Q1、客戶機無法加入到域?
一、權限問題。
要想把一臺計算機加入到域,必須得以這臺計算機上的本地管理員(默認爲administrator)身份登錄,保證對這臺計算機有管理控制權限。普通用戶登錄進來,更改按鈕爲灰色不可用。並按照提示輸入一個域用戶帳號或域管理員帳號,保證能在域內爲這臺計算機創建一個計算機帳號。
二、不是說“在2000/03域中,默認一個普通的域用戶(Authenticated Users)即可加10臺計算機到域。”嗎?這時如何在這臺計算機上登錄到域呀!
顯然這位網管誤解了這名話的意思,此時計算機尚未加入到域,當然無法登錄到域。也有人有辦法,在本地上建了一個與域用戶同名同口令的用戶,結果可想而知。這句話的意思是普通的域用戶就有能力在域中創建10個新的計算機帳號,但你想把一臺計算機加入到域,首先你得對這臺計算機的管理權限才行。再有就是當你加第11臺新計算機帳號時,會有出錯提示,此時可在組策略中,將帳號復位,或乾脆刪了再新建一個域用戶帳號,如joindomain。注意:域管理員不受10臺的限制。
三、用同一個普通域帳戶加計算機到域,有時沒問題,有時卻出現“拒絕訪問”提示。
這個問題的產生是由於AD已有同名計算機帳戶,這通常是由於非正常脫離域,計算機帳戶沒有被自動禁用或手動刪除,而普通域帳戶無權覆蓋而產生的。解決辦法:1、手動在AD中刪除該計算機帳戶;2、改用管理員帳戶將計算機加入到域;3、在最初預建帳戶時就指明可加入域的用戶。
四、域xxx不是AD域,或用於域的AD域控制器無法聯繫上。
在2000/03域中,2000及以上客戶機主要靠DNS來查找域控制器,獲得DC的 IP 地址,然後開始進行網絡身份驗證。DNS不可用時,也可以利用瀏覽服務,但會比較慢。2000以前老版本計算機,不能利用DNS來定位DC,只能利用瀏覽服務、WINS、lmhosts文件來定位DC。所以加入域時,爲了能找到DC,應首先將客戶機TCP/IP配置中所配的DNS服務器,指向DC所用的DNS服務器。
加入域時,如果輸入的域名爲FQDN格式,形如mcse.com,必須利用DNS中的SRV記錄來找到DC,如果客戶機的DNS指的不對,就無法加入到域,出錯提示爲“域xxx不是AD域,或用於域的AD域控制器無法聯繫上。”2000及以上版本的計算機跨子網(路由)加入域時,也就是說,加入域的計算機是2000及以上,且與DC不在同一子網時,應該用此方法。
加入域時,如果輸入的域名爲NetBIOS格式,如mcse,也可以利用瀏覽服務(廣播方式)直接找到DC,但瀏覽服務不是一個完善的服務,經常會不好使。而且這樣雖然也可以把計算機加入到域,但在加入域和以後登錄時,需要等待較長的時間,所以不推薦。再者,由於客戶機的DNS指的不對,則它無法利用2000DNS的動態更新動能,也就是說無法在DNS區域中自動生成關於這臺計算機的A記錄和PTR記錄。那麼同一域另一子網的2000及以上計算機就無法利用DNS找到它,這本應該是可以的。
若客戶機的DNS配置沒問題,接下來可使用nslookup命令確認一下客戶機能否通過DNS查找到DC(具體見前)。能找到的話,再ping一下DC看是否通。
Q2、用戶無法登錄到域?
一、用戶名、口令、域
確保輸入正確的用戶名和口令,注意用戶名不區分大小寫,口令是區分大小寫的。看一下欲登錄的域是否還存在(比如子域被非正常刪除了,域中唯一的DC未聯機)。
二、DNS
客戶機所配的DNS是否指向DC所用的DNS服務器,討論同前。
三、計算機帳號
基於安全性的考慮,管理員會將暫時不用的計算機帳號禁用(如財務主管渡假去了),出錯提示爲“無法與域連接……,域控制器不可用……,找不到計算機帳戶……”,而不是直接提示“計算機帳號已被禁用”。可到AD用戶和計算機中,將計算機帳號啓用即可。
對於 Windows 2000/XP/03,默認計算機帳戶密碼的更換週期爲 30 天。如果由於某種原因該計算機帳戶的密碼與 LSA 機密不同步,登錄時就會出現出錯提示:“計算機帳戶丟失……”或“此工作站和主域間的信任關係失敗”。解決辦法:重設計算機帳戶,或將該計算機重新加入到域。
四、默認普通域用戶無權在DC上登錄
見下一小節的Q1。
五、跨域登錄中的問題
在2000及以上計算機上登錄到域的過程是這樣的:域成員計算機根據本機DNS配置去找DNS服務器,DNS根據SRV記錄告訴它DC是誰,客戶機聯繫DC,驗證後登錄。
如果是在林中跨域登錄,是首先查詢DNS服務器,問林的GC是誰。所以要保證林內有可用的GC。如果是要登錄到其它有信任關係的域(不一定是本林的),要保證DNS能找到對方的域。
Q3、如何解決本地或域管理員密碼丟失?
本地管理員密碼丟失,可通過刪除sam文件(2000SP3以前)或通過NTpassword軟件來解決。但要解決域管理員密碼丟失,它們就無能爲力了,這時就需要用到“鳳凰萬能啓動盤”中的ERD Commander 2002了,接下來我們將詳細討論使用此盤解決管理員密碼丟失問題。
1、上網搜索“鳳凰啓動盤”或“鳳凰萬能啓動盤”,大約178M ;
2、下載後解壓縮,將其內容刻錄成光盤;
3、用此光盤啓動計算機,顯示XP安裝界面,Start ERD Commander 2002環境;
4、出現選擇菜單,選擇第一項:ERD Commander 2002;
5、出現類似XP的啓動界面
6、進入選擇系統安裝的路徑,一般會自動測出操作系統、版本及是否域控制器;
7、出現類似的XP桌面:選擇Start/Administrative Tools/Locksmith;
8、進入ERD Commander 2002 locksmith嚮導界面,下一步;
9、選擇Administrator,重設其密碼;(此時切不可手動重新啓動計算機,否則此修改將無效)
10、選擇Start/Logoff,點OK;
11、稍候片刻,點reboot後重新啓動計算機
鳳凰啓動盤中的ERD Commander 2002功能強大,不僅可破解本地管理員密碼,包括NT/2000/XP/03的各個版本。還可以破解NT/2000/03域管理員密碼,均已實驗證明。
由於可自動識別操作系統和版本,及是否DC,所以用戶在操作時,重設密碼的方法都是一樣的。對於03,重設密碼時要注意符合密碼策略中要求的符合複雜性要求,且密碼最小長度爲7,否則重設的密碼會無效。
Q4、無法使用域內的共享打印機?
現象:計算機重啓或註銷,再登錄進來,無法使用以前安裝的域內的共享網絡打印機,
爲用戶重新安裝打印機,當時可以打印,但不久問題又會出現。用戶反映說有時能打印,有時就是不能打印。
其原因在於用戶沒有登錄到域(很多用戶即使計算機加入到了域,也經常習慣性地選擇登錄到本地機),沒有域用戶身份,當然無權訪問域內的資源。而且關鍵是Windows系統在這裏有個小毛病,它並不象你訪問共享文件夾那樣,由於沒有身份而提示你輸入用戶名和密碼來進行驗證,而是直接提示你“拒絕訪問,無法連接”、“當前打印機安裝有問題”,“RPC服務不可用”等等(在不同的操作系統或應用程序中提示會所不同)。
解決辦法有3種,最好還是用方法1。:
1、要求用戶將其域用戶帳號加入到本地管理員組,以後每次都以域用戶帳號登錄。
說明:這本身就是微軟推薦的一種辦法。因爲如果不這樣,普通用戶以本地管理員身份登錄時,控制本機沒問題,但訪問域資源時需要輸入域用戶名和口令;而用戶若以域用戶身份登錄,又沒有本機管理特權。比如說:無法關機,無法修改網絡等配置,無法安裝軟件、驅動等。這樣做了以後,用戶以域用戶身份登錄,同時他又是本地管理員。
2、在打印服務器上啓用Guest用戶,保證everyone有打印權限。但這樣做不安全,所以不推薦。
3、在客戶機上每次要使用打印機前,在開始—運行:\\PrintServer,這時會提示你輸入用戶名和密碼。通過驗證後,再去使用打印機。很顯然這樣方法比較麻煩。
Q5、無法訪問域內的共享資源?
上例中我們提到過客戶機如果加入到了域,但用戶選擇登錄到本地機。當訪問域內共享資源時,會提示輸入用戶名和口令。若不出現提示,直接出現拒絕訪問。一般是由於目標計算機上啓用了guest,而guest用戶沒有權限造成的。
接下來的討論實質和域的關係不太,但確實是我們訪問網絡共享資源中經常會碰到的問題:基於UNC路徑的IP形式來訪問時的故障,如在開始/運行:\\10.63.243.1。
前提:在網卡、協議、連接沒問題的情況下。即在可ping通的前提下,若\\10.63.243.1不通,排錯可從下面幾個方面來考慮。
1、目標機的“Microsoft網絡的文件和打印機共享”服務的問題。
提示:“\\10.63.243.1 文件名、目錄名或卷標語法不正確”。
檢查:服務是否安裝、是否選中,或重裝一下。
操作:網上鄰居/右鍵/屬性/本地連接/右鍵/屬性
2、由於訪問相關的net logon、server、workstation服務務未正常啓動的影響。
提示:
(1)若目標機(爲域成員)上的net logon服務停了:“試圖登錄,但網絡登錄服務未啓動”。
(2)若目標機上的server服務停了:“\\10.63.243.1 文件名、目錄名或卷標語法不正確。”
(3)若本機的worstation服務停了:“\\10.63.243.1 網絡未連接或啓動”。連其它計算機,也是一樣的提示。
檢查:相應服務是否已經正常啓動。
操作:我的電腦/右鍵/管理/服務和應用程序/服務下
3、由於本機與其它計算機重名(指NetBIOS名稱)的影響
提示:訪問任何計算機均提示:“找不到網絡路徑”。
檢查:重啓一下,看是否有“網絡中存在重名”的提示。可能上次開機時沒注意給忽略了。
操作:我的電腦/屬性/網絡標識/屬性/計算機名下,修改計算機名。
4、XP/03由於默認安全策略:“帳戶:使用空白密碼的本地帳戶只允許進行控制檯登錄”的影響
提示:\\10.63.243.1無法訪問。您可能沒有權限使用網絡資源。請與這臺服務器的管理員聯繫以查明您是否有訪問權限。登錄失敗:用戶帳戶限制。可能的原因包括不允許空密碼,登錄時間限制,或強制的策略限制。
檢查:改用非空密碼的帳戶試試,或查看XP/03目標機上的本地策略。
操作:開始/運行:gpedit.msc。計算機配置/Winodws設置/安全設置/本地策略/安全選項下,由默認值“啓用”改爲“禁用”。
注意:域帳號訪問不受此策略限制。
5、網絡共享訪問被篩選器的設置所阻止
提示:找不到網絡路徑
檢查: TCP/IP篩選、IPSEC、RRAS篩選器是否被啓用,且TCP端口139和445被禁用。
操作:
(1)網上鄰居/屬性/本地連接/屬性:TCP/IP—高級—選項—TCP/IP篩選
(2)網上鄰居/屬性/本地連接/屬性:TCP/IP—高級—選項—IP安全機制
(3)開始/程序/管理/路由和遠程訪問/IP路由選擇/常規/接口/右鍵屬性/常規:輸入/輸出篩選器。
說明:
(1)RRAS篩選器只在2000/03 Server版中才有,IPSEC只有在2000的上述位置纔有。
(2)若你就想設置篩選器,基於端口控制,不讓別人訪問你的網絡共享資源,需要同時禁止TCP:139和445口。
(3)由於此種原因產生的訪問故障,一般是由於實驗後忘了復原,或別人故意和你開玩笑。
Q6、在AD域中,如何批量添加域用戶帳號?
作爲網管,有時我們需要批量地向AD域中添加用戶帳戶,這些用戶帳戶既有一些相同的屬性,又有一些不同屬性。如果逐個添加、設置的話,十分地麻煩。一般來說,如果不超 過10個,我們可利用AD用戶帳戶複製來實現。如果再多的話,我們就應該考慮使用csvde.exe或ldifde.exe來減輕我們的工作量了。最後簡單介紹一下利用腳本(可利用循環功能)批量創建用戶帳號
一、AD用戶帳戶複製
1、在“AD域和計算機”中建一個作爲樣板的用戶,如S1。
2、設置相關需要的選項,如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。
3、在S1上/右鍵/複製,輸入名字和口令。
說明:
1、 只有AD域用戶帳戶纔可以複製,對於本地用戶帳戶無此功能。
2、 帳戶複製可將在樣板用戶帳戶設置的大多數屬性帶過來。具體如下:
二、比較csvde與ldifde
三、以csvde.exe爲例說明:域用戶帳戶的導出/導入
操作步驟如下:
1、 在“AD域和計算機”中建一個用戶,如S1。
2、 設置相關需要的選項,如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。
3、 在DC上,開始/運行:cmd
4、 鍵入:csvde –f demo.csv
說明:
(1)不要試圖將這個文件導回,來驗證是否好使。因爲這個文件中的好多字段在導入時是不允許用的,如:ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等屬性。我們導出這個文件目的只是爲了查看相應的字段名是什麼,其值應該怎麼寫,出錯信息如下:
(2)可通過-d –r參數指定導出範圍和對象類型。例如:
-d “ou=test,dc=mcse,dc=com” 或 -d “cn=users,dc=mcse,dc=com”
-r “< Objectclass=user>”
1、 以上面的文件爲參考基礎,創建自己的my.csv,並利用複製、粘貼、修改得到多條記錄。例如:
dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName
"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,[email][email protected][/email]
"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,[email][email protected][/email]
………………,其它可用字段,我試了一下,見下表(不全):
6、導入到AD,鍵入 csvde –i –f my.csv –j c:\
說明:-j用於設置日誌文件位置,默認爲當前路徑。此選項可幫助用戶在導入不成功時排錯。
有一點大家必須明確的是:我們在這裏做AD域用戶帳戶複製、做AD域用戶帳戶的導出/導入,並不能代替“AD備份和恢復”。我們只是在批量創建用戶帳號,帳號的SID都是重新生成的,權利權限都得重新設才行。(當然我們可以把導入的用戶,通過memberof字段設到一些用戶組中去,使它有權利權限。但這與利用“AD備份和恢復”到原狀,完全是兩回事)。
四、利用腳本創建批量用戶帳戶
1、利用腳本創建用戶帳號(用戶可參考下例)。
Set objDomain = GetObject("LDAP://dc=fabrikam,dc=com")
Set objOU = objDomain.Create("organizationalUnit", "ou=Management")
objOU.SetInfo
說明:在fabrikam.com域創建一個名叫Management的OU。
Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
Set objUser = objOU.Create("User", "cn= AckermanPila")
objUser.Put "sAMAccountName", "AckermanPila"
objUser.SetInfo
objUser.SetPassword "i5A 2sj*!"
objUser.AccountDisabled = FALSE
objUser.SetInfo
說明:在Management OU下創建一個名叫AckermanPila的用戶,口令爲i5A 2sj*!,啓用。
Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
Set objGroup = objOU.Create("Group", "cn=atl-users")
objGroup.Put "sAMAccountName", "atl-users"
objGroup.SetInfo
objGroup.Add objUser.ADSPath
objGroup.SetInfo
說明:在Management OU下創建一個名叫atl-users的用戶組,將用戶AckermanPila加入到這個組中。
Wscript.echo "Script ended successfully"
說明:顯示“腳本成功結束”信息
2、利用腳本中的循環功能實現批量創建用戶帳號
Set objRootDSE = GetObject("LDAP://rootDSE")
Set objContainer = GetObject("LDAP://cn=Users," & _
objRootDSE.Get("defaultNamingContext"))
For i = 1 To 1000
Set objUser = objContainer.Create("User", "cn=UserNo" & i)
objUser.Put "sAMAccountName", "UserNo" & i
objUser.SetInfo
objUser.SetPassword "i5A 2sj*!"
objUser.AccountDisabled = FALSE
objUser.SetInfo
Next
WScript.Echo "1000 Users created."
說明:在當前域的Users容器中創建UserNo1到UserNo1000,共1000個用戶帳戶
Q7、我的計算機不知道怎麼回事,系統時間總是被改快1小時?
加入域的計算機,沒有自己的時間。這是因爲時間參數,在AD複製中是一個極爲重要的因素。如:決定多主控複製時,誰的修改最終生效。所以整個域的時間,都由域的PDC仿真主控來控制,整個林的時間都由林根域上的PDC仿真主控來控制。
說明:如果整個林的時間都快1小時,對你AD的正常工作沒有任何影響。
解決:修改林根域的PDC仿真主控計算機的時間。實際工作中,要先查看域內計算機的時區設置是否正確。
Q8、建立AD域,需要有什麼樣的權限才行?
1、若是創建林內的第一個域,即林根域,只要有目標計算機上的本地管理員權限即可。
2、作爲已有域的附加DC,需要該域的域管理員(Domain Admins)權限。
3、安裝子域的DC,或新樹的DC,都涉及到林結構的改變,需要林管理員(Enterprise Admins)權限才行。
Q9、如何在2000域中添加一臺03的DC?
03和2000比,功能更強大了,在域和AD的體系結構上也有了一些變化(參見前面:域、林功能級別)。但微軟的產品十分講究向前兼容,我們可以實現在一個2000域中加入03DC、加入03DNS,並且DC間的AD複製,DNS間的區域傳輸,都好像沒有版本差異一樣。
但要注意:直接就在03計算機上安裝AD是不行的,會收到出錯提示“Active Directory版本不同”。我們需要做一些準備工作,在2000DC(SP2及更高)上運行03光盤/I386/adprep,
具體第一步:adprep /forestprep進行林準備,第二步adprep /domainprep進行域準備。
順便說一下:03可以作爲2000域的附加DC,2000也可以作爲03域的附加DC,而直接在2000上安裝AD即可,不需要準備。
Q10、創建AD域時,由於沒有NTFS分區,導致AD安裝失敗?
在2000/03成員或獨立服務上上運行dcpromo命令,安裝AD,將其提升爲DC,其上必須有一個NTFS 5.0分區,用來保存AD的sysvol文件夾。
注意:2000的NTFS分區是NTFS 5.0,NT4的是NTFS 4.0,NT4必須安裝SP4後,纔可訪問2000的NTFS分區。
如果C是引導分區,即系統夾winnt或windows所在分區,採用FAT32分區,系統會自動查找下一個可用的NTFS分區來存放系統卷,如d:\sysvol。如果找不到NTFS分區,就會出錯,導致AD安裝失敗。這時可利用convert命令將某個FAT32分區轉成NTFS分區,這個轉換會保持數據的完好。但要注意這個轉換是單向不可逆,想回復到FAT分區,除非重新格式化該分區。
以轉換D盤爲例,具體操作如下:
1、開始/運行:convert d: /fs:ntfs
2、提示是否轉換,鍵入y確認轉換。
說明:這時並沒有真正開始轉換,如果後悔,可以到註冊表HLM\當前控制\控制\會話管理\BootExecute下,刪除其值Convert d: /fs:ntfs 。
3、重新啓動計算機,將在登錄界面出現前,真正實施FAT到NTFS的轉換。
Q11、安裝AD域時,出現NetBIOS名稱衝突?
在安裝AD時,安裝選項會要求輸入:新域的DNS全名,在這裏應該輸入新域的完全有效域名FQDN,形如:mcse.com。系統會打算以mcse作爲此域的NetBIOS名稱,並在網絡中檢查是否存在重名,需要等一會兒。
如果不重名則設爲mcse(建議用戶不要修改此名),重名系統則自動設爲mcse0,建議用戶最好換個名字,因爲你的網絡可能還會有2000以前版本的老系統,考慮到NetBIOS名稱解析和DNS名稱解析的互助,保持一致性比較好。
說明:NetBIOS名稱,只是爲95/98/NT等老版本用戶通過“瀏覽服務”或WINS來識別這個域用的,如果確信域內計算機都是2000及以上系統(它們通過DNS定位域),其實NetBIOS名稱衝不衝突,都無所謂。
這種衝突可能源自於網絡中如果已有一個域,名字叫做mcse.org,DNS名雖然不衝突,但是NetBIOS名稱衝突。也可能是你安裝了一個mcse.com域未能完全成功,又再次安裝導致的,這樣情況倒可以強行將NetBIOS名稱將爲mcse,而不是mcse0。
Q12、安裝AD完成後,重啓登錄非常慢,甚至長達20分鐘之久。
這一般是由於用一臺運行了一段時間的2000/03 Server來安裝AD造成的,故障較難定位。若重啓幾次後就正常了,則不必理會。如果多次重啓後還是非常慢,那就要重裝系統及AD了。建議:最好在新裝的系統上來安裝AD,這樣不容易出問題。
Q13、安裝AD時,選擇了在本機安裝DNS,但安裝結束後,在DNS中未生成SRV記錄?
如果決定在安裝AD過程中在本機安裝DNS,應在安裝前,將本機TCP/IP配置中的DNS服務器指向自己,這樣在安裝AD完成後重啓時,SRV記錄將被自動註冊到DNS服務器的區域當中去的,生成四個以下劃線開頭的文件夾,如_msdcs。
03DNS在這裏夾的層次結構有所變化,將_msdcs.域名夾提升了一級,直接放到了查找區域下,但本質沒變。
如果安裝前忘了將DNS指向自己,也可以後補上。然後到計算機管理/服務下,重啓Net Logon服務即可。這樣可以把啓動時未能註冊到DNS服務器的SRV記錄(緩存在windows\system32\cache中)寫入DNS。如果仍然不行的話,那隻好重啓DC了。
Q14、安裝子域失敗。
在保證權限(需要林管理員權限,不要誤以爲是父域管理員權限)、DNS沒問題的情況下,最常見的安裝子域失敗的原因就是域命名主控失效,出錯提示爲:“由於以下原因,操作失敗:AD無法與域命名主機xxx聯繫。指定的服務器無法運行指定的操作。”
說明:域命名主控要正常工作,它本身要求GC必須可用。這是由於:爲了保證域的名字在林中唯一,域命名主機需要查詢GC。若是2000林,GC必須和域命名主機在同一臺計算機上才行。若是2003林,不要求GC必須和域命名主機非得在同一臺計算機上。
解決:保證域命名主控聯機,如果確信其已無法正常工作,可強制傳給(查封seize)林內的任意一臺DC,子域的DC也可以。原來的主控必須被重做系統後,纔可連入網絡,以保證域命名主控的林唯一性。
Q15、修改用戶密碼需要幾分鐘,甚至更長的時間。
前面我們介紹過:PDC仿真主控負責最小化密碼變化的複製等待時間,若一臺DC接受到密碼變化的請求,它必須通知PDC仿真主控。若是PDC仿真主機失效,收到該請求的DC必須經過一段時間的查找後,確認真的找不到PDC仿真主控了,纔會自己修改用戶密碼。所以在此情況下,應首先檢查PDC仿真主控。
如果確信其已無法正常工作,可強制傳給(查封seize)域內的任意一臺DC。原來的主控必須被重做系統後,纔可連入網絡,以保證PDC仿真主控的域唯一性。
Q16、正常卸載AD時的常見問題
在實際工作中有時我們需要改變服務器角色,或者將實驗中安裝的DC回覆到普通成員/獨立服務器身份,這就要進行AD的卸載。
1、卸載時會提示給新的本地管理員設置密碼
2、附加DC卸載後,仍在域中。
3、如果AD不能卸載,應從以下幾方面考慮:
(1)網卡是否正常工作
即使你整個林中只有一臺計算機,也要保證網卡正常工作,才能將AD卸載。網卡不工作或禁用網卡都會導致AD無法卸載,提示“卸載SYSVOL文件夾出錯”
(2)權限
權限要求與安裝AD時類似,若一個林中只有一個域,那麼你要卸載的就是林根域,需要林管理員(Enterprise Admins)權限;卸載附加DC需要該域的域管理員(Domain Admins)權限;卸載子域或樹,涉及到林結構的改變,也需要林管理員權限。
(3)DNS
一般應保證與安裝時所用DNS一致。如果做了DNS規劃,必須保證1中權限所要求的管理員身份能通過DNS找到相應DC,進行驗證。
(4)域命名主控
卸載時只要涉及到林結構的改變,就需要保證域命名主控有效;卸載附加DC時不要求域命名主控有效。
但要注意的是:卸載時,域命名主控失效的出錯信息與安裝時的“AD無法與域命名主機xxx聯繫”提示不同,具體是:由於以下原因,操作失敗。以提供的憑據綁定到服務器xxx失敗。“RPC服務器不可用”。
(5)卸載的順序
與安裝順序相反,應該先逐級卸載下面的子域,最後卸載樹根域、林根域。否則將導致子域無法卸載,而存在的子域還有問題,找不到林根域、樹根域了。
因爲這時極有可能架構和域命名主控及GC未轉移,林管理員組和架構管理員組(Schema Admins)已經隨林根域的刪除而沒有了。爲什麼這麼說呢?因爲如果管理員考慮到主控及GC等的轉移問題,也就不會誤刪除林根域了。
Q17、AD無法正常卸載,或者說DC無法正常降級爲成員服務器?
1、Dcpromo /forceremoval強制卸載AD
2、重設目錄恢復模式下的管理員密碼:
2000:winnt\system32\setpwd.exe
03:使用ntdsutil實用工具,set dsrm password
如果按照上例的要求,還是無法正常卸載AD,且出錯提示未提到DNS方面的故障。考慮本機上已安裝有的應用程序,你還不想重做系統,可考慮使用如下辦法。
1、開始/運行,在命令行中輸入regedit或regedt32打開註冊表編輯器。
2、找到以下的鍵值:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options
鍵值:ProductType 類型:REG_SZ
3、 將原來的值“LanmanNT”改爲“ServerNT”。
說明:
(1)LanmanNT表示本機爲域控制器DC,ServerNT表示本機爲非DC。
(2)只有當CurrentControlSet1和CurrentControlSet下的鍵值:ProductType 所等於的數據不同時,即一個爲ServerNT,一個爲LanmanNT才允許修改。否則將會出如下提示:
¨ 對於2000:“系統已檢測到干預您的註冊產品類型,這是您對軟件許可證的侵犯。干預產品類型是不允許的。”
¨ 對於03:“系統檢測到您的註冊的產品類型有篡改現象。這是對軟件許可證的侵犯。篡改產品類型是不允許的。”
(3)教學實踐中可以利用ntdsutil將子域的server對象(實質指DC)手動刪除,然後運行dcpromo降級,降級失敗後演示此知識點。
接下來,方法一:
1、重新啓動計算機,按F8鍵進入到“目錄服務恢復模式”。
說明:
(1)在此模式下,AD不工作,以便對AD庫文件及系統卷sysvol進行操作。
(2)登錄的口令不同於平時所用的口令,是在安裝AD時,所設的目錄恢復模式下的口令。保存在本機一個SAM庫文件中。
2、刪除存放活動目錄數據庫的文件夾,默認爲C:\WinNT\NTDS,或C:\Windows\NTDS。
3、刪除存放系統卷的文件夾,默認爲C:\WinNT\SYSVOL,或C:\Windows\SYSVOL
4、重新啓動計算機。
5、由於還有一些作爲域控制器的註冊表鍵值和文件存在,所以在重新啓動完計算機後,還需要使用dcpromo命令來升級計算機B到一個臨時的域的域控制器(域名可以任意填寫),然後再用dcpromo命令降級,這樣纔會完整地刪除所有和域控制器相關的註冊表鍵值和文件。
方法二
1、開始/運行,在命令行中輸入dcpromo
2、由於前面已經修改了註冊表,此時爲AD安裝界面,而非卸載界面。
3、會遇到如下出錯提示:“由於網絡上名稱衝突,選定默認的NetBIOS域名‘xxx’”。
說明:xxx爲你修改註冊表前原來域的NetBIOS名稱。
4、不必介意出錯提示,手動設置你想要的名稱。比如你此次的域爲abc.com,則手動設xxx改爲ABC即可。
5、再接下來會遇到提示:“c:\winnt\ntds文件夾不是空的,當升級處理開始時,要刪除文件夾中所有的文件嗎?(如果不,請指定另一個文件夾。)”
6、選擇:是
說明:
(1)在選擇系統卷的夾,如c:\winnnt\sysvol後,時間可能會比較長,請耐心等待。
(2)和正常安裝時一樣,可能會碰到DNS錯誤提示,一般選擇在本機安裝DNS即可。
(3)也可能會出現“計算機已脫離域,帳號未被禁用”的提示,不必理會。
(4)最重要的一點是:這第一次非常可能不成功,再重來一遍dcpromo即可。
7、如果這次安裝是爲了清除殘餘的註冊表鍵值和垃圾文件,可再次運行dcpromo進行卸載。當然直接使用這臺DC,也是可以的。
最後強調一下,此方法並不是萬能的。一是前面我們已經提到的,有時註冊表不允許修改或者改完了存不上。再有就是如果在卸載的一開始,就出現有關DNS的出錯信息,必須首先排除DNS故障才行。
Q18、如何清理AD數據庫中的垃圾對象。
如果我們非正常卸載AD子域、DC等,就會在AD元數據庫中留下垃圾。比如上面的例子,又比如未經AD卸載就把DC計算機的系統重做了。這些垃圾對象一般來講無礙大局,但如果我們想優化AD的性能,不想給用戶帶來不必要的麻煩(比如用戶選擇登錄到已經不存在的子域),就可以利用ntdsutil工具進行元數據庫清理(metadata cleanup),來刪除垃圾對象。具體操作如下:
1、開始/運行:cmd,在命令行下鍵入 ntdsutil。
說明:
(1)直接,開始/運行:ntdsutil,也可以。
(2)進行元數據庫清理,不要進到目錄恢復模式下。
(3)進行元數據庫清理,可以在非DC的2000/XP/03計算機上進行。但有些操作(如使用ntdsutil工具進行授權恢復、整理移動AD庫文件)必須在DC上進行。
(4)在ntdsutil的每級菜單下都可以通過鍵入:?或HELP,查看本級菜單下可用的命令。
2、在 ntdsutil: 提示符下,鍵入 metadata cleanup ,然後按 ENTER。
說明:ntdsutil是個分層的多級命令行工具,用戶在鍵入名字時,可簡寫,只要不同於本級命令中的其它命令即可。比如上面的命令metadata cleanup可簡寫爲m c。
3、在 metadata cleanup: 提示符下,鍵入 connections ,然後按 ENTER。
4、在 server connections: 提示符下,鍵入 connect to server servername,然後按 ENTER。
說明:
(1)其中 servername 是指域控制器的DNS名稱,用主機名或FQDN均可。注意:雖然聯機說明中提到了可以用IP去連,但實際上發現用IP去連接,會出現參數不正確的出錯提示。
(2)在這裏要連接的DC,應是一個正常工作的、可操作的DC,而不是你要清理的那個DC對象。
5、鍵入 quit ,然後按 ENTER 回到 metadata cleanup: 提示符。
6、鍵入 select operation target ,然後按 ENTER。
7、鍵入 list domains ,然後按 ENTER。
說明:此操作將列出林中的所有域,每一域附帶與其相關聯的一個數字。
8、鍵入 select domain number,然後按 ENTER。
說明:其中 number 是與故障服務器所在的域相關的數字。
9、鍵入 list sites ,然後按 ENTER。
10、鍵入 select site number,然後按 ENTER。
說明:其中 number 是指域控制器所屬的站點號碼。
11、鍵入 list servers in site ,然後按 ENTER。
說明:這將列出站點上所有服務器,每一服務器附帶一個相關的數字。
12、鍵入 select server number,然後按 ENTER 。
說明:其中 number 是指要刪除的域控制器。
13、鍵入 quit ,然後按 ENTER,退回到Metadata cleanup 菜單。
接下來,根據需要,刪除相應的垃圾對象:
14、鍵入 remove selected server ,然後按 ENTER。
此時,Active Directory 確認域控制器已成功刪除。若收到無法找到對象的錯誤報告,Active Directory 可能已刪除了域控制器。
15、或者鍵入 remove selected domain,然後按 ENTER。
說明:要想刪除域,必須得先刪除這個域的server對象(實質是DC)才行。
16、鍵入 quit 然後按 ENTER 直至回到命令符。
如果清理的是Server對象,還需要:1、到Active Directory 站點和服務上,展開適當站點,刪除相應Server對象。2、到Active Directory 用戶和計算機上,雙擊打開Domain Controllers這個OU,刪除相應的DC對象。
如果清理的是Domain對象,還需要到Active Directory域和信任關係上,刪除相應的已經沒有用的信任關係。否則該域名還會出現在登錄的域列表。
在實際操作中,必須先做元數據清理,然後再到相應的管理工具中刪除相應的對象。若是直接到管理工具中去刪,系統將不允許刪除。
Q19、欲替換域中唯一的一臺DC,如何傳送五種主控和轉移GC。
一、傳送五種主控
操作:
1、安裝第二臺DC(假設爲DC2,原來的爲DC1),
2、到相應的管理工具(具體見前)下,右鍵連接到域控制器:DC2,
3、右鍵/操作主機/相應標籤下,點擊更改即可。
說明:
1、其實在圖形界面下,操作很簡單,關鍵看能不能成功。
2、目標都在下面,只有架構的特殊,目標在上面。
3、如果DC都是最近安裝的,極易成功。如果是運行了一段時間的,就不好說了。但我估計你的成功率應在九成以上,因爲一般網管都不太動這個。
4、傳送結構主控時,若目標已是GC,會提示出錯。可以不理會,繼續。因爲結構主控負責:更新外部對象的索引(組成員資格),不應該和GC在同一個DC上,應手動移走,否則將不起作用。而單域不需要基礎結構主控非得有效,我們一般平常用的都是單域,默認基礎結構主控就和GC在一起,不起作用。
5、若傳送不成功,不要着急,等5分鐘~2小時不等,你什麼都沒做,再試可能就成功了。可以利用AD站點和服務/站點/默認的第一個站點名/SERVER/DC/ntds setting/AD連接/右鍵/立即複製副本,來強制AD馬上覆制。但有時候,僅依賴於此,還是不行,還得等。
6、至於把老DC從AD中去除,在開始/運行/DCPROMO,卸載AD。不要選“這是域中最後一臺DC”,若能成功卸載,就一切OK了。如不成功,可以直接把原DC廢掉重裝。AD中會有原DC的垃圾對象,也不影響什麼。若非要清乾淨,參見前例。
7、如果原角色DC已經無法訪問,就只能進行強制傳送了,也就是查封(seize)。查封的實質就是強行推出新的主控,會有數據的丟失。在圖形界面下會有提示:原主控無法聯繫,是否強行傳送。選擇“是”,進行的就是查封操作。
8、利用ntdsutil工具roles下transfer命令和seize命令也可以實現上述操作。實驗中發現,無論是用transfer還是seize,關鍵看是否能連接到原主控。連接下情況,就是傳送;不連接情況下就是查封。如:在連接情況下,使用查封(seize)命令,操作的結果仍是傳送:原主控不再是主控,目標成爲新的主控。
二、轉移GC
GC不具有唯一性,可在AD站點和服務中,將DC2設爲GC。操作如下:
1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右鍵/屬性。
2、選中“全局編錄”。
3、你會看到在選項下面的說明:發佈全局目錄所需要的時間取決您使用的複製拓撲。
說明:不要急於把DC1斷開,應等待足夠長的時間,局域網環境一般也就是幾分鐘。是否將GC的內容成功傳送,可在DC2上查看註冊表
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters下是否有這樣一條:Global Catalog Promotion Complete=1。若未傳送完,沒有這一條。
Q20、如何進行AD的備份與恢復
最好的辦法是作爲系統狀態數據的一部分,利用2000/03自帶的備份工具來進行備份/恢復。備份工具位於:開始/程序/附件/系統工具下。利用備份/恢復系統狀態數據,可以恢復之前的域用戶帳戶數據和DNS,以及安全設置、組策略設置、還有配置等等。但DHCP、WINS等需要單獨備份。
說明:
說明:
1、 DNS區域必須爲AD集成區域,如果不是,在備份之前,將標準主區域轉成AD集成區域即可。因爲AD集成的意思就是:將DNS區域信息,作爲AD的一部分進行存儲、複製。
2、 管理工具下有關AD和域的管理工具的快捷方式不會被恢復(03仍未解決這個問題),可以運行2000S光盤I386\adminpak.msi,將所有的域管理工具追加上。也可手動開始/運行/MMC,添加相應的管理工具,如DNS、AD用戶和計算機等。
3、 重裝的2000/03系統,不必安裝AD,直接恢復就行。開機,F8,目錄恢復模式,恢復大約需要4-5分鐘。(實際當中我也試了,新裝的系統,沒有安裝AD,在正常啓動模式下恢復也可以,因爲它根本沒有AD,不涉及到AD正在工作,不允許替換的問題,只不過時間會稍長一些,約7-8分鐘)
4、 2000下利用備份工具恢復系統狀態數據時,需要手動將“如果文件已存在:不替換”改爲“如果文件已存在,總是替換”。
具體操作:工具/選項/還原:選擇“無條件替換本地上的文件”。否則2000在恢復時,可能不會把winnt\sysvol\sysvol(裏面是組策略具體的設置值,被稱爲GPT)給恢復回來。03DC上沒有這個問題,系統會自動提示是否替換,選擇“是”即可。
5、具體備份/恢復的步驟,參考下例。
Q21、如何進行授權恢復
首先我們通過一個例子,來說明一下什麼是授權恢復。
設域內有不止一臺DC,管理員誤刪除了一個OU,然後用以前的AD備份進行了恢復操作。如果不做什麼特別的設置(即授權恢復),當DC間進行AD同步時,由被恢復的數據是以前的,AD的版本號低,將被其它DC的高版本內容所覆蓋。這樣剛被恢復的OU就又被刪掉了。
所以我們需要手動通過ntdsutil工具指定對這個OU對象進行授權恢復,系統將按距備份時間每隔一天100000的標準來增加其AD版本號,確保一定高於其它DC上的版本號。
具體操作如下:
1、重啓DC,按F8,選擇目錄恢復模式
2、用目錄恢復模式下的管理員SAM帳號登錄
3、開始/程序/附件/系統工具/備份,在恢復標籤下進行“系統狀態數據”的恢復
4、若此時重新啓動DC,則以上爲正常恢復,即非授權恢復。
若要進行授權恢復,則此時一定不要重啓DC
4、開始/運行:ntdsutil
5、鍵入authoritative restore,到授權恢復提示符
6、鍵入restore subtree 對象DN(也可以是子樹,甚至是整個AD)
7、退出Ntdsutil
8、重新正常啓動DC。
說明:若要進行系統卷SYSVOL(主要是組策略設置)的授權恢復,即將組策略恢復到以前的狀態,但AD庫要保留當前。不必使用Ntdsutil,直接將AD庫恢復到其它位置即可,這是因爲系統狀態數據在備份/恢復時,不能進行細化的選擇。
Q22、如何移動、整理AD數據庫?
一、移動AD數據庫
將 Ntds.dit 數據文件移動到指定的新目錄中並更新註冊表,使得在系統重新啓動時,目錄服務使用新的位置。系統爲了安全起見,並不刪除原來的數據庫。具體操作如下:
1、爲了以防萬一,最好備份AD。
2、重啓DC,按F8,選擇目錄恢復模式
3、用目錄恢復模式下的管理員SAM帳號登錄
4、開始/運行:ntdsutil
5、輸入files,切換到文件提示符files>下
6、輸入 move DB to c:\ folder
7、移動Ntds.dit成功提示。
8、輸入quit二次,退出
9、重新正常啓動DC
二、整理AD數據庫
將調用 Esentutl.exe 以壓縮現有的AD庫文件,並將壓縮後的AD庫文件寫入到指定文件夾中。壓縮完成之後,將保留原來的AD庫文件,將新的壓縮後的AD庫文件保存到到該文件的原來位置。
另外順便說明一下,ESENT也支持聯機壓縮,目錄服務定期(默認12小時)調用聯機壓縮,但聯機壓縮只是重新安排數據文件內的頁面,並不能象手動壓縮這樣:將空間釋放回文件系統。
整理AD數據庫具體步驟如下:
1-5步,與前面相同。
6、輸入compact to c:\folder
7、顯示整理碎片,直至完成。
8、輸入quit,退出。
9、對於2000需要:複製新的NTDS.DIT文件覆蓋舊的NTDS.DIT文件
10、重新正常啓動DC2-3-4組策略應用相關實例
關於組策略應用的實例,那真是三天三夜也說不完,因爲總共有600+200多條策略。在此僅舉幾例,來說明問題。有的比較簡單,有的稍微複雜一些,我們會展開來討論一下。需要強調的是,作爲管理員平時要多看看組策略中具體都有哪些設置,當然誰也不可能逐條去實踐去測試,但要大概有個印象。當有某種需求時,你纔會想起某條組策略設置來,根據印象找到那條策略,先看說明標籤,再具體實踐,逐步積累。
前面我們講過安全策略是組策略的子集(一部分),我們會首先討論和安全策略相關的實例,然後纔是其它的策略。
Q1、普通域用戶無法在DC上登錄?
爲了保護域控制器,默認能在DC上登錄的用戶只有:Administrators、Account operators、Backup operators、Server operators、Print operators這些特定的管理組。要想使普通域用戶有權在DC上登錄,可以將其加入到這些組中。
但更多時候,我們不想讓用戶有過多的權利權限,也可以在開始/程序/管理工具/域控制器的安全策略/本地策略/用戶權利分配/允許在本地登錄下通過添加,指派其在DC上登錄的權利即可。
Q2、在03域中添加用戶時,總是提示我不符合密碼策略,怎麼辦?
對於03,默認域的安全策略與2000域不同。要求域用戶的口令必須符合複雜性要求,且密碼最小長度爲7。口令的複雜性包括三條:一是大寫字母、小寫字母、數字、符號四種中必須有3種,二是密碼最小長度爲6,三是口令中不得包括全部或部分用戶名。
我們可以設置複雜一些的密碼,也可以重新設默認域的安全策略來解決。操作如下:
開始/程序/管理工具/域安全策略/帳戶策略/密碼策略:
¨ 密碼必須符合複雜性要求:由“已啓用”改爲“已禁用”;
¨ 密碼長度最小值:由“7個字符”改爲“0個字符”。
欲策略設置馬上生效,可利用gpupdate進行刷新。(具體見前)
如果添加的是本地用戶,解決辦法與此相同,只不過修改的是本地安全策略。
Q3、在2000/03域中,前網管設置了一個開機登陸時的提示頁面,已過時,現想取消,如何操作?
登錄到本機時出現,則在管理工具/本地安全策略,或開始/運行:gpedit.msc中配置。若是登錄到域時出現,則在管理工具/域的安全策略,或AD用戶和計算機/屬性/組策略中配置。具體會涉及到:安全設置/本地策略/安全選項下的這兩條,
¨ 交互式登錄:用戶試圖登錄時消息標題
¨ 交互式登錄:用戶試圖登錄時消息文字
Q4、如何設置不讓用戶修改計算機的配置(如TCP/IP等)?
可以利用本地策略或基於域的組策略鎖定,具體操作:
1、 本地:開始/運行:gpedit.msc。或
2、 域:開始/程序/管理工具/AD用戶和計算機/域名上/右鍵/屬性/組策略/默認域的組策略
3、在用戶配置/管理模板/網絡/網絡及撥號連接:禁止訪問LAN連接的屬性。
說明:
1、 若利用本地策略實現,本地管理員,可以重新設置策略解開。
2、 若利用域策略實現,只是域用戶受此限制。本地管理員,不受此限制。
所以應該不給用戶本地管理員口令,讓用戶以非本地管理員/域用戶身份登錄。爲了保證用戶能安裝軟件或做其它管理工作,可將其加入本地的Power Users組。
Q5、非管理員用戶無法登錄到終端服務器?
欲使用戶能利用“終端服務客戶端軟件”或“遠程桌面”登錄到2000/03 Server,對於2000S需要在服務器上安裝終端服務,對於03S只需在我的電腦/右鍵/屬性/遠程/遠程桌面下,選中“允許用戶遠程連接到這臺計算機”即可。對於管理員默認即可通過TS登錄進來。
非管理員用戶通過終端服務無法登錄,除了網絡連接方面的問題以外,主要有以下五個方面的原因:
1、終端服務器同時是DC,而普通用戶無權在DC上登錄。
解決辦法:具體見前。
2、安全策略/本地策略/用戶權利分配:通過終端服務允許登錄。
這是03特有的,2000沒有這條安全策略。解決辦法,
方法一、在我的電腦/右鍵/屬性/遠程/遠程桌面下,選中“允許用戶遠程連接到這臺計算機”選項後,單擊“選擇遠程用戶”/添加。用戶將被自動加入到Remote Desktop Users組,而這個組默認有“通過終端服務允許登錄”的權利。
方法二、手動將用戶加入到Remote Desktop Users組
方法三、手動直接指派用戶“通過終端服務允許登錄”的權利
注意:如果終端服務器同時是DC,必須使用方法三。原因是爲了保護DC,DC上的本地安全策略裏,只允許Administratrs組有此權利,而將Remote Desktop Users組刪掉了。
3、開始/程序/管理工具/終端服務配置/RDP-Tcp/右鍵/屬性/權限。
解決辦法:手動將用戶加入到Remote Desktop Users組,或確保用戶在此權限下有來賓訪問或用戶訪問的權限。
4、用戶所用帳號口令爲空。
若終端服務器爲03,用戶使用此服務器上的本地帳號、且口令爲空,通過TS登錄。由於03本地安全策略/本地策略/安全選項/帳戶:使用空白密碼的本地帳戶只允許進行控制檯登錄,默認啓用,這將會阻止用戶登錄。解決辦法:使用非空密碼或禁用此策略。
順便提一下,這也是常見的通過網絡訪問XP/03上的共享資源,不通的原因之一。
5、所用帳號屬性/終端服務配置文件/“允許登錄到終端服務器”選項。
這個選項,默認就是選中的,除非有人動過。解決辦法:手動選中即可。
6、還有兩種可能:
(1)2000:未安裝TS服務;03:未啓用遠程桌面
(2)03:啓用了ICF,但未設允許RDP進入
(1)2000:未安裝TS服務;03:未啓用遠程桌面
(2)03:啓用了ICF,但未設允許RDP進入
Q6、在2000(也僅是2000)中由於禁止本地登錄權利而導致的所有用戶、管理員無法登錄。
在安全策略/本地策略/用戶權利分配下有兩條策略:
¨ 拒絕本地登錄,默認爲“未定義”。
¨ 允許在本地登錄,其默認值分別爲:
u 本地計算機策略:Administrators、Backup Operators、Power Users、Users
u 默認域的策略:未定義
u 默認域控制器的策略:Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname
說明:如果在同一級別上、對同一對象(用戶或組)、同時設置了“允許”和“拒絕”,“拒絕”權利的優先級別高。也就是說二者衝突時,“拒絕”權利生效。
假設不小心或乾脆有人使壞在拒絕本地登錄上設置了所有人或管理員,又或者在允許登錄上把管理員給刪掉了。不論哪一種情況都會導致管理員無法登錄,出錯提示爲:“此係統的本地策略不允許您採用交互式登錄”,也就沒辦法將策略設置改回正常了。
這種情形看起來像一個解不開的"死結":要解除禁止本地登錄的組策略設置,必須以管理員身份本地登錄;要以管理員身份本地登錄,就必須先解除禁止本地登錄的組策略設置。
問題還是有辦法解決的,分別討論如下:
一、被域策略和域控制器策略所阻止
顯然你應該是被域策略和域控制器策略同時阻止了登錄權利,因爲:
1、如果只是域策略阻止,由於默認域控制器的策略上允許Administrators登錄,而域控制器(Domain Controllers)是個OU,前面我們講過組策略的LSDOU原則,所以管理員可以登錄到DC上,把策略改回去。
2、如果只是域控制器的策略阻止,它只對DC生效。管理員可以在域內的其它計算機上登錄到域,把策略改回去。
要解決被域策略和域控制器策略同時阻止,首先我們來回顧一下前面講過的“具體的策略設置值存儲在GPT中,位於DC的winnt\sysvol\sysvol中,以GUID爲文件夾名。”其中安全設置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf這個安全模板文件中。它實質就是一個文本文件,可利用記事本進行編輯。
說明:前面我們介紹過,默認域的策略、默認域控制器的策略使用固定的GUID,分別是:
¨ 默認域的策略的GUID爲31B2F 340-016D-11D2-945F -00C 04FB984F 9
¨ 默認域控制器的策略的GUID爲6AC 1786C -016F -11D2-945F -00C 04FB984F 9。
可以利用C盤的隱含共享C$,或winnt\sysvol\sysvol的共享sysvol連過去,直接編輯,具體操作如下:
1、在另一臺聯網的計算機(Win9X/2000/XP均可)上,使用域管理員賬號連接到DC。
2、利用記事本打開GptTmpl.inf文件。
3、找到文件中[Privilege Rights]小節下的拒絕本地登錄“SeDenyInteractiveLogonRight”和允許在本地登錄“SeInteractiveLogonRight”關鍵字,進行編輯即可。如:
¨ 使SeDenyInteractiveLogonRight所等於的值爲空。
¨ 保證SeInteractiveLogonRight= *S-1-5-32 -544,……
4、保存退出。
說明:
1、關於各SID所表示的意義,參見前面的表格。SID前面的*要保留,系統執行時纔不會其後面的SID當作具體的用戶/組的名字。
2、如果域中不止一臺DC,爲保證DC同步時剛纔所做的修改最終生效(原理同授權恢復),需要:
(1)打開winnt\sysvol\sysvol\你的域名\Policies\剛剛所修改策略的 GUID\ GPT.INI文件
(2)找到文件中的[General]小節下的“Version”,手動將其值增大,通常是加10000。這是我們修改的這個組策略對象的版本號,版本號提高後可以保證我們的更改被複制到其它DC上。
(3)保存退出。
5、重新啓動DC,域策略將被刷新。
說明:也可以在DC上運行secedit /refreshpolicy machine_policy /enforce刷新策略,這樣就不必重啓DC了。但需要用到telnet,細節參考前面telnet命令和接下來的內容。
6、以域管理員身份在DC上正常登錄到域,重新設置安全域策略中的相關項目。
二、被本地安全策略所阻止
很多人都會想到利用MMC遠程管理功能,重設目標機的安全策略。具體操作如下:
開始/運行/MMC/添加/組策略/瀏覽/計算機/另一臺計算機,如果有權限的話,你會發現你能找到並管理其它的策略設置,但是就是沒有安全策略等項目出現在列表中。
這是由於在Windows2000中,不支持對計算機本地策略的安全設置部分進行遠程管理。而且本地安全策略設置的實現也與域策略不同,它存放在一個二進制的安全數據庫secedit.sdb。
那麼我們該怎麼辦呢?我們可以使用telnet連接到故障計算機上,利用前面我們介紹過secedit命令導出安全設置到安全模板,即擴展名爲.inf的文本文件中。利用記事本編輯後,再利用secedit命令將修改後的安全設置配置給計算機,這樣也就大功告功了。但如果故障計算機上的telnet服務沒有啓動,那麼我們應該首先把故障計算機上telnet服務啓動起來,才能連過去。
說明:因爲telnet服務的啓動類型,默認爲手動,所以正常情況下它是不會啓動的。此時連過去的出錯信息爲:正在連接以xxx不能打開到主機的連接,在端口23:連接失敗。
綜上所述,具體解決辦法如下:
1、在另一臺聯網的計算機(2000/XP/03均可)上,修改其管理員密碼,使用戶名和口令均與故障計算機上的相同。(這主要爲了方便,若在連接或使用的時候輸入目標計算機上的用戶名和口令,也可以)
2、註銷後,重新登錄進來。
3、我的電腦/右鍵/管理,打開計算機管理。
4、在計算機管理上/右鍵/連接到另一臺計算機:故障計算機IP。
5、在服務下找到telnet,手動將它啓動起來。
接下來使用telnet連接過來
6、開始/運行:cmd,鍵入telnet 目標IP
7、在C:\>提示符下,鍵入secedit /export /cfg c:\sectmp.inf,導出它的當前安全設置。
8、點擊開始/運行:\\目標IP\C$,雙擊c:\sectmp.inf,用記事本打開。
9、編輯sectmp.inf文件,具體同前面情況一的步驟3
10、回到步驟7的命令窗口,鍵入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf將修改後的設置值,配置給計算機。
11、運行secedit /refreshpolicy machine_policy /enforce刷新策略,這樣就不必故障計算機了。
12、以本地管理員身份在故障計算機上正常登錄到域,重新設置安全域策略中的相關項目。
最後說明一下:對於XP/03不存在上述問題,微軟已經修正了這個問題。用戶不能阻止所有人或管理員登錄,在圖形界面下根本設不上;使用其它手段強行設上了也不起作用。因此大家可以想一想,針對上面第一種情況,實際上可以加一臺XP/03到2000域,在XP/03上登錄到域,將其解開。
本例的實際排錯意義並不大,但建議大家最好還是能把這個實驗做一下,因爲它涉及到了很多知識點,如:基於域安全策略、本地安全策略的實施原理,組策略及其優先級,權利、SID,還有同名同口令帳戶登錄、telnet、secedit工具的使用等等。再有大家也可以做一下實驗,既然我們能通過網絡解開,同樣也能通過網絡設上。
Q7、Win2000/03域中默認策略被誤刪,如何恢復?
對於Win2000,微軟在“下載中心”提供了Windows 2000默認策略還原工具的下載。微軟開發這一工具旨在幫助用戶在意外刪除默認策略時,能夠重新還原“默認缺省域的組策略”和“默認域控制器的組策略”文件。請到下列地址下載相應工具:
[url]http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab[/url]2a -976d6873129d&DisplayLang=en
對於Win03,微軟提醒用戶不要將其應用於Windows Server 2003上。Win03自帶的Dcgpofix.exe就可以完成還原任務。
需要強調的是:作爲管理員應及時將組策略的設置進行備份。可利用2000/03自帶的備份工具,把組策略作爲系統狀態的一部分進行備份。也可以利用GPMC工具專門備份組策略的設置。這樣即使出問題了,重新恢復,也不用再把組策略重新設置了。
Q8、作爲管理員,我通過組策略設置了一些限制,如“不要運行指定的windows應用程序”,但總有個別用戶在網上能找到破解的辦法,我該怎麼辦?
這段話使我想起了關於網絡安全一條名言:沒有絕對的安全。我個人也覺得在計算機網絡世界裏,永遠是高手在蒙低手。若水平都很高,那麼最終的安全又回到了物理安全設置上(術語叫:社會工程)。下面以“不要運行指定的windows應用程序”這條組策略設置的***轉換,來闡明這個問題
第一回合:
管理員:通過本地策略限制某用戶運行某些用戶程序,如QQ、反恐、realplay等。操作:開始/運行,鍵入gpedit.msc,用戶配置/管理模板/系統/不要運行指定的windows應用程序,啓用/顯示/添加:上述應用的.exe文件名即可。
用 戶:用戶如果知道管理員怎麼設置的限制,同樣的辦法取消限制即可。
第二回合:
管理員:將mmc.exe也加入到上述禁止運行列表中,使用戶無法打開任何MMC管理控制檯。
用 戶:開始/運行:cmd,鍵入mmc,將會打開控制檯下,文件/添加刪除管理單元,添加:組策略對象編輯器/本地計算機策略,取消限制。
說明:用戶在CMD方式下,直接鍵入gpedit.msc仍不能運行。此解法的知識點來自這條策略的說明標籤。
第三回合:
管理員:將cmd.exe也禁止運行
用 戶:重新啓動計算機,按F8,選擇帶命令行的安全模式。登錄進來後,在CMD方式下,鍵入mmc,將會打開控制檯下,文件/添加刪除管理單元,添加:組策略對象編輯器/本地計算機策略,取消限制。
第四回合:
管理員:一看不行了,還是藉助於基於域的組策略吧。將用戶計算機加入到域,不給用戶本地管理員的口令,要求用戶使用一個域用戶帳號(爲不影響用戶的其它正常應用,可將其加入到客戶機的Power Uers組),並將此域用戶帳號放到一個OU中,鏈接組策略,設置上述限制。
用 戶:手動刪除註冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。
第五回合:
管理員:因爲默認情況下,若用戶手動修改註冊表中的組策略設置值,若策略未變,組策略不負責強制改回。管理員可利用組策略/計算機配置/管理模板/系統/組策略/註冊表策略處理,設置成“即使尚未更改組策略對象也進行處理”,執行強制性的、週期性刷新策略。
用 戶:用戶修改程序文件名,以避開策略的限制(尤其是對非MS的應用程序)。
第六回合:
管理員:設置權限,讓用戶無權修改文件名。
用 戶:利用用鳳凰啓動盤重設本地管理員密碼,以本地管理員登錄進來後,不受上述限制,也可以乾脆脫離域
第七回合:
管理員:在BIOS中禁用光驅並設上BIOS密碼,或物理斷開光驅。
用 戶:打開機箱,跳線清除BIOS密碼,或物理連接上光驅。
…… ……
通過本例大家也看到了,作爲網絡員應當不斷學習,提高自身技術才行。在學習要充分利用Internet這個最廣博的老師,最大的知識庫