97久久伊人精品影院_ 活動(dòng)目錄域故障解決實(shí)例(下)

活動(dòng)目錄域故障解決實(shí)例(下)

2008-09-10 22:22:35

標簽：AD 故障　　　[推送到技術(shù)圈]

出處：5DMail.Net收集整理作者：5DMail.Net

Q16、正常卸載AD時(shí)的常見(jiàn)問(wèn)題

在實(shí)際工作中有時(shí)我們需要改變服務(wù)器角色，或者將實(shí)驗中安裝的DC回復到普通成員/獨立服務(wù)器身份，這就要進(jìn)行AD的卸載。

1、卸載時(shí)會(huì )提示給新的本地管理員設置密碼

2、附加DC卸載后，仍在域中。

3、如果AD不能卸載，應從以下幾方面考慮：

（1）網(wǎng)卡是否正常工作

即使你整個(gè)林中只有一臺計算機，也要保證網(wǎng)卡正常工作，才能將AD卸載。網(wǎng)卡不工作或禁用網(wǎng)卡都會(huì )導致AD無(wú)法卸載，提示“卸載SYSVOL文件夾出錯”

（2）權限

權限要求與安裝AD時(shí)類(lèi)似，若一個(gè)林中只有一個(gè)域，那么你要卸載的就是林根域，需要林管理員（Enterprise Admins）權限；卸載附加DC需要該域的域管理員（Domain Admins）權限；卸載子域或樹(shù)，涉及到林結構的改變，也需要林管理員權限。

（3）DNS

一般應保證與安裝時(shí)所用DNS一致。如果做了DNS規劃，必須保證1中權限所要求的管理員身份能通過(guò)DNS找到相應DC，進(jìn)行驗證。

（4）域命名主控

卸載時(shí)只要涉及到林結構的改變，就需要保證域命名主控有效；卸載附加DC時(shí)不要求域命名主控有效。

但要注意的是：卸載時(shí)，域命名主控失效的出錯信息與安裝時(shí)的“AD無(wú)法與域命名主機xxx聯(lián)系”提示不同，具體是：由于以下原因，操作失敗。以提供的憑據綁定到服務(wù)器xxx失敗。“RPC服務(wù)器不可用”。

（5）卸載的順序

與安裝順序相反，應該先逐級卸載下面的子域，最后卸載樹(shù)根域、林根域。否則將導致子域無(wú)法卸載，而存在的子域還有問(wèn)題，找不到林根域、樹(shù)根域了。

因為這時(shí)極有可能架構和域命名主控及GC未轉移，林管理員組和架構管理員組（Schema Admins）已經(jīng)隨林根域的刪除而沒(méi)有了。為什么這么說(shuō)呢？因為如果管理員考慮到主控及GC等的轉移問(wèn)題，也就不會(huì )誤刪除林根域了。

Q17、AD無(wú)法正常卸載，或者說(shuō)DC無(wú)法正常降級為成員服務(wù)器？

1、Dcpromo /forceremoval強制卸載AD

2、重設目錄恢復模式下的管理員密碼：

2000：winnt\system32\setpwd.exe

03：使用ntdsutil實(shí)用工具，set dsrm password

如果按照上例的要求，還是無(wú)法正常卸載AD，且出錯提示未提到DNS方面的故障?？紤]本機上已安裝有的應用程序，你還不想重做系統，可考慮使用如下辦法。

1、開(kāi)始/運行，在命令行中輸入regedit或regedt32打開(kāi)注冊表編輯器。

2、找到以下的鍵值：

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options

鍵值：ProductType 類(lèi)型：REG_SZ

3、將原來(lái)的值“LanmanNT”改為“ServerNT”。

說(shuō)明：

（1）LanmanNT表示本機為域控制器DC，ServerNT表示本機為非DC。

（2）只有當CurrentControlSet1和CurrentControlSet下的鍵值：ProductType 所等于的數據不同時(shí)，即一個(gè)為ServerNT，一個(gè)為L(cháng)anmanNT才允許修改。否則將會(huì )出如下提示：

¨ 對于2000：“系統已檢測到干預您的注冊產(chǎn)品類(lèi)型，這是您對軟件許可證的侵犯。干預產(chǎn)品類(lèi)型是不允許的。”

¨ 對于03：“系統檢測到您的注冊的產(chǎn)品類(lèi)型有篡改現象。這是對軟件許可證的侵犯。篡改產(chǎn)品類(lèi)型是不允許的。”

（3）教學(xué)實(shí)踐中可以利用ntdsutil將子域的server對象（實(shí)質(zhì)指DC）手動(dòng)刪除，然后運行dcpromo降級，降級失敗后演示此知識點(diǎn)。

接下來(lái)，方法一：

1、重新啟動(dòng)計算機，按F8鍵進(jìn)入到“目錄服務(wù)恢復模式”。

說(shuō)明：

（1）在此模式下，AD不工作，以便對AD庫文件及系統卷sysvol進(jìn)行操作。

（2）登錄的口令不同于平時(shí)所用的口令，是在安裝AD時(shí)，所設的目錄恢復模式下的口令。保存在本機一個(gè)SAM庫文件中。

2、刪除存放活動(dòng)目錄數據庫的文件夾，默認為C:\WinNT\NTDS，或C:\Windows\NTDS。

3、刪除存放系統卷的文件夾，默認為C:\WinNT\SYSVOL，或C:\Windows\SYSVOL

4、重新啟動(dòng)計算機。

5、由于還有一些作為域控制器的注冊表鍵值和文件存在，所以在重新啟動(dòng)完計算機后，還需要使用dcpromo命令來(lái)升級計算機B到一個(gè)臨時(shí)的域的域控制器（域名可以任意填寫(xiě)），然后再用dcpromo命令降級，這樣才會(huì )完整地刪除所有和域控制器相關(guān)的注冊表鍵值和文件。

方法二

1、開(kāi)始/運行，在命令行中輸入dcpromo

2、由于前面已經(jīng)修改了注冊表，此時(shí)為AD安裝界面，而非卸載界面。

3、會(huì )遇到如下出錯提示：“由于網(wǎng)絡(luò )上名稱(chēng)沖突，選定默認的NetBIOS域名‘xxx’”。

說(shuō)明：xxx為你修改注冊表前原來(lái)域的NetBIOS名稱(chēng)。

4、不必介意出錯提示，手動(dòng)設置你想要的名稱(chēng)。比如你此次的域為abc.com，則手動(dòng)設xxx改為ABC即可。

5、再接下來(lái)會(huì )遇到提示：“c:\winnt\ntds文件夾不是空的，當升級處理開(kāi)始時(shí)，要刪除文件夾中所有的文件嗎？（如果不，請指定另一個(gè)文件夾。）”

6、選擇：是

說(shuō)明：

（1）在選擇系統卷的夾，如c:\winnnt\sysvol后，時(shí)間可能會(huì )比較長(cháng)，請耐心等待。

（2）和正常安裝時(shí)一樣，可能會(huì )碰到DNS錯誤提示，一般選擇在本機安裝DNS即可。

（3）也可能會(huì )出現“計算機已脫離域，賬號未被禁用”的提示，不必理會(huì )。

（4）最重要的一點(diǎn)是：這第一次非?？赡懿怀晒?，再重來(lái)一遍dcpromo即可。

7、如果這次安裝是為了清除殘余的注冊表鍵值和垃圾文件，可再次運行dcpromo進(jìn)行卸載。當然直接使用這臺DC，也是可以的。

最后強調一下，此方法并不是萬(wàn)能的。一是前面我們已經(jīng)提到的，有時(shí)注冊表不允許修改或者改完了存不上。再有就是如果在卸載的一開(kāi)始，就出現有關(guān)DNS的出錯信息，必須首先排除DNS故障才行。

Q18、如何清理AD數據庫中的垃圾對象。

如果我們非正常卸載AD子域、DC等，就會(huì )在A(yíng)D元數據庫中留下垃圾。比如上面的例子，又比如未經(jīng)AD卸載就把DC計算機的系統重做了。這些垃圾對象一般來(lái)講無(wú)礙大局，但如果我們想優(yōu)化AD的性能，不想給用戶(hù)帶來(lái)不必要的麻煩（比如用戶(hù)選擇登錄到已經(jīng)不存在的子域），就可以利用ntdsutil工具進(jìn)行元數據庫清理（metadata cleanup），來(lái)刪除垃圾對象。具體操作如下：

1、開(kāi)始/運行：cmd，在命令行下鍵入 ntdsutil。

說(shuō)明：

（1）直接，開(kāi)始/運行：ntdsutil，也可以。

（2）進(jìn)行元數據庫清理，不要進(jìn)到目錄恢復模式下。

（3）進(jìn)行元數據庫清理，可以在非DC的2000/XP/03計算機上進(jìn)行。但有些操作（如使用ntdsutil工具進(jìn)行授權恢復、整理移動(dòng)AD庫文件）必須在DC上進(jìn)行。

（4）在ntdsutil的每級菜單下都可以通過(guò)鍵入：？或HELP，查看本級菜單下可用的命令。

2、在 ntdsutil: 提示符下，鍵入 metadata cleanup ，然后按 ENTER。

說(shuō)明：ntdsutil是個(gè)分層的多級命令行工具，用戶(hù)在鍵入名字時(shí)，可簡(jiǎn)寫(xiě)，只要不同于本級命令中的其它命令即可。比如上面的命令metadata cleanup可簡(jiǎn)寫(xiě)為m c。

3、在 metadata cleanup: 提示符下，鍵入 connections ，然后按 ENTER。

4、在 server connections: 提示符下，鍵入 connect to server servername，然后按 ENTER。

說(shuō)明：

（1）其中 servername 是指域控制器的DNS名稱(chēng)，用主機名或FQDN均可。注意：雖然聯(lián)機說(shuō)明中提到了可以用IP去連，但實(shí)際上發(fā)現用IP去連接，會(huì )出現參數不正確的出錯提示。

（2）在這里要連接的DC，應是一個(gè)正常工作的、可操作的DC，而不是你要清理的那個(gè)DC對象。

5、鍵入 quit ，然后按 ENTER 回到 metadata cleanup: 提示符。

6、鍵入 select operation target ，然后按 ENTER。

7、鍵入 list domains ，然后按 ENTER。

說(shuō)明：此操作將列出林中的所有域，每一域附帶與其相關(guān)聯(lián)的一個(gè)數字。

8、鍵入 select domain number，然后按 ENTER。

說(shuō)明：其中 number 是與故障服務(wù)器所在的域相關(guān)的數字。

9、鍵入 list sites ，然后按 ENTER。

10、鍵入 select site number，然后按 ENTER。

說(shuō)明：其中 number 是指域控制器所屬的站點(diǎn)號碼。

11、鍵入 list servers in site ，然后按 ENTER。

說(shuō)明：這將列出站點(diǎn)上所有服務(wù)器，每一服務(wù)器附帶一個(gè)相關(guān)的數字。

12、鍵入 select server number，然后按 ENTER 。

說(shuō)明：其中 number 是指要刪除的域控制器。

13、鍵入 quit ，然后按 ENTER，退回到Metadata cleanup 菜單。

接下來(lái)，根據需要，刪除相應的垃圾對象：

14、鍵入 remove selected server ，然后按 ENTER。

此時(shí)，Active Directory 確認域控制器已成功刪除。若收到無(wú)法找到對象的錯誤報告，Active Directory 可能已刪除了域控制器。

15、或者鍵入 remove selected domain，然后按 ENTER。

說(shuō)明：要想刪除域，必須得先刪除這個(gè)域的server對象（實(shí)質(zhì)是DC）才行。

16、鍵入 quit 然后按 ENTER 直至回到命令符。

如果清理的是Server對象，還需要：1、到Active Directory 站點(diǎn)和服務(wù)上，展開(kāi)適當站點(diǎn)，刪除相應Server對象。2、到Active Directory 用戶(hù)和計算機上，雙擊打開(kāi)Domain Controllers這個(gè)OU，刪除相應的DC對象。

如果清理的是Domain對象，還需要到Active Directory域和信任關(guān)系上，刪除相應的已經(jīng)沒(méi)有用的信任關(guān)系。否則該域名還會(huì )出現在登錄的域列表。

在實(shí)際操作中，必須先做元數據清理，然后再到相應的管理工具中刪除相應的對象。若是直接到管理工具中去刪，系統將不允許刪除。

Q19、欲替換域中唯一的一臺DC，如何傳送五種主控和轉移GC。

一、傳送五種主控

操作：

1、安裝第二臺DC（假設為DC2，原來(lái)的為DC1），

2、到相應的管理工具（具體見(jiàn)前）下，右鍵連接到域控制器：DC2，

3、右鍵/操作主機/相應標簽下，點(diǎn)擊更改即可。

說(shuō)明：

1、其實(shí)在圖形界面下，操作很簡(jiǎn)單，關(guān)鍵看能不能成功。

2、目標都在下面，只有架構的特殊，目標在上面。

3、如果DC都是最近安裝的，極易成功。如果是運行了一段時(shí)間的，就不好說(shuō)了。但我估計你的成功率應在九成以上，因為一般網(wǎng)管都不太動(dòng)這個(gè)。

4、傳送結構主控時(shí)，若目標已是GC，會(huì )提示出錯?？梢圆焕頃?huì )，繼續。因為結構主控負責：更新外部對象的索引（組成員資格），不應該和GC在同一個(gè)DC上，應手動(dòng)移走，否則將不起作用。而單域不需要基礎結構主控非得有效，我們一般平常用的都是單域，默認基礎結構主控就和GC在一起，不起作用。

5、若傳送不成功，不要著(zhù)急，等5分鐘~2小時(shí)不等，你什么都沒(méi)做，再試可能就成功了?？梢岳肁D站點(diǎn)和服務(wù)/站點(diǎn)/默認的第一個(gè)站點(diǎn)名 /SERVER/DC/ntds setting/AD連接/右鍵/立即復制副本，來(lái)強制AD馬上復制。但有時(shí)候，僅依賴(lài)于此，還是不行，還得等。

6、至于把老DC從AD中去除，在開(kāi)始/運行/DCPROMO，卸載AD。不要選“這是域中最后一臺DC”，若能成功卸載，就一切OK了。如不成功，可以直接把原DC廢掉重裝。AD中會(huì )有原DC的垃圾對象，也不影響什么。若非要清干凈，參見(jiàn)前例。

7、如果原角色DC已經(jīng)無(wú)法訪(fǎng)問(wèn)，就只能進(jìn)行強制傳送了，也就是查封（seize）。查封的實(shí)質(zhì)就是強行推出新的主控，會(huì )有數據的丟失。在圖形界面下會(huì )有提示：原主控無(wú)法聯(lián)系，是否強行傳送。選擇“是”，進(jìn)行的就是查封操作。

8、利用ntdsutil工具roles下transfer命令和seize命令也可以實(shí)現上述操作。實(shí)驗中發(fā)現，無(wú)論是用transfer還是seize，關(guān)鍵看是否能連接到原主控。連接下情況，就是傳送；不連接情況下就是查封。如：在連接情況下，使用查封（seize）命令，操作的結果仍是傳送：原主控不再是主控，目標成為新的主控。

二、轉移GC

GC不具有唯一性，可在A(yíng)D站點(diǎn)和服務(wù)中，將DC2設為GC。操作如下：

1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右鍵/屬性。

2、選中“全局編錄”。

3、你會(huì )看到在選項下面的說(shuō)明：發(fā)布全局目錄所需要的時(shí)間取決您使用的復制拓撲。

說(shuō)明：不要急于把DC1斷開(kāi)，應等待足夠長(cháng)的時(shí)間，局域網(wǎng)環(huán)境一般也就是幾分鐘。是否將GC的內容成功傳送，可在DC2上查看注冊表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters下是否有這樣一條：Global Catalog Promotion Complete=1。若未傳送完，沒(méi)有這一條。

Q20、如何進(jìn)行AD的備份與恢復

最好的辦法是作為系統狀態(tài)數據的一部分，利用2000/03自帶的備份工具來(lái)進(jìn)行備份/恢復。備份工具位于：開(kāi)始/程序/附件/系統工具下。利用備份/恢復系統狀態(tài)數據，可以恢復之前的域用戶(hù)帳戶(hù)數據和DNS，以及安全設置、組策略設置、還有配置等等。但DHCP、WINS等需要單獨備份。

說(shuō)明：

1、 DNS區域必須為AD集成區域，如果不是，在備份之前，將標準主區域轉成AD集成區域即可。因為AD集成的意思就是：將DNS區域信息，作為AD的一部分進(jìn)行存儲、復制。

2、管理工具下有關(guān)AD和域的管理工具的快捷方式不會(huì )被恢復(03仍未解決這個(gè)問(wèn)題），可以運行2000S光盤(pán)I386\adminpak.msi，將所有的域管理工具追加上。也可手動(dòng)開(kāi)始/運行/MMC，添加相應的管理工具，如DNS、AD用戶(hù)和計算機等。

3、重裝的2000/03系統，不必安裝AD，直接恢復就行。開(kāi)機，F8，目錄恢復模式，恢復大約需要4-5分鐘。（實(shí)際當中我也試了，新裝的系統，沒(méi)有安裝 AD，在正常啟動(dòng)模式下恢復也可以，因為它根本沒(méi)有AD，不涉及到AD正在工作，不允許替換的問(wèn)題，只不過(guò)時(shí)間會(huì )稍長(cháng)一些，約7-8分鐘）

4、 2000下利用備份工具恢復系統狀態(tài)數據時(shí)，需要手動(dòng)將“如果文件已存在：不替換”改為“如果文件已存在，總是替換”。

具體操作：工具/選項/還原：選擇“無(wú)條件替換本地上的文件”。否則2000在恢復時(shí)，可能不會(huì )把winnt\sysvol\sysvol（里面是組策略具體的設置值，被稱(chēng)為GPT）給恢復回來(lái)。03DC上沒(méi)有這個(gè)問(wèn)題，系統會(huì )自動(dòng)提示是否替換，選擇“是”即可。

5、具體備份/恢復的步驟，參考下例。

Q21、如何進(jìn)行授權恢復

首先我們通過(guò)一個(gè)例子，來(lái)說(shuō)明一下什么是授權恢復。

設域內有不止一臺DC，管理員誤刪除了一個(gè)OU，然后用以前的AD備份進(jìn)行了恢復操作。如果不做什么特別的設置（即授權恢復），當DC間進(jìn)行AD同步時(shí)，由被恢復的數據是以前的，AD的版本號低，將被其它DC的高版本內容所覆蓋。這樣剛被恢復的OU就又被刪掉了。

所以我們需要手動(dòng)通過(guò)ntdsutil工具指定對這個(gè)OU對象進(jìn)行授權恢復，系統將按距備份時(shí)間每隔一天100000的標準來(lái)增加其AD版本號，確保一定高于其它DC上的版本號。

具體操作如下：

1、重啟DC，按F8，選擇目錄恢復模式

2、用目錄恢復模式下的管理員SAM賬號登錄

3、開(kāi)始/程序/附件/系統工具/備份，在恢復標簽下進(jìn)行“系統狀態(tài)數據”的恢復

4、若此時(shí)重新啟動(dòng)DC，則以上為正?；謴?，即非授權恢復。

若要進(jìn)行授權恢復，則此時(shí)一定不要重啟DC

4、開(kāi)始/運行：ntdsutil

5、鍵入authoritative restore，到授權恢復提示符

6、鍵入restore subtree 對象DN（也可以是子樹(shù)，甚至是整個(gè)AD）

7、退出Ntdsutil

8、重新正常啟動(dòng)DC。

說(shuō)明：若要進(jìn)行系統卷SYSVOL（主要是組策略設置）的授權恢復，即將組策略恢復到以前的狀態(tài)，但AD庫要保留當前。不必使用Ntdsutil，直接將AD庫恢復到其它位置即可，這是因為系統狀態(tài)數據在備份/恢復時(shí)，不能進(jìn)行細化的選擇。

Q22、如何移動(dòng)、整理AD數據庫？

一、移動(dòng)AD數據庫

將 Ntds.dit 數據文件移動(dòng)到指定的新目錄中并更新注冊表，使得在系統重新啟動(dòng)時(shí)，目錄服務(wù)使用新的位置。系統為了安全起見(jiàn)，并不刪除原來(lái)的數據庫。具體操作如下：

1、為了以防萬(wàn)一，最好備份AD。

2、重啟DC，按F8，選擇目錄恢復模式

3、用目錄恢復模式下的管理員SAM賬號登錄

4、開(kāi)始/運行：ntdsutil

5、輸入files，切換到文件提示符files>下

6、輸入 move DB to c:\ folder

7、移動(dòng)Ntds.dit成功提示。

8、輸入quit二次，退出

9、重新正常啟動(dòng)DC

二、整理AD數據庫

將調用 Esentutl.exe 以壓縮現有的AD庫文件，并將壓縮后的AD庫文件寫(xiě)入到指定文件夾中。壓縮完成之后，將保留原來(lái)的AD庫文件，將新的壓縮后的AD庫文件保存到到該文件的原來(lái)位置。

另外順便說(shuō)明一下，ESENT也支持聯(lián)機壓縮，目錄服務(wù)定期（默認12小時(shí)）調用聯(lián)機壓縮，但聯(lián)機壓縮只是重新安排數據文件內的頁(yè)面，并不能象手動(dòng)壓縮這樣：將空間釋放回文件系統。

整理AD數據庫具體步驟如下：

1-5步，與前面相同。

6、輸入compact to c:\folder

7、顯示整理碎片，直至完成。

8、輸入quit，退出。

9、對于2000需要：復制新的NTDS.DIT文件覆蓋舊的NTDS.DIT文件

10、重新正常啟動(dòng)DC2-3-4組策略應用相關(guān)實(shí)例

關(guān)于組策略應用的實(shí)例，那真是三天三夜也說(shuō)不完，因為總共有600+200多條策略。在此僅舉幾例，來(lái)說(shuō)明問(wèn)題。有的比較簡(jiǎn)單，有的稍微復雜一些，我們會(huì )展開(kāi)來(lái)討論一下。需要強調的是，作為管理員平時(shí)要多看看組策略中具體都有哪些設置，當然誰(shuí)也不可能逐條去實(shí)踐去測試，但要大概有個(gè)印象。當有某種需求時(shí)，你才會(huì )想起某條組策略設置來(lái)，根據印象找到那條策略，先看說(shuō)明標簽，再具體實(shí)踐，逐步積累。

前面我們講過(guò)安全策略是組策略的子集（一部分），我們會(huì )首先討論和安全策略相關(guān)的實(shí)例，然后才是其它的策略。

Q1、普通域用戶(hù)無(wú)法在DC上登錄？

為了保護域控制器，默認能在DC上登錄的用戶(hù)只有：Administrators、Account operators、Backup operators、Server operators、Print operators這些特定的管理組。要想使普通域用戶(hù)有權在DC上登錄，可以將其加入到這些組中。

但更多時(shí)候，我們不想讓用戶(hù)有過(guò)多的權利權限，也可以在開(kāi)始/程序/管理工具/域控制器的安全策略/本地策略/用戶(hù)權利分配/允許在本地登錄下通過(guò)添加，指派其在DC上登錄的權利即可。

Q2、在03域中添加用戶(hù)時(shí)，總是提示我不符合密碼策略，怎么辦？

對于03，默認域的安全策略與2000域不同。要求域用戶(hù)的口令必須符合復雜性要求，且密碼最小長(cháng)度為7?？诹畹膹碗s性包括三條：一是大寫(xiě)字母、小寫(xiě)字母、數字、符號四種中必須有3種，二是密碼最小長(cháng)度為6，三是口令中不得包括全部或部分用戶(hù)名。

我們可以設置復雜一些的密碼，也可以重新設默認域的安全策略來(lái)解決。操作如下：

開(kāi)始/程序/管理工具/域安全策略/帳戶(hù)策略/密碼策略：

¨ 密碼必須符合復雜性要求：由“已啟用”改為“已禁用”；

¨ 密碼長(cháng)度最小值：由“7個(gè)字符”改為“0個(gè)字符”。

欲策略設置馬上生效，可利用gpupdate進(jìn)行刷新。（具體見(jiàn)前）

如果添加的是本地用戶(hù)，解決辦法與此相同，只不過(guò)修改的是本地安全策略。

Q3、在2000/03域中，前網(wǎng)管設置了一個(gè)開(kāi)機登陸時(shí)的提示頁(yè)面，已過(guò)時(shí)，現想取消，如何操作？

登錄到本機時(shí)出現，則在管理工具/本地安全策略，或開(kāi)始/運行：gpedit.msc中配置。若是登錄到域時(shí)出現，則在管理工具/域的安全策略，或AD用戶(hù)和計算機/屬性/組策略中配置。具體會(huì )涉及到：安全設置/本地策略/安全選項下的這兩條，

¨ 交互式登錄：用戶(hù)試圖登錄時(shí)消息標題

¨ 交互式登錄：用戶(hù)試圖登錄時(shí)消息文字

Q4、如何設置不讓用戶(hù)修改計算機的配置（如TCP/IP等）？

可以利用本地策略或基于域的組策略鎖定，具體操作：

1、本地：開(kāi)始/運行：gpedit.msc?；?div style="height:15px;">

2、域：開(kāi)始/程序/管理工具/AD用戶(hù)和計算機/域名上/右鍵/屬性/組策略/默認域的組策略

3、在用戶(hù)配置/管理模板/網(wǎng)絡(luò )/網(wǎng)絡(luò )及撥號連接：禁止訪(fǎng)問(wèn)LAN連接的屬性。

說(shuō)明：

1、若利用本地策略實(shí)現，本地管理員，可以重新設置策略解開(kāi)。

2、若利用域策略實(shí)現，只是域用戶(hù)受此限制。本地管理員，不受此限制。

所以應該不給用戶(hù)本地管理員口令，讓用戶(hù)以非本地管理員/域用戶(hù)身份登錄。為了保證用戶(hù)能安裝軟件或做其它管理工作，可將其加入本地的Power Users組。

Q5、非管理員用戶(hù)無(wú)法登錄到終端服務(wù)器？

欲使用戶(hù)能利用“終端服務(wù)客戶(hù)端軟件”或“遠程桌面”登錄到2000/03 Server，對于2000S需要在服務(wù)器上安裝終端服務(wù)，對于03S只需在我的電腦/右鍵/屬性/遠程/遠程桌面下，選中“允許用戶(hù)遠程連接到這臺計算機”即可。對于管理員默認即可通過(guò)TS登錄進(jìn)來(lái)。

非管理員用戶(hù)通過(guò)終端服務(wù)無(wú)法登錄，除了網(wǎng)絡(luò )連接方面的問(wèn)題以外，主要有以下五個(gè)方面的原因：

1、終端服務(wù)器同時(shí)是DC，而普通用戶(hù)無(wú)權在DC上登錄。

解決辦法：具體見(jiàn)前。

2、安全策略/本地策略/用戶(hù)權利分配：通過(guò)終端服務(wù)允許登錄。

這是03特有的，2000沒(méi)有這條安全策略。解決辦法，

方法一、在我的電腦/右鍵/屬性/遠程/遠程桌面下，選中“允許用戶(hù)遠程連接到這臺計算機”選項后，單擊“選擇遠程用戶(hù)”/添加。用戶(hù)將被自動(dòng)加入到Remote Desktop Users組，而這個(gè)組默認有“通過(guò)終端服務(wù)允許登錄”的權利。

方法二、手動(dòng)將用戶(hù)加入到Remote Desktop Users組

方法三、手動(dòng)直接指派用戶(hù)“通過(guò)終端服務(wù)允許登錄”的權利

注意：如果終端服務(wù)器同時(shí)是DC，必須使用方法三。原因是為了保護DC，DC上的本地安全策略里，只允許Administratrs組有此權利，而將Remote Desktop Users組刪掉了。

3、開(kāi)始/程序/管理工具/終端服務(wù)配置/RDP-Tcp/右鍵/屬性/權限。

解決辦法：手動(dòng)將用戶(hù)加入到Remote Desktop Users組，或確保用戶(hù)在此權限下有來(lái)賓訪(fǎng)問(wèn)或用戶(hù)訪(fǎng)問(wèn)的權限。

4、用戶(hù)所用賬號口令為空。

若終端服務(wù)器為03，用戶(hù)使用此服務(wù)器上的本地賬號、且口令為空，通過(guò)TS登錄。由于03本地安全策略/本地策略/安全選項/帳戶(hù)：使用空白密碼的本地帳戶(hù)只允許進(jìn)行控制臺登錄，默認啟用，這將會(huì )阻止用戶(hù)登錄。解決辦法：使用非空密碼或禁用此策略。

順便提一下，這也是常見(jiàn)的通過(guò)網(wǎng)絡(luò )訪(fǎng)問(wèn)XP/03上的共享資源，不通的原因之一。

5、所用賬號屬性/終端服務(wù)配置文件/“允許登錄到終端服務(wù)器”選項。

這個(gè)選項，默認就是選中的，除非有人動(dòng)過(guò)。解決辦法：手動(dòng)選中即可。

6、還有兩種可能：

（1）2000：未安裝TS服務(wù)；03：未啟用遠程桌面

（2）03：?jiǎn)⒂昧薎CF，但未設允許RDP進(jìn)入

Q6、在2000（也僅是2000）中由于禁止本地登錄權利而導致的所有用戶(hù)、管理員無(wú)法登錄。

在安全策略/本地策略/用戶(hù)權利分配下有兩條策略：

¨ 拒絕本地登錄，默認為“未定義”。

¨ 允許在本地登錄，其默認值分別為：

u 本地計算機策略：Administrators、Backup Operators、Power Users、Users

u 默認域的策略：未定義

u 默認域控制器的策略：Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname

說(shuō)明：如果在同一級別上、對同一對象（用戶(hù)或組）、同時(shí)設置了“允許”和“拒絕”，“拒絕”權利的優(yōu)先級別高。也就是說(shuō)二者沖突時(shí)，“拒絕”權利生效。

假設不小心或干脆有人使壞在拒絕本地登錄上設置了所有人或管理員，又或者在允許登錄上把管理員給刪掉了。不論哪一種情況都會(huì )導致管理員無(wú)法登錄，出錯提示為：“此系統的本地策略不允許您采用交互式登錄”，也就沒(méi)辦法將策略設置改回正常了。

這種情形看起來(lái)像一個(gè)解不開(kāi)的"死結"：要解除禁止本地登錄的組策略設置，必須以管理員身份本地登錄；要以管理員身份本地登錄，就必須先解除禁止本地登錄的組策略設置。

問(wèn)題還是有辦法解決的，分別討論如下：

一、被域策略和域控制器策略所阻止

顯然你應該是被域策略和域控制器策略同時(shí)阻止了登錄權利，因為：

1、如果只是域策略阻止，由于默認域控制器的策略上允許Administrators登錄，而域控制器（Domain Controllers）是個(gè)OU，前面我們講過(guò)組策略的LSDOU原則，所以管理員可以登錄到DC上，把策略改回去。

2、如果只是域控制器的策略阻止，它只對DC生效。管理員可以在域內的其它計算機上登錄到域，把策略改回去。

要解決被域策略和域控制器策略同時(shí)阻止，首先我們來(lái)回顧一下前面講過(guò)的“具體的策略設置值存儲在GPT中，位于DC的winnt\sysvol \sysvol中，以GUID為文件夾名。”其中安全設置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf這個(gè)安全模板文件中。它實(shí)質(zhì)就是一個(gè)文本文件，可利用記事本進(jìn)行編輯。

說(shuō)明：前面我們介紹過(guò)，默認域的策略、默認域控制器的策略使用固定的GUID，分別是：

¨ 默認域的策略的GUID為31B2F340-016D-11D2-945F-00C04FB984F9

¨ 默認域控制器的策略的GUID為6AC1786C-016F-11D2-945F-00C04FB984F9。

可以利用C盤(pán)的隱含共享C$，或winnt\sysvol\sysvol的共享sysvol連過(guò)去，直接編輯，具體操作如下：

1、在另一臺聯(lián)網(wǎng)的計算機（Win9X/2000/XP均可）上，使用域管理員賬號連接到DC。

2、利用記事本打開(kāi)GptTmpl.inf文件。

3、找到文件中[Privilege Rights]小節下的拒絕本地登錄“SeDenyInteractiveLogonRight”和允許在本地登錄“SeInteractiveLogonRight”關(guān)鍵字，進(jìn)行編輯即可。如：

¨ 使SeDenyInteractiveLogonRight所等于的值為空。

¨ 保證SeInteractiveLogonRight= *S-1-5-32-544，……

4、保存退出。

說(shuō)明：

1、關(guān)于各SID所表示的意義，參見(jiàn)前面的表格。SID前面的*要保留，系統執行時(shí)才不會(huì )其后面的SID當作具體的用戶(hù)/組的名字。

2、如果域中不止一臺DC，為保證DC同步時(shí)剛才所做的修改最終生效（原理同授權恢復），需要：

（1）打開(kāi)winnt\sysvol\sysvol\你的域名\Policies\剛剛所修改策略的 GUID\ GPT.INI文件

（2）找到文件中的[General]小節下的“Version”，手動(dòng)將其值增大，通常是加10000。這是我們修改的這個(gè)組策略對象的版本號，版本號提高后可以保證我們的更改被復制到其它DC上。

（3）保存退出。

5、重新啟動(dòng)DC，域策略將被刷新。

說(shuō)明：也可以在DC上運行secedit /refreshpolicy machine_policy /enforce刷新策略，這樣就不必重啟DC了。但需要用到telnet，細節參考前面telnet命令和接下來(lái)的內容。

6、以域管理員身份在DC上正常登錄到域，重新設置安全域策略中的相關(guān)項目。

二、被本地安全策略所阻止

很多人都會(huì )想到利用MMC遠程管理功能，重設目標機的安全策略。具體操作如下：

開(kāi)始/運行/MMC/添加/組策略/瀏覽/計算機/另一臺計算機，如果有權限的話(huà)，你會(huì )發(fā)現你能找到并管理其它的策略設置，但是就是沒(méi)有安全策略等項目出現在列表中。

這是由于在Windows2000中，不支持對計算機本地策略的安全設置部分進(jìn)行遠程管理。而且本地安全策略設置的實(shí)現也與域策略不同，它存放在一個(gè)二進(jìn)制的安全數據庫secedit.sdb。

那么我們該怎么辦呢？我們可以使用telnet連接到故障計算機上，利用前面我們介紹過(guò)secedit命令導出安全設置到安全模板，即擴展名為.inf的文本文件中。利用記事本編輯后，再利用secedit命令將修改后的安全設置配置給計算機，這樣也就大功告功了。但如果故障計算機上的 telnet服務(wù)沒(méi)有啟動(dòng)，那么我們應該首先把故障計算機上telnet服務(wù)啟動(dòng)起來(lái)，才能連過(guò)去。

說(shuō)明：因為telnet服務(wù)的啟動(dòng)類(lèi)型，默認為手動(dòng)，所以正常情況下它是不會(huì )啟動(dòng)的。此時(shí)連過(guò)去的出錯信息為：正在連接以xxx不能打開(kāi)到主機的連接，在端口23：連接失敗。

綜上所述，具體解決辦法如下：

1、在另一臺聯(lián)網(wǎng)的計算機（2000/XP/03均可）上，修改其管理員密碼，使用戶(hù)名和口令均與故障計算機上的相同。（這主要為了方便，若在連接或使用的時(shí)候輸入目標計算機上的用戶(hù)名和口令，也可以）

2、注銷(xiāo)后，重新登錄進(jìn)來(lái)。

3、我的電腦/右鍵/管理，打開(kāi)計算機管理。

4、在計算機管理上/右鍵/連接到另一臺計算機：故障計算機IP。

5、在服務(wù)下找到telnet，手動(dòng)將它啟動(dòng)起來(lái)。

接下來(lái)使用telnet連接過(guò)來(lái)

6、開(kāi)始/運行：cmd，鍵入telnet 目標IP

7、在C:\>提示符下，鍵入secedit /export /cfg c:\sectmp.inf，導出它的當前安全設置。

8、點(diǎn)擊開(kāi)始/運行：\\目標IP\C$，雙擊c:\sectmp.inf，用記事本打開(kāi)。

9、編輯sectmp.inf文件，具體同前面情況一的步驟3

10、回到步驟7的命令窗口，鍵入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf將修改后的設置值，配置給計算機。

11、運行secedit /refreshpolicy machine_policy /enforce刷新策略，這樣就不必故障計算機了。

12、以本地管理員身份在故障計算機上正常登錄到域，重新設置安全域策略中的相關(guān)項目。

最后說(shuō)明一下：對于XP/03不存在上述問(wèn)題，微軟已經(jīng)修正了這個(gè)問(wèn)題。用戶(hù)不能阻止所有人或管理員登錄，在圖形界面下根本設不上；使用其它手段強行設上了也不起作用。因此大家可以想一想，針對上面第一種情況，實(shí)際上可以加一臺XP/03到2000域，在XP/03上登錄到域，將其解開(kāi)。

本例的實(shí)際排錯意義并不大，但建議大家最好還是能把這個(gè)實(shí)驗做一下，因為它涉及到了很多知識點(diǎn)，如：基于域安全策略、本地安全策略的實(shí)施原理，組策略及其優(yōu)先級，權利、SID，還有同名同口令帳戶(hù)登錄、telnet、secedit工具的使用等等。再有大家也可以做一下實(shí)驗，既然我們能通過(guò)網(wǎng)絡(luò ) 解開(kāi)，同樣也能通過(guò)網(wǎng)絡(luò )設上。

Q7、Win2000/03域中默認策略被誤刪，如何恢復？

對于Win2000，微軟在“下載中心”提供了Windows 2000默認策略還原工具的下載。微軟開(kāi)發(fā)這一工具旨在幫助用戶(hù)在意外刪除默認策略時(shí)，能夠重新還原“默認缺省域的組策略”和“默認域控制器的組策略”文件。請到下列地址下載相應工具：

http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en

對于Win03,微軟提醒用戶(hù)不要將其應用于Windows Server 2003上。Win03自帶的Dcgpofix.exe就可以完成還原任務(wù)。

需要強調的是：作為管理員應及時(shí)將組策略的設置進(jìn)行備份?？衫?000/03自帶的備份工具，把組策略作為系統狀態(tài)的一部分進(jìn)行備份。也可以利用GPMC工具專(zhuān)門(mén)備份組策略的設置。這樣即使出問(wèn)題了，重新恢復，也不用再把組策略重新設置了。

Q8、作為管理員，我通過(guò)組策略設置了一些限制，如“不要運行指定的windows應用程序”，但總有個(gè)別用戶(hù)在網(wǎng)上能找到破解的辦法，我該怎么辦？

這段話(huà)使我想起了關(guān)于網(wǎng)絡(luò )安全一條名言：沒(méi)有絕對的安全。我個(gè)人也覺(jué)得在計算機網(wǎng)絡(luò )世界里，永遠是高手在蒙低手。若水平都很高，那么最終的安全又回到了物理安全設置上（術(shù)語(yǔ)叫：社會(huì )工程）。下面以“不要運行指定的windows應用程序”這條組策略設置的攻防轉換，來(lái)闡明這個(gè)問(wèn)題

第一回合：

管理員：通過(guò)本地策略限制某用戶(hù)運行某些用戶(hù)程序，如QQ、反恐、realplay等。操作：開(kāi)始/運行，鍵入gpedit.msc，用戶(hù)配置/管理模板/系統/不要運行指定的windows應用程序，啟用／顯示／添加：上述應用的.exe文件名即可。

用　戶(hù)：用戶(hù)如果知道管理員怎么設置的限制，同樣的辦法取消限制即可。

第二回合：

管理員：將mmc.exe也加入到上述禁止運行列表中，使用戶(hù)無(wú)法打開(kāi)任何MMC管理控制臺。

用　戶(hù)：開(kāi)始/運行：cmd，鍵入mmc，將會(huì )打開(kāi)控制臺下，文件/添加刪除管理單元，添加：組策略對象編輯器/本地計算機策略，取消限制。

說(shuō)明：用戶(hù)在CMD方式下，直接鍵入gpedit.msc仍不能運行。此解法的知識點(diǎn)來(lái)自這條策略的說(shuō)明標簽。

第三回合：

管理員：將cmd.exe也禁止運行

用　戶(hù)：重新啟動(dòng)計算機，按F8，選擇帶命令行的安全模式。登錄進(jìn)來(lái)后，在CMD方式下，鍵入mmc，將會(huì )打開(kāi)控制臺下，文件/添加刪除管理單元，添加：組策略對象編輯器/本地計算機策略，取消限制。

第四回合：

管理員：一看不行了，還是借助于基于域的組策略吧。將用戶(hù)計算機加入到域，不給用戶(hù)本地管理員的口令，要求用戶(hù)使用一個(gè)域用戶(hù)賬號（為不影響用戶(hù)的其它正常應用，可將其加入到客戶(hù)機的Power Uers組），并將此域用戶(hù)賬號放到一個(gè)OU中，鏈接組策略，設置上述限制。

用　戶(hù)：手動(dòng)刪除注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\

CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。

第五回合：

管理員：因為默認情況下，若用戶(hù)手動(dòng)修改注冊表中的組策略設置值，若策略未變，組策略不負責強制改回。管理員可利用組策略／計算機配置／管理模板／系統／組策略／注冊表策略處理，設置成“即使尚未更改組策略對象也進(jìn)行處理”，執行強制性的、周期性刷新策略。

用　戶(hù)：用戶(hù)修改程序文件名，以避開(kāi)策略的限制（尤其是對非MS的應用程序）。

第六回合：

管理員：設置權限，讓用戶(hù)無(wú)權修改文件名。

用戶(hù)：利用用鳳凰啟動(dòng)盤(pán)重設本地管理員密碼，以本地管理員登錄進(jìn)來(lái)后，不受上述限制，也可以干脆脫離域

第七回合：

管理員：在BIOS中禁用光驅并設上BIOS密碼，或物理斷開(kāi)光驅。

用　戶(hù)：打開(kāi)機箱，跳線(xiàn)清除BIOS密碼，或物理連接上光驅。

…… ……

通過(guò)本例大家也看到了，作為網(wǎng)絡(luò )員應當不斷學(xué)習，提高自身技術(shù)才行。在學(xué)習要充分利用Internet這個(gè)最廣博的老師，最大的知識庫。

欧美性猛交XXXX免费看蜜桃,成人网18免费韩国,亚洲国产成人精品区综合,欧美日韩一区二区三区高清不卡,亚洲综合一区二区精品久久