2005年10月21日

“开始”——“运行”

"c:\program files\Network Associate\common framework\FrmInst.exe" /remove=agent

2005年10月13日

破解网吧限制

电话区号查询

SUPER CRACK SEARCH ENGINE英文软件注册机查找
查询远程主机的操作系统
IP地址或域名在线追捕
traceroute路由追踪

在线 IP 地址查询

验证邮箱地址的有效性(可能对免费邮箱无效)
跟踪路由
whois查询
DNS扫描

解密加密网页

2005年10月08日

工具: Smokeping (网络延迟监测工具)
网址: http://people.ee.ethz.ch/~oetiker/webtools/smokeping/
类别:开放源码
平台: Linux/BSD/Unix/Windows
简介: Smokeping 延迟监测工具采用 ping 等多种方式监测从网管中心到出口的各条重要线路的延迟情况。利用这一工具可以监测网络的性能是否能满足各种应用的需要。 SmokePing 工作的方式与 MRTG 类似。使用 RRDtool 作为自己登录和图形化后台,整个系统工作效率非常高 ——————————————————————————–
工具: getif ( MIB 浏览器)
网址: http://www.wtcs.org/snmp4tpc/getif.htm

类别:开放源码
平台: /Windows
简介: Getif 是一个 windows 版的 MIB 浏览器。输入某设备的 IP 地址和 snmp 读密码,就可以查看该设备上所有支持的 SNMP MIB 值。

——————————————————————————–
工具: Ethereal (网络协议检测工具)
网址: http://www.ethereal.com/
类别:开放源码
平台: Linux/BSD/Unix/Windows
简介: Ethereal 是一款免费的网络协议分析程序,支持 Unix 、 Windows 。借助这个程序,你既可以直接从网络上抓取数据进行分析,也可以对由其他嗅探器抓取后保存在硬盘上的数据进行分析。你能交互式地浏览抓取到的数据包,查看每一个数据包的摘要和详细信息。 Ethereal 有多种强大的特征,如支持几乎所有的协议、丰富的过滤语言、易于查看 TCP 会话经重构后的数据流等。
——————————————————————————–

工具: Iperf (网络性能测量工具)
网址: http://dast.nlanr.net/Projects/Iperf/
类别:开放源码
平台: Linux/BSD/Unix/Windows
简介: Iperf 是一个 TCP/IP 和 UDP/IP 的性能测量工具,能够提供网络吞吐率信息,以及震动、丢包率、最大段和最大传输单元大小等统计信息;从而能够帮助我们测试网络性能,定位网络瓶颈。其设计从根本上克服了原来的一些工具,如 ttcp 和 nettest 等的固有的缺陷。
——————————————————————————–

工具: Snort (免费的入侵检测系统)
网址: http://www.snort.org/
类别:开放源码
平台: Linux/BSD/Unix/Windows
简介: Snort 是一款轻量级的网络入侵检测系统,能够在 IP 网络上进行实时的流量分析和数据包记录。它不仅能进行协议分析、内容检索、内容匹配,而且能用于侦测诸如缓冲溢出、隐秘端口扫描、 CGI 攻击、 SMB 探测、操作系统指纹识别等大量的攻击或非法探测。 Snort 使用灵活的规则去描述哪些流量应该被收集或被忽略,并且提供一个模块化的探测引擎。
——————————————————————————–
工具: Netcat (网络瑞士军刀)
网址: http://www.atstake.com/research/tools/network_utilities/
类别:开放源码
平台: Linux/BSD/Unix/Windows
简介:一个简单而有用的工具,透过使用 TCP 或 UDP 协议的网络连接去读写数据。它被设计成一个稳定的后门工具,能够直接由其它程序和脚本轻松驱动。同时,它也是一个功能强大的网络调试和探测工具,能够建立你需要的几乎所有类型的网络连接,还有几个很有意思的内置功能。
——————————————————————————–
工具: TCPDump/WinDump (用于网络监测和数据收集的优秀嗅探器)
网址: http://www.tcpdump.org/ http://windump.polito.it/
类别:开放源码
平台: Linux/BSD/Unix/Windows
简介: Tcpdump 是一款众人皆知和受人喜欢的基于命令行的网络数据包分析和嗅探工具。它能把匹配规则的数据包的包头给显示出来。你能使用这个工具去查找网络问题或者去监视网络上的状况。 WinDump 是 Tcpdump 在 Windows 平台上的移植版。
——————————————————————————–
工具: Hping2 (类似 ping 的网络探测工具)
网址: http://www.hping.org/
类别:开放源码
平台: Linux/BSD/Unix
简介: hping2 能发送自定义的 ICMP/UDP/TCP 包到目标地址并且显示包的响应情况。它有一个方便的 traceroute 模式,并且支持 IP 分片。这个工具在 traceroute 、 ping 和探测防火墙后的主机时特别有用。
——————————————————————————–
工具: Firewalk (高级的 traceroute )
网址: http://www.packetfactory.net/projects/firewalk/
类别:开放源码
平台: Linux/BSD/Unix
简介: Firewalk 使用类似 traceroute 的技术来分析 IP 包的响应,从而测定网关的访问控制列表和绘制网络图。 2002 年 10 月,这个一流的工具在原来的基础上进行了重新开发。需要注意到的是, Firewalk 里面的大多数功能也能由 Hping2 的 traceroute 选项来实现。
——————————————————————————–

工具: SolarWinds Toolsets (大量的网络发现、监视、攻击工具)
网址: http://www.solarwinds.net/
类别:商业
平台: Windows
简介: SolarWinds 包含大量适合系统管理员做特殊用途的工具,与安全相关的工具包括许多的网络发现扫描器( network discovery scanner )和一个 SNMP 强力破解器。
——————————————————————————–
工具: NGrep (方便的包匹配和显示工具)
网址: http://www.packetfactory.net/projects/ngrep/
类别:开放源码
平台: Linux/BSD/Unix/Windows
简介: NGrep 在网络层实现了 GNU grep 的大多数功能,基于 pcap ,可以使你通过指定扩展的正则表达式或十六进制表达式去匹配网络上的数据流量。它当前能够识别流经以太网、 PPP 、 SLIP 、 FDDI 、令牌网和回环设备上的 TCP 、 UDP 和 ICMP 数据包,并且和其他常见的嗅探工具(如 tcpdump 和 snoop )一样,理解 bpf 过滤机制。
——————————————————————————–

工具: NTop (网络使用状况监测软件)
网址: http://www.ntop.org/
类别:开放源码
平台: Linux/BSD/Unix/Windows
简介: Ntop 是一款显示网络使用状况的流量监测软件,类似于 UNIX 平台上监视系统进程的 top 命令。在交互模式下, ntop 会将网络的使用状况显示在用户的终端上;在 Web 模式下, ntop 会做为一个 web 服务器,创建包含网络状况的 HTML 网页返回给用户。
——————————————————————————–

工具: Paketto Keiretsu (极端的 TCP/IP )
网址: http://www.doxpara.com/paketto
类别:开放源码
平台: Linux/BSD/Unix
简介: Paketto Keiretsu 是一组使用新式的不常见的策略去操作 TCP/IP 网络的工具集合,开发的最初本意是为了在现有 TCP/IP 架构里去实现一些功能,但现在已经远远超出了最初的本意。包含的工具有: Scanrand ,一个罕见的快速的网络服务和拓朴发现系统; Minewt ,一个 NAT/MAT 路由器; linkcat ,把以太网链路做为标准的输入输出; Paratrace ,不产生新的连接就能追踪网络路径; Phentropy ,使用 OpenQVIS 在三维拓朴空间里能绘制出任意总量的数据源图形。

2005年09月22日

 移动共享,注意权限  

  由于某些需要,有时要把共享文件夹移动位置,拷贝到别的目录下。复制操作虽然很简单,但要将共享文件夹所包含的用户访问权限信息和具体共享文件一起复制过去,这是一般的复制操作做不到的。利用“XCOPY”命令就能很好的解决这个问题。  

  笔者以D盘的CCE共享文件夹为例,将共享文件及其所包含的用户访问权限信息,复制到D盘的CCEB共享文件夹下。在“命令提示符”窗口中的“D:\>”提示符下,运行“xcopy CCE CCEB /O /S”命令后,就可以将CCE共享文件夹和所包含的用户访问权限信息,都复制到CCEB共享文件夹下了。其中“/O”参数表示“复制文件的所有权和 ACL 信息”,“/S”表示“复制目录和子目录”。  

  有备无患,备份ACL  

  如果共享文件夹所包含的ACL信息(用户访问权限)意外丢失,单凭记忆是很难恢复,还有可能造成遗漏,给共享文件夹留下安全隐患。这时用户就可以使用CACLS命令,做好这些共享文件夹的ACL信息备份。  

  以D盘的共享文件夹CCE为例,该共享文件夹中包含着大量的ACL信息,下面就使用CACLS命令对此共享文件夹中的所有ACL信息进行备份。在“命令提示符”窗口中切换到“D:\>”提示符下,运行“cacls d:\ CCE /t > d:\aclsCCE.txt”命令后,就将共享文件夹CCE中所包含的ACL信息都备份到D盘的“aclsCCE.txt”文件中了。当ACL信息意外丢失时,就可以按照备份文件“aclsCCE.txt”中ACL信息,对CCE共享文件夹的访问权限进行重新设置,避免了部分ACL信息的遗漏,保证了共享文件夹的安全性。

2005年07月13日

  • Ever had such an annoying message given by Windows?


      It has many other flavors:

      Cannot delete file: Access is denied
      There has been a sharing violation.
      The source or destination file may be in use.
      The file is in use by another program or user.
      Make sure the disk is not full or write-protected and that the file is not currently in use.




  • Unlocker is the solution!

      1. Simply right click the folder or file and select Unlocker




      2. If the folder or file is locked, a window listing of lockers will appear




      3. Simply select the lockers and click Unlock and you are done!







  • Similar programs and why Unlocker is better

      Of course I only compare here the unlocking features. Process Explorer and Take Control are very good programs featuring much more things than just unlocking folders. The goal of this list is not at all to pretend Unlocker is better but instead to provide a list of all other alternative programs in case you have some difficulties with Unlocker.



    Application Close
    handle
    Kill
    process
    Delete
    index.dat
    No
    reboot
    Many
    handles
    Unload
    32-bit DLL
    Explorer
    Extension
    Command
    Line
    GUI Without
    .Net
    Free
    Unlocker 1.6.5
    by Cedrick Collomb
    ok ok ok ok ok ok ok ok ok ok ok
    Process Explorer
    by Sysinternals
    ok ok no ok no no no no ok ok ok
    WhoLockMe
    by Dr-Hoiby
    no ok no ok ok no ok no ok ok ok
    FreeFile
    by Skrubbeltrang
    no ok no ok ok no no no ok no ok
    Take Control
    by Computers In Motion
    no ok no ok ok no no no ok ok no
    Pocket KillBox
    by Option^Explicit
    no no ok no no no no no ok ok ok
    ForceDel
    by Zoltan Csizmadia
    ok no no ok ok no no ok no ok ok
    Locked Files Wizard / Copylock
    by Noel Danjou
    no no ok no no no ok no ok ok ok
    Advanced Process Manipulation
    by DiamondCS
    no no no ok no ok no no ok ok ok
    DLL Master
    by Tony Shaftel
    no no no ok no no no no ok ok no
    12Ghosts Wash
    by 12ghosts
    no no ok ok no no no ok ok ok no
    czSweep Cookie Boss 1.31
    by Frank Kotasek
    no no ok ok no no no ok ok ok no




  • Donate

      Unlocker is completely free and will always remain free, which means you can use it free of charge for any purposes. If you are satisfied with Unlocker and want to help Unlocker improve or motivate the development of other quality programs, any amount of donation small or large will be welcome and gratefully appreciated.

  • Download the latest version for Windows 2000 and Windows XP – Unlocker is Freeware

    • It has many other flavors:

      Cannot delete file: Access is denied
      There has been a sharing violation.
      The source or destination file may be in use.
      The file is in use by another program or user.
      Make sure the disk is not full or write-protected and that the file is not currently in use.




  • Unlocker is the solution!

      1. Simply right click the folder or file and select Unlocker




      2. If the folder or file is locked, a window listing of lockers will appear




      3. Simply select the lockers and click Unlock and you are done!







  • Similar programs and why Unlocker is better

      Of course I only compare here the unlocking features. Process Explorer and Take Control are very good programs featuring much more things than just unlocking folders. The goal of this list is not at all to pretend Unlocker is better but instead to provide a list of all other alternative programs in case you have some difficulties with Unlocker.



    Application Close
    handle
    Kill
    process
    Delete
    index.dat
    No
    reboot
    Many
    handles
    Unload
    32-bit DLL
    Explorer
    Extension
    Command
    Line
    GUI Without
    .Net
    Free
    Unlocker 1.6.5
    by Cedrick Collomb
    ok ok ok ok ok ok ok ok ok ok ok
    Process Explorer
    by Sysinternals
    ok ok no ok no no no no ok ok ok
    WhoLockMe
    by Dr-Hoiby
    no ok no ok ok no ok no ok ok ok
    FreeFile
    by Skrubbeltrang
    no ok no ok ok no no no ok no ok
    Take Control
    by Computers In Motion
    no ok no ok ok no no no ok ok no
    Pocket KillBox
    by Option^Explicit
    no no ok no no no no no ok ok ok
    ForceDel
    by Zoltan Csizmadia
    ok no no ok ok no no ok no ok ok
    Locked Files Wizard / Copylock
    by Noel Danjou
    no no ok no no no ok no ok ok ok
    Advanced Process Manipulation
    by DiamondCS
    no no no ok no ok no no ok ok ok
    DLL Master
    by Tony Shaftel
    no no no ok no no no no ok ok no
    12Ghosts Wash
    by 12ghosts
    no no ok ok no no no ok ok ok no
    czSweep Cookie Boss 1.31
    by Frank Kotasek
    no no ok ok no no no ok ok ok no




  • Donate

      Unlocker is completely free and will always remain free, which means you can use it free of charge for any purposes. If you are satisfied with Unlocker and want to help Unlocker improve or motivate the development of other quality programs, any amount of donation small or large will be welcome and gratefully appreciated.

  • Download the latest version for Windows 2000 and Windows XP – Unlocker is Freeware
    • 1. Simply right click the folder or file and select Unlocker




      2. If the folder or file is locked, a window listing of lockers will appear




      3. Simply select the lockers and click Unlock and you are done!







  • Similar programs and why Unlocker is better

      Of course I only compare here the unlocking features. Process Explorer and Take Control are very good programs featuring much more things than just unlocking folders. The goal of this list is not at all to pretend Unlocker is better but instead to provide a list of all other alternative programs in case you have some difficulties with Unlocker.



    Application Close
    handle
    Kill
    process
    Delete
    index.dat
    No
    reboot
    Many
    handles
    Unload
    32-bit DLL
    Explorer
    Extension
    Command
    Line
    GUI Without
    .Net
    Free
    Unlocker 1.6.5
    by Cedrick Collomb
    ok ok ok ok ok ok ok ok ok ok ok
    Process Explorer
    by Sysinternals
    ok ok no ok no no no no ok ok ok
    WhoLockMe
    by Dr-Hoiby
    no ok no ok ok no ok no ok ok ok
    FreeFile
    by Skrubbeltrang
    no ok no ok ok no no no ok no ok
    Take Control
    by Computers In Motion
    no ok no ok ok no no no ok ok no
    Pocket KillBox
    by Option^Explicit
    no no ok no no no no no ok ok ok
    ForceDel
    by Zoltan Csizmadia
    ok no no ok ok no no ok no ok ok
    Locked Files Wizard / Copylock
    by Noel Danjou
    no no ok no no no ok no ok ok ok
    Advanced Process Manipulation
    by DiamondCS
    no no no ok no ok no no ok ok ok
    DLL Master
    by Tony Shaftel
    no no no ok no no no no ok ok no
    12Ghosts Wash
    by 12ghosts
    no no ok ok no no no ok ok ok no
    czSweep Cookie Boss 1.31
    by Frank Kotasek
    no no ok ok no no no ok ok ok no




  • Donate

      Unlocker is completely free and will always remain free, which means you can use it free of charge for any purposes. If you are satisfied with Unlocker and want to help Unlocker improve or motivate the development of other quality programs, any amount of donation small or large will be welcome and gratefully appreciated.

  • Download the latest version for Windows 2000 and Windows XP – Unlocker is Freeware
    • Of course I only compare here the unlocking features. Process Explorer and Take Control are very good programs featuring much more things than just unlocking folders. The goal of this list is not at all to pretend Unlocker is better but instead to provide a list of all other alternative programs in case you have some difficulties with Unlocker.



    Application Close
    handle
    Kill
    process
    Delete
    index.dat
    No
    reboot
    Many
    handles
    Unload
    32-bit DLL
    Explorer
    Extension
    Command
    Line
    GUI Without
    .Net
    Free
    Unlocker 1.6.5
    by Cedrick Collomb
    ok ok ok ok ok ok ok ok ok ok ok
    Process Explorer
    by Sysinternals
    ok ok no ok no no no no ok ok ok
    WhoLockMe
    by Dr-Hoiby
    no ok no ok ok no ok no ok ok ok
    FreeFile
    by Skrubbeltrang
    no ok no ok ok no no no ok no ok
    Take Control
    by Computers In Motion
    no ok no ok ok no no no ok ok no
    Pocket KillBox
    by Option^Explicit
    no no ok no no no no no ok ok ok
    ForceDel
    by Zoltan Csizmadia
    ok no no ok ok no no ok no ok ok
    Locked Files Wizard / Copylock
    by Noel Danjou
    no no ok no no no ok no ok ok ok
    Advanced Process Manipulation
    by DiamondCS
    no no no ok no ok no no ok ok ok
    DLL Master
    by Tony Shaftel
    no no no ok no no no no ok ok no
    12Ghosts Wash
    by 12ghosts
    no no ok ok no no no ok ok ok no
    czSweep Cookie Boss 1.31
    by Frank Kotasek
    no no ok ok no no no ok ok ok no




  • Donate

      Unlocker is completely free and will always remain free, which means you can use it free of charge for any purposes. If you are satisfied with Unlocker and want to help Unlocker improve or motivate the development of other quality programs, any amount of donation small or large will be welcome and gratefully appreciated.

  • Download the latest version for Windows 2000 and Windows XP – Unlocker is Freeware
    • Unlocker is completely free and will always remain free, which means you can use it free of charge for any purposes. If you are satisfied with Unlocker and want to help Unlocker improve or motivate the development of other quality programs, any amount of donation small or large will be welcome and gratefully appreciated.

  • Download the latest version for Windows 2000 and Windows XP – Unlocker is Freeware
  • 2005年07月06日


    图1

    没有哪篇文章能把某个软件的所有功能全都讲到,对于DameWare这种功能丰富的管理软件更是如此。本文仅以我对DameWare NT Utilities 4.0.0.1汉化版(以下简称DW)的认识,给大家简要介绍一下。

    一、功能

    ●自动搜索网内所有域控制器、客户机、服务器,并形成结构清晰的树形目录,让人一目了然

    ●集成众多的远程管理功能辅助管理,无需调用远程监控(如图2)


    图2

    ●远程开关机、消息群发,远程注册表、进程控制,远程共享、远程命令…… 你能想到的,它就能做到

    ●远程控制和文件传输,令您身处机房却能运筹于千里之外

    ●主动式远程控制,无须去客户机上安装服务端软件,坐在机房也能轻松实现

    ●丰富的域管理功能,常用的AD管理命令几乎在这里都能找到

    ●全面的远程信息查询,足不出户,就能知道对方软 / 硬件配置

    ●图形界面的ping、tracert,看来打命令的时代越来越远了

    ●完善的打印及导出功能,所有资料均可自由备份

    二、界面

    如图1,DW主要分为三部分,最顶端是菜单栏,包含所有的操作命令;左下部是浏览器栏,用以将搜索到的计算机分类显示;右下部为操作面板,用来进行明细功能的设置与结果显示。一般大部分操作可直接使用鼠标右键菜单运行(如图2) 。由于菜单栏和操作面板与常见软件很相似,所以本文主要介绍浏览器栏的结构。

    1、计算机分类显示

    图3是DW自动搜索到的分类图(大家也可参照图1) 。DW启动后会根据网内每台计算机的操作系统及其运行的服务来判断计算机类型,其含义如下:

    ●域 名:本例为TANGSHAN,所有从属于此域的计算机将被归集在它的下面

    ●域 控:本例为SERVER,它是本域的域控制器

    ●成 员:可添加 / 删除本域内的计算机帐户,此处等效于Win2000中“AD用户与计算机”中对计算机帐户的操作

    ●组 :本域的所有组

    ●用 户:本域的所有用户

    ●服务器:安装服务器版操作系统(如Win2000 Server、WinNT Server等)的计算机列表,包含域控制器

    ●工作站:安装客户机版操作系统(如Win98、Win2000 Professional、WinXP等)的计算机列表

    ●计算机:本域所有计算机,包括域控制器、服务器、工作站


    图3

    2、活动目录显示

    图4是DW自动搜索的活动目录图(大家也可参照图1),在本例中只有一个名为tangshan.com的域,点击展开后,也会出现类似于图2的远程操作选单,当然所有的命令只作用于tangshan.com域的域控制器。而且,它在普通远程命令的基础上还多出了几个作用于活动目录的管理选项。如果试试您就会发现,这里的操作与在DC本机上操作几乎完全一样。要是您打算对站点进行管理,那就用鼠标右击试试吧,非常方便。


    图4

    2005年06月22日

    概述

    概述
    过程:备份 Active Directory 过程:备份 Active Directory
    过程:Active Directory 的非授权还原 过程:Active Directory 的非授权还原
    过程:Active Directory 对象的授权还原 过程:Active Directory 对象的授权还原
    过程:通过重新安全恢复域控制器 过程:通过重新安全恢复域控制器
    过程:为现有域安装域控制器 过程:为现有域安装域控制器
    过程:删除 Active Directory 过程:删除 Active Directory
    过程:重命名域控制器 过程:重命名域控制器
    过程:管理 Active Directory 数据库 过程:管理 Active Directory 数据库
    过程:管理 SYSVOL 过程:管理 SYSVOL
    过程:管理 Windows 时间服务 过程:管理 Windows 时间服务
    任务:配置林的时间源 任务:配置林的时间源
    任务:在计算机,而不是在 PDC 仿真器上配置可靠时间源 任务:在计算机,而不是在 PDC 仿真器上配置可靠时间源
    任务:配置客户端以向特定时间源请求时间 任务:配置客户端以向特定时间源请求时间
    任务:优化轮询间隔 任务:优化轮询间隔
    任务:禁用 Windows 时间服务 任务:禁用 Windows 时间服务
    过程:管理信任 过程:管理信任
    过程:管理站点 过程:管理站点
    任务:添加新站点 任务:添加新站点
    任务:将子网添加至网络 任务:将子网添加至网络
    任务:链接复制站点 任务:链接复制站点
    任务:更改站点链接属性 任务:更改站点链接属性
    任务:将域控制器移至不同的站点 任务:将域控制器移至不同的站点
    任务:删除站点 任务:删除站点
    过程:管理域控制器上的防病毒软件 过程:管理域控制器上的防病毒软件
    过程:添加全局编录 过程:添加全局编录
    过程:从域控制器中删除全局编录 过程:从域控制器中删除全局编录
    过程:确认站点中的全局编录服务器 过程:确认站点中的全局编录服务器
    过程:移动操作主机角色 过程:移动操作主机角色
    步骤:减少 PDC 仿真器的工作量 步骤:减少 PDC 仿真器的工作量
    过程:传输角色持有者 过程:传输角色持有者
    过程:占用操作主机角色 过程:占用操作主机角色
    过程:选择备用操作主机 过程:选择备用操作主机

    http://www.microsoft.com/china/technet/itsolutions/techguide/msm/winsrvmg/adpog/adpog3.mspx

    2005年05月27日

    记住策略的应用顺序。领会总应先针对低版本客户端(Windows 2000以前的版本)运行旧的系统策略(ntconfig.pol)。Windows 2000和更高版本的客户端首先处理“本地”策略,然后处理“站点”、“域”和“OU”策略。记住这个顺序的一种方法是使用首字母缩写:LSD-O。

    最后运行的策略总是优先的。策略是累积的,并且最后运行的策略(通常是OU策略)优先,除非您在顶级策略上使用No Override开关。

    Windows 2000中还有一些第三方工具,它们为您提供“策略结果集(Resultant Set Of Policies,RSOP)”,也就是“有效策略”。由于GPO是累积的,在最终计算不同的权限、组成员关系等内容时,您可能需要准备好有效策略。Full Armor提供了一个名为FAZAM的工具来执行这个功能。在Windows XP和Windows Server 2003中,RSOP功能内建于操作系统的MMC插件和“帮助与支持”屏幕中。

    尽量避免创建过多的策略。与使用每个仅包含很少变化的众多策略相比,使用少数复杂的策略总是更好些。

    尽量避免使用No Override和Block Inheritance选项。

    使用*.ADM文件来创建您自己的基于注册表的自定义策略。ADM文件是在组织中分散注册表设置,以及将基于注册表的自定义管理任务集成到“组策略”技术中的极好途径。有关如何创建和操作ADM文件的详细指南可从以下地址找到:http://www.microsoft.com/Windows2000/techinfo/howitworks/management/rbppaper.asp

    如果您已决定向现有的ADM添加新的策略,您首先要确定它是一台“机器”(HKLM)策略还是一个“用户”(HKCU)策略。

    仔细阅读您希望使用的每个策略的准确描述。策略的标题可能并不总是它真正应用的内容。通读“说明”选项卡有助于弄清楚许多设置。

    记住域控制器的策略默认每隔5分钟刷新一次,而工作站则每隔90分钟刷新一次。这些间隔可通过组策略本身来配置。

    在需要时使用命令行工具来刷新您的策略。Windows 2000使用secedit.exe工具来刷新计算机和用户策略。Windows XP和更新版本使用gpupdate.exe来执行组策略刷新操作。

    在通过慢速WAN链接来应用组策略时要保持谨慎。记住被应用的设置的顺序对每个组件是不同的。例如:

    注册表和安全设置总是要应用的。

    EFS和IP安全设置默认是要应用的。

    应用程序部署、脚本、文件夹重定向和磁盘配额在慢速链接上默认应用。

    记住策略的应用顺序。领会总应先针对低版本客户端(Windows 2000以前的版本)运行旧的系统策略(ntconfig.pol)。Windows 2000和更高版本的客户端首先处理“本地”策略,然后处理“站点”、“域”和“OU”策略。记住这个顺序的一种方法是使用首字母缩写:LSD-O。

    最后运行的策略总是优先的。策略是累积的,并且最后运行的策略(通常是OU策略)优先,除非您在顶级策略上使用No Override开关。

    Windows 2000中还有一些第三方工具,它们为您提供“策略结果集(Resultant Set Of Policies,RSOP)”,也就是“有效策略”。由于GPO是累积的,在最终计算不同的权限、组成员关系等内容时,您可能需要准备好有效策略。Full Armor提供了一个名为FAZAM的工具来执行这个功能。在Windows XP和Windows Server 2003中,RSOP功能内建于操作系统的MMC插件和“帮助与支持”屏幕中。

    尽量避免创建过多的策略。与使用每个仅包含很少变化的众多策略相比,使用少数复杂的策略总是更好些。

    尽量避免使用No Override和Block Inheritance选项。

    使用*.ADM文件来创建您自己的基于注册表的自定义策略。ADM文件是在组织中分散注册表设置,以及将基于注册表的自定义管理任务集成到“组策略”技术中的极好途径。有关如何创建和操作ADM文件的详细指南可从以下地址找到:http://www.microsoft.com/Windows2000/techinfo/howitworks/management/rbppaper.asp

    如果您已决定向现有的ADM添加新的策略,您首先要确定它是一台“机器”(HKLM)策略还是一个“用户”(HKCU)策略。

    仔细阅读您希望使用的每个策略的准确描述。策略的标题可能并不总是它真正应用的内容。通读“说明”选项卡有助于弄清楚许多设置。

    记住域控制器的策略默认每隔5分钟刷新一次,而工作站则每隔90分钟刷新一次。这些间隔可通过组策略本身来配置。

    在需要时使用命令行工具来刷新您的策略。Windows 2000使用secedit.exe工具来刷新计算机和用户策略。Windows XP和更新版本使用gpupdate.exe来执行组策略刷新操作。

    在通过慢速WAN链接来应用组策略时要保持谨慎。记住被应用的设置的顺序对每个组件是不同的。例如:

    注册表和安全设置总是要应用的。

    EFS和IP安全设置默认是要应用的。

    应用程序部署、脚本、文件夹重定向和磁盘配额在慢速链接上默认应用。

    2005年05月13日


    修改数据
           TSQL也提供从数据库插入、修改、删除的命令。


    插入
           INSERT命令用来在表中插入数据,语法如下:
           INSERT [INTO] <table_name> [(column_list)] VALUES (value_list)
           Value_list是和在Column_list中列相应的值。这些值可以是常量、TSQL变量或SQL Server内部函数。值的顺序应和column_list中列的顺序相对应。如果没有定义column_list,则值的顺序应和表中列的顺序对应。
           INSERT的Values_list也可通过SELECT语句或一个存储过程来提供。语法如下:
           INSERT [INTO] <table_name> [(column_list)]
           SELECT <select_list> FROM <table_name>

           INSERT [INTO] <table_name> [(column_list)]
           EXECUTE <procedure_name>
           这里的SELECT语句可包含多种连接。如果使用存储过程,则存储过程应返回能作为column_list的结果。
           时间戳(timestamp,又称时标)值不应被提供。同时,如果列的IDENTITY属性被定义,则这一列的值也不能提供。这些值都由系统产生。如果列有默认值,则它们的值不被提供,而使用默认值。


    修改
           UPDATE语句用来修改行,语法如下:
           UPDATE <table_name> SET <column_name> = <value> [,<column_name> = <value>_n]
           WHERE <search_condition>]
           Serach_condition是要修改的行应满足的条件。没有WHERE子句的UPDATE语句将修改表中的所有行。在UPDATE语句中也可使用连接。


    删除
           DELETE语句用来从表中删除行。语法如下:
           DELETE [FROM] <table_name>
           [WHERE <search_condition>]       Serach_condition是删除行要满足的条件。一个无条件DELETE语句将删除表中的所有行。在DELETE语句中也可使用连接。

    2005年05月12日

    简介

    组策略作为Intellimirror技术套件的组成部分,是Windows 2000引入的重大管理改进功能之一。您可以使用组策略来集中设置本地、域和网络安全选项,定义启动、关闭、登录和注销脚本,在网络上存储用户的文件夹,以及集中管理软件安装(在某种程度上和SMS所做的工作有所区别)。它还包括一套基于注册表的策略设置(450多个设置),您可以根据组织的需要对其进行编辑和添加。

    虽然组策略显然是一个强大的工具,但是其性质决定了它会受到诸如慢速链接或WAN链接这样的问题以及复制中的问题的影响。

    理解组策略的体系结构很关键,不过有许多实用的技巧和工具可以帮助您完成日常维护,以及将您从高级问题和严重问题中“拯救”出来。

    在继续之前,理解组策略如何运作很重要。

    欲阅读关于组策略技术如何运作的更多信息,请参见:

    http://www.microsoft.com/windows2000/techinfo/howitworks/management/grouppolwp.asp


    常见的诊断情景演练

    现在让我们作如下假设:您正在尝试向一台远程机器应用“默认域策略”,但是失败了。客户端仅获得您定义的设置的非常有限的一部分。建议通过如下方式解决这个问题:

    1.

    是哪一个DC对客户端应用了GPO? – 运行Gpresult.exe(可从Windows 2000资源工具包或从http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/gpresult-o.asp获得)。结果将给您提供一些有价值的信息,而在这个特定的演练中,您需要注意该工具所输出的这行信息:“Group Policy was applied from servername.domain.com(从servername.domain.com应用组策略)”。这个信息将告诉您为您的请求提供服务并向您的客户端应用GPO的域控制器的名称(FQDN)。注意:Windows XP中的Gpresult v2.0会显示一些附加信息无法供Windows 2000的gpresult所用。请使用该工具的这一版本来实现更丰富的输出。

    2.

    实际的策略文件存在于DC上吗? – 检查DC上向您的客户端应用GPO的SysVol策略文件夹,并确保您有针对正在诊断的策略的策略文件夹和文件。策略在SysVol文件夹中表示为GUID。确定您正在诊断的策略的GUID的方法有许多种。较容易的方法之一是在“Active Directory用户&计算机”MMC插件中检查“组策略”的属性,并在那里检查策略的GUID。然后转到DC,检查\WINNT\SYSVOL\sysvol\domain.com\Policies\{GUID}下面是否存在您的策略文件。例如在我们的演练中,“默认域策略”GUID是{31B2F340-016D-11D2-945F-00C04FB984F9}。我们应该在这个文件夹中检查\WINNT\SYSVOL\sysvol\yosdom.com\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}以及相应的文件夹和文件是否存在。

    3.

    检验您的组策略文件的“健康情况” – 运行GPOTool.exe(可从Windows 2000资源工具包或从http://www.microsoft.com/windows2000/techinfo/reskit/tools/existing/gpotool-o.asp获得)。一旦您知道策略文件确实存在于应用其的DC上,您就可以检查它们的有效性。GPOTool.exe的输出应该包括一个针对每个策略的“正常”状态。在我们的演练中,您要特别注意观察输出中的这行信息:

    ================================================

    Policy {31B2F340-016D-11D2-945F-00C04FB984F9}

    Policy OK

    ================================================

    这行信息表示您的“默认域策略”文件是“健康的”。

    4.

    打开“复制”事件 – 您可能需要进入DC的注册表来打开“复制”事件,以便开始填充事件查看器,从而获得附加信息并进行诊断。为此,请启动注册表编辑器,然后进入HKLM\System\CurrentControlSet\Services\NTDS\Diagnostics\Replication Events。该值应该为0。请把它改为1来开始将关于复制事件的基本信息填充到事件查看器中。

    5.

    强制复制 – 为了获得正确的事件,您必须强制一个复制序列,这可以通过在“AD站点&服务”MMC插件中右键单击适当的连接对象并选择“立即复制”来实现,或者通过从命令行使用适当的开关来运行RepAdmin.exe工具(由RepAdmin在Windows 2000支持工具包提供,该工具包可以从Windows 2000 CD上\SUPPORT\TOOLS文件夹进行安装)来实现。

    6.

    检查您的订阅信息 – 使用NTFRSUtl.exe来检查订阅信息。如果没有发现相关的错误,或者您发现了一些信息,但是希望继续执行故障诊断,您可以使用NTFRSUtl.exe DSServername(其中Servername是DC的名称)来检查您的复制订阅信息。

    7.

    检查NTFRS数据库文件 – FRS数据库文件位于winnt\ntfrs\jet\ntfrs.jdb下面。检查这个文件是否存在。如果不存在,或者您认为它可能有缺陷,则将其重命名。在下一次服务重启时,FRS服务应该会重新创建这个文件。


    技巧与工具

    下面是您在执行组策略故障诊断操作时应该知道的技巧和工具的列表:

    记住策略的应用顺序。领会总应先针对低版本客户端(Windows 2000以前的版本)运行旧的系统策略(ntconfig.pol)。Windows 2000和更高版本的客户端首先处理“本地”策略,然后处理“站点”、“域”和“OU”策略。记住这个顺序的一种方法是使用首字母缩写:LSD-O。

    最后运行的策略总是优先的。策略是累积的,并且最后运行的策略(通常是OU策略)优先,除非您在顶级策略上使用No Override开关。

    Windows 2000中还有一些第三方工具,它们为您提供“策略结果集(Resultant Set Of Policies,RSOP)”,也就是“有效策略”。由于GPO是累积的,在最终计算不同的权限、组成员关系等内容时,您可能需要准备好有效策略。Full Armor提供了一个名为FAZAM的工具来执行这个功能。在Windows XP和Windows Server 2003中,RSOP功能内建于操作系统的MMC插件和“帮助与支持”屏幕中。

    尽量避免创建过多的策略。与使用每个仅包含很少变化的众多策略相比,使用少数复杂的策略总是更好些。

    尽量避免使用No Override和Block Inheritance选项。

    使用*.ADM文件来创建您自己的基于注册表的自定义策略。ADM文件是在组织中分散注册表设置,以及将基于注册表的自定义管理任务集成到“组策略”技术中的极好途径。有关如何创建和操作ADM文件的详细指南可从以下地址找到:http://www.microsoft.com/Windows2000/techinfo/howitworks/management/rbppaper.asp

    如果您已决定向现有的ADM添加新的策略,您首先要确定它是一台“机器”(HKLM)策略还是一个“用户”(HKCU)策略。

    仔细阅读您希望使用的每个策略的准确描述。策略的标题可能并不总是它真正应用的内容。通读“说明”选项卡有助于弄清楚许多设置。

    记住域控制器的策略默认每隔5分钟刷新一次,而工作站则每隔90分钟刷新一次。这些间隔可通过组策略本身来配置。

    在需要时使用命令行工具来刷新您的策略。Windows 2000使用secedit.exe工具来刷新计算机和用户策略。Windows XP和更新版本使用gpupdate.exe来执行组策略刷新操作。

    在通过慢速WAN链接来应用组策略时要保持谨慎。记住被应用的设置的顺序对每个组件是不同的。例如:

    注册表和安全设置总是要应用的。

    EFS和IP安全设置默认是要应用的。

    应用程序部署、脚本、文件夹重定向和磁盘配额在慢速链接上默认应用。