说,您可执行以下任一操作:

创建另一个策略并将其链接到高于默认策略级别的位置
修改现有的默认策略
修改现有的策略通常一般较为简单,但是创建另一个域策略(而非修改默认策略 )的优点在于,如果该策略出现问题,可以将其禁用,并让默认域策略恢复控制 。

切记,域中一般包含客户机、用户和服务器。因此,如果您特别希望锁定服务器 ,则在域级定义特定设置通常不切实际。在实践中,最佳的做法通常是将服务器 安全设置限制在那些必须在域级设置的设置。

在本操作指南中,我们未在域级定义特定设置,这是因为许多设置(如密码长度 )将根据您单位的整体安全策略而有变化。但是,我们提供了一些一般建议,您 可在第四章“基于角色保护服务器”中找到。


——————————————————————————–

注意:如果密码和帐户策略是在域级设置的,那么它们将只影响域帐户( 即,您只能在每个域中配置一个密码和帐户策略)。如果这些策略是在 OU 级别或其他任何位置设置的,那么它们将只影响本地帐户。有关详细信息,请参 阅知识库文章 Q259576:“Group Policy Application Rules for Domain Controllers”(域控制器的组策略应用规则)。


——————————————————————————–

成员服务器 OU

您为成员服务器定义的许多安全设置应当在每个成员服务器角色中应用。为了简 化此过程,我们创建了一个名为 Baseline.inf 的基准安全模板,您可将该模板 导入到 GPO 中并应用到成员服务器 OU。这些设置将设置适用于成员服务器 OU 和所有子 OU。

域控制器 OU

Windows 2000 已经提供了域控制器 OU。当一个服务器变成域控制器时,它自动 放在此处,您不应删除它,否则会导致用户登录和访问问题。

在本指南中,我们向您提供了一个名为 BaselineDC.inf 的安全模板,您可将其 导入到 GPO 中并应用到域控制器 OU。您可以选择除默认域控制器 GPO 以外还应用此模板,或者只是修改默认域控制器 GPO 中的设置。

单个服务器角色 OU

单个服务器角色 OU 是成员服务器 OU 的子 OU。这意味着,在默认情况下,这些 服务器将全部采用在成员服务器基准策略中定义的设置。

如果您使用基准策略来保护成员服务器,则需要进行修改以便适用于每个服务器 角色。您可通过为每个服务器角色 OU 分配 GPO 来完成此任务。

在本指南中,我们为每个服务器角色 OU 提供了可导入到 GPO 中的安全模板。我 们将在第四章“基于角色保护服务器”中对服务器角色更详细地进行讨论。

导入安全模板

通过执行以下步骤,可将本指南附带的安全模板导入到本章建议的 OU 结构中。 在域控制器上执行以下步骤之前,必须先将本指南附带的 SecurityOps.exe 文件的内容解压缩。

警告:本指南中的安全模板旨在提高您的环境安全性。通过安装本指南附 带的模板,很有可能会失去环境中的某些功能。这可能包括导致任务关键的应用 程序出现故障。因此,一定要在将这些模板部署到生产环境之前彻底进行测试并 针对您的环境相应地对它们进行更改。在应用新的安全设置之前,应备份每个域 控制器和服务器。要确保备份中包括系统状态,这是因为系统状态中包括注册表 数据,而且在域控制器上它还包含 Active Directory 中的所有对象。


——————————————————————————–

注意:如果您使用的是 Windows 2000 Service Pack 2,那么在继续操作 之前,需要应用知识库文章 Q295444“SCE Cannot Alter a Service’s SACL Entry in the Registry”(SCE 无法在注册表中修改 服务的 SACL 项)中讨论的修补程序。如果未应用此修补程序,组策略模板将无法禁用任何服 务。


——————————————————————————–

导入域控制器基准策略

在 Active Directory 用户和计算机中,右键单击域控制器,然后选择属性。
在组策略选项卡上,单击新建以添加新的组策略对象。
键入 BaselineDC Policy,然后按 Enter 键。
右键单击 BaselineDC Policy,然后选择禁止替代。
——————————————————————————–

注意:这是必不可少的,因为默认域控制器策略将帐户管理以外的 所有审计策略设置配置为“无审计”。因为默认域控制器策略的优先级较高,所 以“无审计”设置将变成有效设置。


——————————————————————————–

单击编辑。
展开 Windows 设置,右键单击安全设置,然后选择导 入策略。
——————————————————————————–

注意:如果“导入策略”未出现在菜单上,请关闭“组策略”窗口 ,然后重复第 4 步和第 5 步。


——————————————————————————–

在策略导入来源对话框中,浏览 C:\SecurityOps\Templates,然后双击 BaselineDC.inf。
关闭组策略,然后单击关闭。
在域控制器之间强制进行复制,以便所有的域控制器都具有该策略。
在“事件日志”中验证策略是否已成功下载,并验证服务器能否与域中的 其他域控制器进行通讯。
一次重新启动一个域控制器以确保它能成功地重新启动。
导入成员服务器策略

在 Active Directory 用户和计算机中,右键单击成员控制器,然后 单击属性
在组策略选项卡上,单击新建以添加新的组策略对象。
键入 Baseline Policy,然后按 Enter 键。
单击编辑。
展开 Windows 设置,右键单击安全设置,然后选择导入策略。
——————————————————————————–

注意:如果“导入策略”未出现在菜单上,请关闭“组策略”窗口,然后 重复第 4 步和第 5 步。


——————————————————————————–

在策略导入来源对话框中,浏览 C:\SecurityOps\Templates,然后双击 Baseline.inf。
关闭组策略,然后单击关闭。
使用下面的 OU 和安全模板文件重复第 1 步到第 7 步:
 OU 安全模板
文件和打印服务器 文件和打印 Incremental.inf
IIS 服务器 IIS Incremental.inf
基础结构服务器 基础结构 Incremental.inf

在域控制器之间强制进行复制,以便所有的域控制器都具有该策略。
将每个角色所对应的服务器都移到相应的 OU 中,并在服务器上使用 secedit 命令来下载策略。
在“事件日志”中验证策略是否已成功下载,并验证服务器能否与域控制 器和域中的其他服务器进行通讯。在该 OU 中成功测试一个服务器之后,将其余 服务器移到该 OU 中,然后应用安全。
重新启动每个服务器以确保它们能成功地重新启动。
 

保证组策略设置的安全

如果您使用组策略来应用安全设置,一定要确保这些设置本身尽可能安全。这通 常可通过确保 GPO 以及它们所应用到的 OU 和域的权限正确设置来实现。本指南中附带的模板不修改默认的 Active Directory 权限,因此您需要手动修改这些权限。

在较高级别的容器上定义的组策略设置有可能会被较低级别容器上的设置所改写 。针对 GPO 使用禁止替代可防止较高级别容器上的设置被改写。


——————————————————————————–

注意:不要针对成员服务器基准策略设置禁止替代。这样做将阻 止服务器角色策略启用相应的服务和设置。


——————————————————————————–

除了在 OU 级区分服务器角色,还应当创建单独的相应管理员角色,并只在相应 的 OU 上赋予它们管理权限。这可确保即使攻击者侥幸地获得 IIS 服务器管理权限,他们也无法访问基础结构服务器等。

只有域级管理员及更高级别的人员才能更改 OU 的成员身份。如果一个 OU 级的 管理员能够从该 OU 删除服务器,则他就能够更改这些服务器上的安全设置。

将策略应用到服务器之后,您的工作还没有算结束。您应当定期检查服务器,以 确保:

将正确的策略应用到服务器。
管理员既未更改策略中的设置,也未降低服务器的安全级别。
所有策略更新或更改都已应用到所有服务器上。
验证 GPO 中的设置是否已经按照预期方式应用到服务器上,这样您就可以确信服务器得到 正确的安全保护。可使用多种方法来检查服务器上的组策略,以便验证该策略的 设置正确无误。

“事件日志”中的事件

如果策略已成功下载,将出现包含以下信息的“事件日志”事件:

类型:信息
来源 ID:SceCli
事件 ID:1704
消息字符串:组策略对象中的安全策略被成功应用

在应用该策略之后,可能要过几分钟后才显示此消息。如果您没有收到成功的事 件日志消息,则需要运行 secedit /refreshpolicy machine_policy /enforce,然后重新启动服务器以强制下载策略。在重新启 动之后再次检查“事件日志”以验证策略是否已成功下载。


——————————————————————————–

注意:如果服务在 GPO 中设置为“禁用”且服务器重新启动了一次,则 在 GPO 中定义的设置生效之前,这些服务通常已经重新启动。再次重新启动服务器将确 保设置为“禁用”的服务不被启动。

使用“本地安全策略”MMC 验证策略
验证策略是否得到成功应用的另一种方法是在本地服务器上检查有效的策略设置 。

验证有效的策略设置
启动本地安全策略 MMC。
在安全设置下,单击本地策略,然后单击安全选项。
在右窗格中,查看有效设置列。
“有效设置”列应当显示在模板中为选定服务器角色配置的设置。

使用命令行工具验证策略

还可使用两种命令行工具来验证策略设置。

Secedit

此工具包括在 Windows 2000 中,它可用于显示模板文件和计算机的策略之间的 区别。若要将某个模板与计算机上的当前策略进行比较,请使用下列命令行:

secedit /analyze /db secedit.sdb /cfg <模板名>


——————————————————————————–

注意:如果在应用本指南附带的模板之后运行上述命令,则将产生“访问 被拒绝”错误。这是应用了其他安全策略而产生的预期错误。生成的日志文件仍 带有分析结果。


——————————————————————————–

Gpresult

Windows 2000 Server Resource Kit(Windows 2000 Server 资源工具包)(Microsoft Press, ISBN: 1-57231-805-8) 包括一个名为 GPResult 的工具,该工具可用于显示当前应用到服务器中的策略。若要获取应用到服务器 中的策略列表,请使用下列命令行:

Gpresult /c


——————————————————————————–

注意:在本章“组策略故障排除”一节中将对 Gpresult 进行详述。


——————————————————————————–

审计组策略

可以审计对组策略进行的更改。审计策略更改可用于跟踪谁正在更改或尝试更改 策略设置。审计策略更改的成功和失败在基准安全模板中是启用的。

 

 

组策略故障排除

即使组策略是自动应用的,服务器上的结果组策略也有可能不是预期策略,这主 要是因为组策略可在多个级别进行配置。本节提供了一些可用于对组策略进行故 障排除的指导。


——————————————————————————–

注意:如果本章未涵盖您遇到的特定组策略问题,一定要查看 Microsoft 知识库文章。与组策略有关的一些重要知识库文章在本章末尾的“详细信息”一 节以及“Troubleshooting Group Policy(组策略故障排除)”白皮书中已详细给出。

资源工具包工具
GPResult 和 GpoTool 是两种 Windows 2000 Server Resource Kit(Windows 2000 Server 资源工具包)工具,它们将有助于您排除组策略问题。


——————————————————————————–

注意:也可从网上下载这些工具,有关详细信息,请参见本章末尾的“详 细信息”一节。


——————————————————————————–

GPResult

此工具提供的列表中包括已应用到一个计算机中的所有 GPO、GPO 源自哪个域控 制器以及上次应用这些 GPO 的日期和时间。

在服务器上运行 GPResult 以确保它具有正确的 GPO 时,使用 /c 开关可以只显 示有关计算机设置的信息。

当 GPResult 与 /c 开关一起使用时,它将提供以下一般信息:

操作系统
类型(Professional、Server、域控制器)
内部版本号和 Service Pack 详细信息
是否安装了终端服务,如果是,则显示它所使用的模式
计算机信息
计算机名和在 Active Directory 中的位置(如果适用的话)
域名和类型(Windows NT 或 Windows 2000)
站点名
带有 /c 开关的 GPResult 还提供有关组策略的以下信息:

上次应用策略的时间以及针对用户和计算机应用策略的域控制器
已应用的组策略对象及其详细信息的完整列表,其中包括每个组策略对象所 包含的扩展的摘要
已应用的注册表设置及其详细信息
被重定向的文件夹及其详细信息
详述已指派和已发布的应用程序的软件管理信息
磁盘配额信息
IP 安全设置
脚本
GpoTool

此命令行工具用于检查域控制器上组策略对象的状况,包括:

检查组策略对象的一致性。此工具读取必需的和可选的目录服务属 性(版本、友好名称、扩展 GUID 和 Windows 2000 系统卷 (SYSVOL) 数据 (Gpt.ini)),比较目录服务和 SYSVOL 版本号,执行其他一致性检查。如果扩展 属性包含 GUID,则功能版本必须为 2,用户/计算机版本必须大于 0。
检查组策略对象复制。它从每个域控制器读取 GPO 实例并对它们 进行比较(选定组策略容器属性与组策略模板进行完全递归比较)。
显示有关特定 GPO 的信息。信息包括不能通过组策略管理单元访 问的属性,如功能版本和扩展 GUID。
浏览 GPO。命令行选项可根据友好名称或 GUID 搜索策略。名称和 GUID 也都支持部分匹配。
首选域控制器。在默认情况下,将使用域中所有可用的域控制器; 这可从命令行中用所提供的域控制器列表进行改写。
提供跨域支持。有一个用于检查不同域中的策略的命令行选项。
在详细模式下运行。如果所有的策略都正常,则该工具显示一条验 证消息;如果有误,则显示有关被损坏策略的信息。某个命令行选项可打开有关 正在处理的每个策略的详细信息。
使用下面的命令行可获取组策略的详细信息以及是否在策略中检测到错误:

GPOTool /gpo:

组策略事件日志错误

一些组策略事件日志错误表示您的环境出现特定问题。下面是两个会阻止组策略 正确应用的错误:

在某个域控制器上,出现警告事件 1202 与错误事件 1000。这通常意味着一 个域控制器已从域控制器 OU 移到另一个未与默认域控制器 GPO 链接的 OU。
当管理员尝试打开某个默认 GPO 时,返回以下错误:
未能打开组策略对象
您可能没有合适的权限。
详细信息:未指定的错误
在事件日志中,出现 1000、1001 和 1004 事件。这是因为 registry.pol 文件 被损坏所致。通过删除 SYSVOL 下的 registry.pol 文件、重新启动然后对服务器进行更改,这些错误将消失。

 

 

总结

Windows 2000 组策略是一种为整个基于 Windows 2000 的环境提供一致设置的非 常有用的方法。为了有效地对它进行部署,您应当了解 GPO 的应用位置、确保所有服务器都接收正确的设置,并对 GPO 本身定义适当的安全 策略。

2005年05月16日


 


错误码 意义
一般  
0×800C0131
0×800C013E
可能是 Folders.dbx 档案属性错误或损坏.
0×800CCC00 身份验证(Authentication)未载入
0×800CCC01 认证(Certificate)内容错误
0×800CCC02 认证日期错误
0×800CCC03 使用者已联机
0×800CCC05  未联机到服务器
0×800CCC0A 邮线下载未完成
0×800CCC0B 服务器忙碌中
0×800CCC0D 找不到主机(检查你的SMTP服务器是不是设错)
0×800CCC0E 联机到服务器失败,无法与主机建立联机。等一段时间再试。或者用ping 等网络命令测试一下看看能否连的通服务器
0×800CCC0F 服务器结束联机(对方服务器负荷过重、网络传输壅塞易造成此现象,可以试着增加你联机逾时的等候时间试试看,或是换一联机品质较佳的 ISP)
0×800CCC10 服务器无法辨认此邮件地址
0×800CCC11 服务器无法辨认的 Mailing list
0×800CCC12  无法传送 Winsock request
0×800CCC13  无法接收 Winsock reply
0×800CCC14 无法起始 Winsock
0×800CCC15 无法开启 Windows Socket
0×800CCC16 无法辨认使用者账号,使用者账号错误
0×800CCC17  使用者中断操作
0×800CCC18 登入失败
(例如:不需要安全密码认证登入,但却设了安全密码认证登入)
0×800CCC19  作业逾时
0×800CCC1A 无法以 SSL 建立联机
Winsock 错误  
0×800CCC40 Network subsystem 无法使用
0×800CCC41  Windows Sockets 不支持此应用程序
0×800CCC43 Bad address.
0×800CCC44 Windows Sockets 无法加载
0×800CCC45 Operation now in progress.. 
SMTP 错误  
0×800CCC60 不合法的回应
0×800CCC61 不明的错误代码
0×800CCC62 收到语法错误
0×800CCC63 语法参数不正确
0×800CCC64 指令不完整
0×800CCC65  不正确的指令序列
0×800CCC66 指令不完整
0×800CCC67  没有这个指令
0×800CCC68 邮件信箱被锁住或忙碌中
0×800CCC69  找不到邮件信箱
0×800CCC6A 处理要求错误
0×800CCC6B  邮件信箱不在此服务器上
0×800CCC6C 已无空间储存邮件
0×800CCC6D 已超过限制的储存容量上限 
0×800CCC6E  不合法的邮件信箱名称
0×800CCC6F Transaction error,出现这讯息,可能是服务器不接受你的邮件,请跟你的 ISP 联络。
0×800CCC78 不明的寄件者,或邮件回复(reply-to)地址不正确
0×800CCC79 收件者被服务器拒绝
Relay Denied:Outlook Express 的 SMTP 设定不正确,请使用提供你联机服务的ISP公司之SMTP服务器来寄信,)
0×800CCC7A 没有指定寄件者
0×800CCC7B 没有指定收件者
POP3 错误  
0×800CCC90 登入邮件服务器发生错误,检查一下你是不是有使用该服务器的权限。或者:不需要安全密码认证登入,但却设了安全密码认证登入
0×800CCC91 使用者名称错误或找不到此使用者
0×800CCC92  账号、密码错误
0×800CCC93 无法解释响应
0×800CCC94  需要指令
0×800CCC95 服务器上已无邮件
0×800CCC96 没有邮件标记为要下载
0×800CCC97  Message ID 超出范围
NNTP 错误  
0×800CCCA0  新闻服务器响应错误,可能你没有拥有可使用该服务器的权限。
0×800CCCA1 读取新闻群组失败
0×800CCCA2 要求服务器邮件清单失败
0×800CCCA3 无法显示清单
0×800CCCA4 无法开启群组
0×800CCCA5  服务器无此群组
0×800CCCA6 邮件不在服务器上
0×800CCCA7 找不到件标题
0×800CCCA8 找不到邮件本文
0×800CCCA9 无法发布到服务器上
0×800CCCAA 无法开启下封邮件
0×800CCCAB 无法显示日期
0×800CCCAC 无法显示标题
0×800CCCAD 无法显示 MIME 标题
0×800CCCAE  使用者名称或密码不正确
RAS 错误  
0×800CCCC2 未安装拨号网络
0×800CCCC3 找不到拨号网络
0×800CCCC4 拨号网络错误
0×800CCCC5  Connectoid 坏或遗失
0×800CCCC6 取得拨号设定时错误
IMAP 错误  
0×800CCCD1  登入失败
0×800CCCD2  Message tagged
0×800CCCD3 Invalid response to request.
0×800CCCD4  语法错误
0×800CCCD5 不是 IMAP 服务器
0×800CCCD6  Buffer 已超过上限
0×800CCCD7 Recovery error
0×800CCCD8  数据不完整
0×800CCCD9 联机被拒
0×800CCCDA 不明的回应
0×800CCCDB User ID 已更改
0×800CCCDC User ID 指令失败
0×800CCCDD Unexpected disconnect
0×800CCCDE Invalid server state
0×800CCCDF  无法认证客户端

2005年04月12日

郁闷了很久,中午和一位职业经理人谈了1个多小时。内容涉及我的工作、职业发展方向、周边环境、人际关系等等。很幸运在危难时刻总有人帮我,交谈使我认识到很多,有了以下的结果。

1。做好目前手中的事情

a。两个网站的维护,搜集整理信息

b。日常系统的维护,制定维护方案并准时完成计划。

目的:稳固目前自己的位置

c。注意积攒资源,拓展人际关系。

2。着手未来,开辟新的发展空间

a。发展以后的项目,赞助、开展活动等

b。开拓新的项目

目的:提升自身能力。

总之,以积极的心态面对工作!

2005年04月11日

http://www.tianyaclub.com/new/Publicforum/Content.asp?idWriter=0&Key=0&strItem=free&idArticle=197019&flag=1

2005年03月30日

 ping命令用于从一个主机向另一个主机发送Internet控制消息协议(ICMP)数据包。ping使用ICMP ECHO-REQUEST 命令传送数据包,并且对每一个传送的数据包期望得到一个ICMP ECHO-REQUEST“ping”这个名字来源于声的探测设备(声纳),这种设备使用一种类似“ping”的声音的声波确定周围区域的目标。 

ping选项

选项
描述

-c count 
要求ping命令连续发送数据包,直到发出并接收到count个请求

-d 为使用的套接字打开调试状态 
-f 是一种快速方式ping。使得ping输出数据包的速度和数据包从远程主机返回一样快,或者更快,达到每秒100次。在这种方式下,每个请求用一个句点表示。对于每一个响应打印一个空格键。 
-i scconds 在两次数据包发送之间间隔一定的秒数。不能同 -f 一起使用。 
-n 只使用数字方式。在一般情况下ping会试图把IP地址转换成主机名。这个选项要求ping打印IP地址而不去查找用符号表示的名字。如果由于某种原因无法使用本地DNS服务器这个选项就很重要了。 
-p pattern 拥护可以通过这个选项标识16 pad字节,把这些字节加入数据包中。当在网络中诊断与数据有关的错误时这个选项就非常有用。 
-q 使ping只在开始和结束时打印一些概要信息。 
-R 把ICMP RECORD-ROUTE选项加入到ECHO_REQUEST数据包中,要求在数据包中记录路由,这样当数据返回时ping就可以把路由信息打印出来。每个数据包只能记录9个路由节点。许多主机忽略或者放弃这个选项。 
-r 使ping命令旁路掉用于发送数据包的正常路由表。 
-s packetsize 使用户能够标识出要发送数据的字节数。缺省是56个字符,再加上8个字节的ICMP数据头,共64个ICMP数据字节。 
-v 使ping处于verbose方式。它要ping命令除了打印ECHO-RESPONSE数据包之外,还打印其它所有返回的ICMP数据包。 

    在缺省情况下,finger命令列出当前每个用户的注册名、全名、,终端名和终端写状态(如果没有写权限,在终端前就会有一个“*”)、空闲时间、注册时间、办公室地点和电话号码(如果有的话)。

finger选项

-b
较短的输出格式

-f 压缩首行的打印(短格式) 
-i 提供用户及空闲时间的快速列表 
-l 强制使用长输出格式 
-p 压缩.plan文件的打印 
-q 提供用户的快速列表 
-s 强制使用短输出格式 
-w 强制使用窄格式列出指定用户 

      netstat命令用于查询与某类信息有关的子系统。打印路由选择表、活动连接、正在使用的流以及其他一些信息。

netstat选项

-A
显示任何关联的协议控制块的地址。主要用于调试

-a 显示所有套接字的状态。在一般情况下不显示与服务器进程相关联的套接字 
-i 显示自动配置接口的状态。那些在系统初始引导后配置的接口状态不在输出之列 
-m 打印网络存储器的使用情况 
-n 打印实际地址,而不是对地址的解释或者显示主机,网络名之类的符号 
-r 打印路由选择表 
-f address -family 对于给出名字的地址簇打印统计数字和控制块信息。到目前为止,唯一支持的地址簇是inet 
-I interface 只打印给出名字的接口状态 
-p protocol-name 只打印给出名字的协议的统计数字和协议控制块信息 
-s 打印每个协议的统计数字 
-t 在输出显示中用时间信息代替队列长度信息。 

netstat命令的列标题


描述

Name
接口的名字

Mtu
接口的最大传输单位

Net/Dest 接口所在的网络 
Address 接口的IP地址 
Ipkts 接收到的数据包数目 
Ierrs 接收到时已损坏的数据包数目 
Opkts 发送的数据包数目 
Oeers 发送时已损坏的数据包数目 
Collisions 由这个接口所记录的网络冲突数目 

TCP套接字解释

状态
意义

CLOSED 没有使用这个套接字 
LISTEN 套接字正在监听入境连接 
SYN_SENT 套接字正在试图主动建立连接 
SYN_RECEIVED 正在处于连接的初始同步状态 
ESTABLISHED 连接已建立 
CLOSE_WAIT 远程套接字已经关闭:正在等待关闭这个套接字 
FIN_WAIT_1 套接字已关闭,正在关闭连接 
CLOSING 套接字已关闭,远程套接字正在关闭,暂时挂起关闭确认 
LAST_ACK 远程套接字已,正在等待本地套接字的关闭确认 
FIN_WAIT_2 套接字已关闭,正在等待远程套接字关闭 
TIME_WAIT 这个套接字已经关闭,正在等待远程套接字的关闭传送 

traceroute/tracert命令

    traceroute/tracert命令用于跟踪数据包到达目标机器的路由,使用IP数据包的time-to-live(TTL)域,在数据包到达远程主机前所经过的每一个网关引发一个ICMP TIME_EXCEEDED响应。

arp命令

    arp命令显示并修改Internet到以太网的地址转换表。这个表一般由地址转换协议(ARP)来维护。当只有一个主机名作为参数时,arp显示这个主机的当前ARP条目。如果这个主机不在当前ARP表中那么ARP就会显示一条说明信息。

选项
描述

-a 列出当前ARP表中的所有条目 
-d host 从ARP表中删除某个主机的对应条目 
-s host address  使用以太网地址在ARP表中为指定的[temp][pub][trail]主机创建一个条目。如果包含关键字[temp]创建的条目就是临时的;否则这个条目就是永久的。[pub]关键字标识这个ARP条目将被公布。使用[trail]关键字表示将使用报尾封装 
-f file 读去一个给定名字的文件,根据文件中的主机名创建ARP表的条目 

这应该是一篇深度反省的文章,反省我几年来的工作经历,借此告诫自己,不要随便跳槽。

我是一个大学没有毕业的学生,很可惜,本科四年却没有学位。后来也终究因为非典的原因而再也没有机会。

还好有地方收留我,给人维护网站和网络,好歹自己稍有些聪明,稀里糊涂混口饭吃。直到有一天外部环境不允许我发展的时候,我选择了第一次跳槽。

那时候真是年轻,新工作的薪水极低。虽然我看到可能的希望,但终究因为单位提供的午饭是自己做的,我觉得有些过于小气,便选择离开。这份工作我只做了3个星期。

后来在一朋友的介绍下,进入广告公司,依然跟网站、网络有关。但很不幸,老板娘总在怀疑我干别的。因为我手快,做东西的时候总要用alt键来回切换。她以为我看见她来的时候就怎么样,把我开了。。。郁闷,我也没有争执,毕竟做的不是很开心。2个月。

这次我找到的工作时间较长,1年多。房地产公司网络部。所有的一切一切都很好。但我还是走了,因为有人可以带我做销售,挣大钱。。。

钱是个好东西,能挣大钱岂不更好。或许真的那么不幸,能挣大钱的公司在我去了7个月之后,发不下薪水。我必须离开了。

世事难料,转了一圈,我回来了,回到当初收留我的那个地方,因为这里已经改变,需要扩充。而我,对这里实在是太熟悉了。。。

可2天前,我居然又想离开,但经过痛苦的抉择之后,我还是留下了。。。

每次换工作都会导致收入减少,另一个可怕的后果是给人一种不稳定的状态,再找工作就难了。

这应该是一篇深度反省的文章,反省我几年来的工作经历,借此告诫自己,不要随便跳槽。

我是一个大学没有毕业的学生,很可惜,本科四年却没有学位。后来也终究因为非典的原因而再也没有机会。

还好有地方收留我,给人维护网站和网络,好歹自己稍有些聪明,稀里糊涂混口饭吃。直到有一天外部环境不允许我发展的时候,我选择了第一次跳槽。

那时候真是年轻,新工作的薪水极低。虽然我看到可能的希望,但终究因为单位提供的午饭是自己做的,我觉得有些过于小气,便选择离开。这份工作我只做了3个星期。

后来在一朋友的介绍下,进入广告公司,依然跟网站、网络有关。但很不幸,老板娘总在怀疑我干别的。因为我手快,做东西的时候总要用alt键来回切换。她以为我看见她来的时候就怎么样,把我开了。。。郁闷,我也没有争执,毕竟做的不是很开心。2个月。

这次我找到的工作时间较长,1年多。房地产公司网络部。所有的一切一切都很好。但我还是走了,因为有人可以带我做销售,挣大钱。。。

钱是个好东西,能挣大钱岂不更好。或许真的那么不幸,能挣大钱的公司在我去了7个月之后,发不下薪水。我必须离开了。

世事难料,转了一圈,我回来了,回到当初收留我的那个地方,因为这里已经改变,需要扩充。而我,对这里实在是太熟悉了。。。

可2天前,我居然又想离开,但经过痛苦的抉择之后,我还是留下了。。。

每次换工作都会导致收入减少,另一个可怕的后果是给人一种不稳定的状态,再找工作就难了。

2005年03月28日

202.96.209.133