行走的世界_博客

文章列表

您正在查看 "域控" 分类下的文章

有关客户首次端登陆域无法创建配置文件的问题

2009/08/07 11:57

检查c盘文件格式，转化成ntfs格式，并保证登陆账号有足够的权限。

无法更改用户配置文件类型（漫游改成本地），将c盘根目录下的winnt删掉或重命名（需用工具来删）。

类别：域控 | 评论(0) | 浏览()

域重命名

2008/06/16 08:09

1）在DNS中建立新域名的活动目录集成区域
2）将域模式和林模式都设为Windows Server 2003
3）将Windows Server 2003的安装光盘插入光驱，将“\VALUEADD\MSFT\MGMT”下的DOMREN目录复制到系统的C盘根目录下
4）接着依次点击“开始”、“程序”、“附件”、“命令提示符”项，在打开的“命令提示符”窗口中的命令行下使用CD命令进入DOMREN目录后，输入“Rendom /list”命令为当前林生成描述信息（将会使用XML编码结构将信息写入到一个输出文件中，默认文件名为domainlist.xml）。该文件包含了一些列表，列出了林中的所有域和应用程序目录分区，以及它们相应的DNS和NetBIOS名（应用程序目录分区没有NetBIOS名）
5）因为“Rendom /list”命令生成的当前林的描述文件是一个文本文件，所以现在可以使用系统中的“记事本”功能对它进行编辑。按下“Ctrl+H”键，在弹出的“替换”对话框中将所有的“shyzhong.com”替换成新域的名称“lovebook.cn”，并将NetBIOS的名称也进行相应的更换后，将该文件存盘。
6）接着返回到命令符提示窗口，在命令行中输入“Rendom /upload”命令。这条命令在运行后，域的命名主控会做出一些修改，以便为重命名操作的实际执行做好准备。
提示：
upload命令执行的操作和目录因此而发生的变化都是为将来的重命名操作做准备。在本步骤中不对域名进行任何的修改。
接着再依次输入“Rendom /prepare”命令和“Rendom /execute”命令。
7）“Rendom /prepare”命令主要是用于校验连到该域的所有DC是否准备就绪，如果看到有“Successfully”信息，那么则表示连接各DC成功。此外，本测试还对每台DC进行授权情况检查，以确定运行rendom /prepare命令的用户是否得到了授权执行重命名指令。如果用户没有得到“写”授权，命令将失败，并产生一个错误。
“Rendom /execute”命令用于发出正式更改域名的指令，如果看到有“Successfully”的信息，那么表示域的重命名过程成功完成了。
在上述命令执行完毕后，系统将会自动关闭重启。此外还必需对域中所有计算机执行两遍手工关机，第一次关机用于使新域成员资格生效；第二次关机则用于将计算机的DNS后缀自动转换为新域名称。
提示：
如果DNS后缀没有自动更改，请右击“我的电脑”图标，在弹出的菜单中选择“属性”，切换到“计算机名”选项卡设置界面后，点击“更改”按钮并根据提示操作即可。
8）五、调整组策略
因为在完成域的重命名应用后，希望组策略中的相关设置能够继续得到应用。所以还需要在命令符提示窗口的命令行中输入如下命令：
gpfixup /olddns:shyzhong.com /newdns:lovebook.cn /oldnb:SHYZHONG /newnb:LOVEBOOK /dc:lovebook.cn
9）在执行上述命令后（中间域名部分请自行根据实际情况进行修改），如果看到“Start fixing non-site group policy links”信息，则表示上述命令已经得到了成功执行。
六、删除原域名
现在再来了解一下对域重命名后如何删除原有的域名。这个操作只需使用“Rendom /clean”命令即可轻松完成从Active Directory中删除原域名的操作了。在成功运行了“Rendom /clean”命令后，新森林便准备就绪，可以进行下一次的森林结构调整工作。这一点只需从“Active Directory 域和信任关系”窗口就可以看出来了。

类别：域控 | 评论(0) | 浏览()

对域控制器进行重命名

2008/06/16 08:07

Windows Server 2003引入了一项新的功能，允许对域控制器进行重命名，可以使您根据组织和业务需要重新构建您的网络，增强了管理的灵活性。以下通过一个实例详细介绍了具体实现步骤和注意事项。

1. 首先，察看当前域控制器的名称（桌面，我的电脑，属性，计算机名）：可以看到当前域控制器的FQDN名 www.cmodu.com 。

　　2. 执行：开始，运行，cmd，切换到命令行模式。

　　3. 输入netdom，可以看到netdom提供了丰富的参数选项。

　　4. 和很多命令行工具类似，netdom命令也是一种上下文关联模式的命令行工具，根据输入参数的不同，提供了上下文关联的参数和说明。例如输入netdom add，会回显和add有关的子命令。（注意：netdom提供了大量参数，可以完成多种功能，在这里只介绍和域控制器重命名相关的命令。）

　　5. 使用enumerate参数,察看域控制器当前配置的计算机名，语法如下：

　　netdom computername ComputerName /enumerate:{AlternateNames | PrimaryName | AllNames}

　　其中ComputerName为当前域控制器的FQDN名，enumerate是一个过滤项，可以有选择的输出的名字类别：AllNames（全部显示），AlternateNames（仅显示别名），PrimaryName（仅显示主要名），默认是全部显示。

　　例如：netdom computername www.cmodu.com /enumerate

可以看到目前有且只有一个FQDN名 www.cmodu.com 。

　　6. 下面利用add参数添加一个新的FQDN名，语法如下：

　　netdom computername CurrentComputerName /add: NewComputerName

　　CurrentComputerName －－当前主机名，可以是FQDN或IP

　　NewComputerName －－添加的新的主机名，格式为FQDN,注意DNS后缀需保持一致

　　例如：netdom computername www.cmodu.com /add:smtp.df.com

　　可以看到命令已正确执行，使用前述察看命令如可以看到已成功添加新的别名:smtp.df.com。

7．下面用makeprimary参数提升别名为主要名，语法如下：

　　netdom computername CurrentComputerName /makeprimary:NewComputerName

　　例如：netdom computername www.cmodu.com /makeprimary:smtp.df.com

将DC主要名改为smtp.df.com，屏幕提示命令正确完成，并只有重启后新名称才能生效。

　　8.重启后，察看域控制器当前的FQDN名，可以看到名字已顺利更名为smtp.df.com。

　　9.确认重命名成功后，可以用remove参数移除旧的FQDN名，语法如下：
netdom computername NewComputerName /remove:OldComputerName

　　例如： netdom computername smtp.df.com /remove:www.ddvip.net

　　至此，DC重命名工作已顺利完成！

　　注意： 1. 要实现对域控制器的重命名，域控制器必须是Windows Server 2003版本，且功能级别在2003本机模式下。默认情况下，新装的2003 Server域控制器工作在Windows 2000混合模式下，需要通过“AD用户和计算机”提升到2003本机模式（AD用户和计算机，操作，所有任务，提升域功能级别）。

　　2.用netdom重命名域控制器，本质是修改了该域控制器在活动目录中的SPN属性，并更新DNS记录，这些修改会自动复制到其他DC和DNS。

3.在提升主要名后，重启之前，客户机依然保持对旧有名称的访问。

4.netdom是系统支持工具，使用前需先行安装（光碟:\SUPPORT\TOOLS\SUPTOOLS.MSI）。

类别：域控 | 评论(0) | 浏览()

support tools中专有AD工具

2008/01/16 17:16

在support tools中，有很多的工具，也有专用于检查和排除AD故障的工具，在此列举一下，希望大家也可以对这些命令的详细参数和使用给出讲解。<数字的含义，说明这个是个什么样的工具----1:命令行，2：MMC，3：GUI工具；>；这些资料都是从英文资料中翻译的，有错误请指出：

      acldiag.exe (ACL诊断，1，确定用户对AD资源是什么权限；也可重置ACL为默认状态)
      adsiedit.msc (ADSI编辑，2，添、删、移目录对象<含schema和配置命名上下文>；看、改、删目录对象属性)
      dcdiag.exe (DC诊断，1，分析在林或企业中DC的状态；报告任何错误<含DNS配置>)
      dfsutil.exe (分布式文件系统用，1，管理所有DFS问题，检查DFS服务器的并发配置；显示DFS拓扑结构)
      dsacls.exe (1，查看或修改目录对象的ACL)
      dsastat.exe (目录服务用，1，在DC上对比名称上下文和找出不同点)
      ldifde (1，在win2003或XPpro计算机上创、改、删目录对象)
      ldp.exe (LDP工具，3，允许LDAP操作，如：连、绑、改、添、删，to be performed against AD)
      movetree.exe (AD对象管理，1，移动AD对象，如：在单个林中的DC间OU和用户来完成域合并或组织架构重组)
      netdom.exe (windows域管理，1，管理WIN2003域和信任关系)
      nltest.exe (1，提供PDC的列表，强行远程关机、提供有关信任和复制的相关信息)
      ntfrsutl (1，用于NTFRS<NT file replication service>卸下内部表格、线程、和内存信息；依赖于本地和远程服务器的)
      repadmin.exe (复制诊断工具，1，诊断域间复制问题)
      replmon.exe (AD复制监视器，3，以图像方式显示复制拓扑，监视复制状态，强迫在DC间立即同步)
      sdcheck.exe (检查安全标识符，1，显示任何AD对象的安全标识符)
      search.vbs (AD查找工具，1，执行依赖于LDAP服务器的查找AD中的信息)
      setspn.exe (处理帐户服务主体名称，1，读、改、删一个AD服务帐户的SPN目录属性)
      sidwalker security administration tools (在2003和NT中管理访问控制策略,SIDwalker包含3个独立的程序：“Showaccs.ex e”和“sidwalk.exe”为1，用于检测和改变访问控制入口，“SecurityMigration Edtion”用于编辑在老和新的SID间的映射)

关于netdom的详细用法-----
用于重命名DC的名称时用：
1、“netdom computername 现在的DC名 /add:新DC名”(AD中这个DC帐户的SPN进行更新和注册新域名到DNS资源记录中)
2、“netdom computername 现DC名 /makepprimay:新DC名”(更新在AD上的本DC名为新的DC名；但这时两个DC都存在可使用)
3、“netdom computer 新DC名/enumerate:”(检查本DC有那些名称)
4、“netdom computername 新DC名 /remove:旧DC名”(清除旧的DC名称)

再来一个：关于repadmin的----
检查DC的更新复制状态：使用“repadmin.exe”复制诊断工具。
       (如：检查本DC server1与其它DCserver2、server3之间的复制状态，在server1上输入：
-------repadmin /showutdvec server2.abc.com dc=abc,dc=com
-------repadmin /showutdvec server3.abc.com dc=abc,dc=com
结果分析：
   若server2的up-to-data的状态值到server1是“server1@USN 2604”高于到server3的“server1@USN 2590”，则可以可靠地把server1上的角色转换到server2；
   若一定要夺取到server2，但server3的值更高，则可以等待常规的复制更新到server2或使用“repadmin /syncall”强行马上复制)

类别：域控 | 评论(0) | 浏览()

在主域控脱机后如何将辅助域控变成主域控

2008/01/15 09:16

一、Active Directory操作主机角色概述

Active Directory 定义了五种操作主机角色（又称ＦＳＭＯ）：

架构主机 schema master、

域命名主机 domain naming master

相对标识号 (RID) 主机 RID master

主域控制器模拟器 (PDCE)

基础结构主机 infrastructure master

而每种操作主机角色负担不同的工作，具有不同的功能：

架构主机

具有架构主机角色的 DC 是可以更新目录架构的唯一 DC。这些架构更新会从架构主机复制到目录林中的所有其它域控制器中。架构主机是基于目录林的，整个目录林中只有一个架构主机。

域命名主机

具有域命名主机角色的 DC 是可以执行以下任务的唯一 DC：向目录林中添加新域。从目录林中删除现有的域。

添加或删除描述外部目录的交叉引用对象。

相对标识号 (RID)

主机此操作主机负责向其它 DC 分配 RID 池。只有一个服务器执行此任务。在创建安全主体（例如用户、组或计算机）时，需要将 RID 与域范围内的标识符相结合，以创建唯一的安全标识符 (SID)。每一个 Windows 2000 DC 都会收到用于创建对象的 RID 池（默认为 512）。RID 主机通过分配不同的池来确保这些 ID 在每一个 DC 上都是唯一的。通过 RID 主机，还可以在同一目录林中的不同域之间移动所有对象。

域命名主机是基于目录林的，整个目录林中只有一个域命名主机。相对标识号（RID）主机是基于域的，目录林中的每个域都有自己的相对标识号（RID）主机

PDCE

主域控制器模拟器提供以下主要功能：

向后兼容低级客户端和服务器，允许 Windows NT4.0 备份域控制器 (BDC) 加入到新的 Windows 2000 环境。本机 Windows 2000 环境将密码更改转发到 PDCE。每当 DC 验证密码失败后，它会与 PDCE 取得联系，以查看该密码是否可以在那里得到验证，也许其原因在于密码更改还没有被复制到验证 DC 中。

时间同步 — 目录林中各个域的 PDCE 都会与目录林的根域中的 PDCE 进行同步。

PDCE是基于域的，目录林中的每个域都有自己的PDCE。

基础结构主机

基础结构主机确保所有域间操作对象的一致性。当引用另一个域中的对象时，此引用包含该对象的

全局唯一标识符 (GUID)、安全标识符 (SID) 和可分辨的名称 (DN)。如果被引用的对象移动，则在域中担

当结构主机角色的 DC 会负责更新该域中跨域对象引用中的 SID 和 DN。

基础结构主机是基于域的，目录林中的每个域都有自己的基础结构主机

默认，这五种ＦＭＳＯ存在于目录林根域的第一台DC（主域控制器）上，而子域中的相对标识号 (RID) 主机、PDCE 、基础结构主机存在于子域中的第一台DC。

--------------------------------------------------------------------------------

二、环境分析

公司Test.com（虚拟）有一台主域控制器DC-01.test.com，还有一台额外域控制器DC-02.test.com。现主域控制器（DC-01.test.com）由于硬件故障突然损坏，事先又没有DC-01.test.com的系统状态备份，没办法通过备份修复主域控制器（DC-01.test.com），我们怎么让额外域控制器（DC-02.test.com）替代主域控制器，使Acitvie Directory继续正常运行，并在损坏的主域控制器硬件修理好之后，如何使损坏的主域控制器恢复。

如果你的第一台ＤＣ坏了，还有额外域控制器正常，需要在一台额外域控制器上夺取这五种ＦＭＳＯ，并需要把额外域控制器设置为GC。

--------------------------------------------------------------------------------

三、从AD中清除主域控制器DC-01.test.com对象

3.1在额外域控制器(DC-02.test.com)上通过ntdsutil.exe工具把主域控制器(DC-01.test.com)从ＡＤ中删除；

c:>ntdsutil

ntdsutil: metadata cleanup

metadata cleanup: select operation target

select operation target: connections

server connections: connect to domain test.com

select operation target: list sites

Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 2 server(s)

0 - CN=DC-01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

1 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

select operation target: select server ０

select operation target: quit

metadata cleanup:Remove selected server

出现对话框，按“确定“删除DC-01主控服务器。

metadata cleanup:quit

ntdsutil: quit

3.2使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中DC-01服务器对象，

ADSI EDIT是Windows 2000 support tools中的工具，你需要安装Windows 2000 support tool，安装程序在windows 2000光盘中的support\tools目录下。打开ADSI EDIT工具，展开Domain NC[DC-02.test.com]，展开OU=Domain controllers，右击CN=DC-01，然后选择Delete，把DC-01服务器对象删除，如图1：

3.3 在Active Directory Sites and Service中删除DC-01服务器对象

打开Administrative tools中的Active Directory Sites and Service，展开Sites，展开Default-First-Site-Name，展开Servers，右击DC-01，选择Delete，单击Yes按钮，如图2：

--------------------------------------------------------------------------------

四、在额外域控制器上通过ntdsutil.exe工具执行夺取五种ＦＭＳＯ操作

c:>ntdsutil

ntdsutil: roles

fsmo maintenance: Select operation target

select operation target: connections

server connections: connect to domain test.com

select operation target: list sites

Found 1 site(s)

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

select operation target: select site 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

No current domain

No current server

No current Naming Context

select operation target: List domains in site

Found 1 domain(s)

0 - DC=test,DC=com

select operation target: select domain 0

Site - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=com

Domain - DC=test,DC=com

No current server

No current Naming Context

select operation target: List servers for domain in site

Found 1 server(s)

0 - CN=DC-02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=te

st,DC=com

select operation target: select server ０

select operation target: quit

fsmo maintenance:Seize domain naming master

出现对话框，按“确定“

fsmo maintenance:Seize infrastructure master

出现对话框，按“确定“

fsmo maintenance:Seize PDC

出现对话框，按“确定“

fsmo maintenance:Seize RID master

出现对话框，按“确定“

fsmo maintenance:Seize schema master

出现对话框，按“确定“

fsmo maintenance:quit

ntdsutil: quit

（注：Seize是在原FSMO不在线时进行操作，如果原FSMO在线，需要使用Transfer操作）

--------------------------------------------------------------------------------

五、设置额外控制(DC-02.test.com)为ＧＣ（全局编录）

打开Administrative Tools中的Active Directory Sites and Services，展开Sites，展开Default-First-Site-Name，展开Servers，展开DC-02.test.com(额外控制器)，右击NTDS Settings选择Properties，然后在"Global Catalog"前面打勾，单击"确定"按钮，然后重新启动服务器。

--------------------------------------------------------------------------------

六、重新安装并恢复损坏主域控制器

修理好DC-01.test.com损坏的硬件之后，在DC-01.test.com服务器重新安装Windows 2000 Server，安装好Windows 2000 Server之后，再运行Dcpromo升成额外的域控制器；如果你需要使DC-01.test.com担任五种FMSO角色，通过ntdsutil工具进行角色转换，进行Transfer操作就行了（注意：不能用Seize）。并通过Active Directory Sites and Services设置DC-01.test.com为GC，取消DC-02.test.com的GC功能。

建议domain naming master不要和RID master在一台DC上，而domain naming master同时必须为GC。

使用ntdsutil工具删除已不存的的DS对象的一个例子

（本例中假定要删除的对象为一台已崩溃的DC，其FQDN为addemo.acme.com，另一DC的FQDN为adddc.acme.com）

C:\>ntdsutil

ntdsutil: metadata cleanup - 清理不使用的服务器的对象

metadata cleanup: select operation target - 选择的站点，服务器，域，角色和命名上下文

select operation target: connections - 连接到一个特定域控制器

server connections: connect to server adddc - 连接到adddc

绑定到 adddc ...

用本登录的用户的凭证连接 adddc。

server connections: quit - 返回上一层目录

select operation target: list site - 在企业中列出站点(找到1个站点，标识为0)

找到 1 站点

0 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

select operation target: select site 0 - 将标识为 0 的站点定为所选站点

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

没有当前域

没有当前服务器

当前的命名上下文

select operation target: list domains - 列出所有包含交叉引用的域

找到 1 域

0 - DC=acme,DC=com

select operation target: select domain 0 - 将标识为 0 的域定为所选域

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

域 - DC=acme,DC=com

没有当前服务器

当前的命名上下文

select operation target: list servers for domain in site - 列出所选域和站点中的服务器(找到两个：0-adddemo.acme.com；1-adddc.acme.com)

找到 2 服务器

0 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

1 - CN=ADDDC,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

select operation target: select server 0 - 将标识为 0 的服务器（addemo）定为所选服务器——也就是要删除的DC

站点 - CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

域 - DC=acme,DC=com

服务器 - CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=acme,DC=com

DSA 对象 - CN=NTDS Settings,CN=ADDEMO,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configur

DNS 主机名称 - ADdemo.acme.com

计算机对象 - CN=ADDEMO,OU=Domain Controllers,DC=acme,DC=com

当前的命名上下文

select operation target: quit - 返回上一层目录

metadata cleanup: remove select server - 从所选服务器上删除 DS 对象

回车后，addemo.acme.com这个DS对象将和你的AD说永别了:)

类别：域控 | 评论(0) | 浏览()

域用户设置

2008/01/08 10:53

一般需要添加组的用法说明：（文件服务器共享权限设置）

一、在DC上新建部门OU；
二、在OU下创建各部门组；
三、将各部门成员添加进相对应的组；
四、在文件服务器上创建共享文件夹，并设置共享权限为everyone完全控制；
五、在安全权限中设置Domain Users组只读权限；
六、在共享文件夹下面创建各部门文件夹，并设置相对应的部门组只读；
七、在各部门组文件夹下创建使用者文件夹，并设置使用者完全控制权限；
本文来自: 中国网管论坛(bbs.bitsCN.com) 详细出处参考：http://bbs.bitscn.com/146749

类别：域控 | 评论(0) | 浏览()

此系统的本地策略不允许您采用交互式登录解决方法

2008/01/07 15:39

如果计算机是一台不在域中的单独的Windows 2000计算机，参考以下步骤：

1) 启动故障计算机至登录状态；

2) 登录到网络中的另外一台Windows 2000 或 Windows XP的计算机上，打开开始，单击运行，键入cmd,回车；

3) 在命令行模式下运行 net use \\computername\ipc$ /user:administrator password,请使用正确的参变量值替代其中的computername、password；

4) 打开开始，单击运行，键入\\computername\c$\security\database, 在打开的窗口中重新命名secedit.sdb至色Secedit.old，将一个标准版本的数据库文件拷贝至该目录，标准版本的数据库文件可以在未更改过组策略的单独的相应的计算机的c:\winnt\security\database中获得。（假设您的系统安装在c:\）；

5) 重新启动故障计算机，尝试登录。

如果计算机是在域中一台Windows 2000客户端或member server，参考以下步骤：

1) 请检查Site、Domain、OU级别的组策略，是否定义过本地登录，拒绝本地登录的选项，具体位置在计算机配置>Windows设置〉安全设置〉本地策略〉用户权利指派；

2) 如在该设置中有错误设置，请更正后，重新启动客户端；

3) 如果仍然不可以，请参考以上的五步重置secedit.db文件，断开故障计算机的网络，重新启动该计算机再尝试登录；

如果该计算机是一台域控制器，请参考以下步骤：

1）以管理员的身份登录网络中的另外一台Windows 2000的计算机；

2）获得ntrights.exe Resource Kit工具，将之拷贝到系统盘的Winnt\system32目录中；

3）如果您确认该问题是因为更改的组策略，对某个用户或组设置了拒绝本地登录而导致，在命令行中运行：

ntrights -m \\computer -u <group or user to remove> -r SeDenyInteractiveLogonRight

4）如果您确认该问题是因为更改的组策略，删除某个用户或组的本地登录的权限而导致，在命令行中运行：

ntrights -m \\computer -u <group or user to remove> +r SeInteractiveLogonRight

5）重新启动故障计算机，再次尝试登录。,

类别：域控 | 评论(0) | 浏览()

让软件适用于域环境

2008/01/07 11:52

很多软件在管理员环境下适用正常，但域用户登陆到工作站后，在本地是user权限，这有可能导致很多软件启动的时候会由于权限不足，而导致无法运行。这里用office2000作为例子来说明如何调试软件，使之可以在域环境下运行。

其实导致这个动作的原因是由于每当登陆的用户发生变化，启动office后，office会检查%userprofile%\Application Data\Microsoft下是否存在相关配制文件的目录，这些目录将用于存放相关office套件的启动配制文件。第一次启动套件，就会调用检查这些目录是否存在该路径，如果这些目录不存在，将试图按照注册表中登记的路径寻找data1.msi重新注册用户信息，并创建这些目录。如果在该路径和系统路径找不到此文件，就会弹出对话框询问此文件的位置。如果能够找到此文件，哪怕当前目录无法写入，系统也不会提示错误，正常进入，这可能是设计使然：）那么，我们一般有3中办法来解决这个问题。

一、在管理员的环境下启动office2000 套件，然后 copy 管理员的profile。这个动作，最好是用除local administrator和domain user两者之外的账户来做，一般就用domain admin好了。这么做的目的是为了避免系统复制profile的过程中导致文件占用，从而导致复制失败。方法是在“我的电脑”“用户配置文件”，选择administrator的profile，然后“复制到”选择document and settings下的domain user的目录。确定。选择所有者“更改”，更改为domain user。（注意：这一步非常重要，如果不更改，copy过去后，即使用domain user登陆，权限完全是administrator，因为它复制了管理员的注册表，而所有的安全策略设定都在注册表中纪录）

二、在fileserver上开设目录，放置data1.msi。或者在本地放置，（或者干脆放在netlogon目录：）这个做法，虽然可行，但不规范，我只是做个比方）然后在注册表中更改data1.msi的位置，指向它们就可以了。

对于office2000中data1.msi的位置如下：

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Installer\Products?E872D116BF00006799C897E\SourceList]
"LastUsedSource"=hex(2):6e,00,3b,00,31,00,3b,00,5c,00,5c,00,31,00,30,00,2e,00, 31,00,35,00,30,00,2e,00,37,00,2e,00,33,00,33,00,5c,00,73,00,6f,00,66,00,74, 00,77,00,61,00,72,00,65,00,5c,00,00,00

[HKEY_CLASSES_ROOT\Installer\Products?E872D116BF00006799C897E\SourceList\Net]
"1"=hex(2):5c,00,5c,00,31,00,30,00,2e,00,31,00,35,00,30,00,2e,00,37,00,2e,00, 33,00,33,00,5c,00,73,00,6f,00,66,00,74,00,77,00,61,00,72,00,65,00,5c,00,00, 00

后面是hex的数据，在注册表中是可见的，大家可以修改好之后，再导出使用。至于这个注册表如何分发，编写adm也可，策略分发也行，脚本执行也可。

三、在管理员环境下运行所有office套件，然后将管理员的%userprofile%\Application Data\Microsoft下的相关目录（word\excel……）直接复制到domain user目录下的对应目录。那么domain user在第一次和后续启动的时候，不会出现重新注册用户信息的进度条，直接进入。

注：由此扩展到域中其他软件，在管理员下运行正常，但domain user登陆后，无法正常运行。比如：金山词霸，在domain user登陆后运行，无法显示词库；比如：译点通，在domain user登陆后运行，无法翻译。前者是domain user对于注册表中software\kingsoft无权限读写，将此权限赋予domain user即可；后者是domain user对于软件安装目录无权限读写，将此权限赋予domian user即可。关于在域中实施策略来赋予domain users对于注册表键值和软件安装路径的读写权限，方法如下：

在实践操作的时候，可以结合策略中的设定计算机安全属性中的“登陆”和“档案系统”来做策略的分发（抱歉这里是用繁体的名称，下面用图片来说明它的位置）

通过在登陆项目中新增机码（主键）通过在档案系统中新增资料夹（文件夹）（注：在指定文件夹路径的时候，为了使用win2k和winxp，请使用%systemroot%）就可以完成这一点。

（注：如果当前系统中没有运行要调试的软件，那么软件的子键值是不会产生的，可以手动添加此主键。策略分发到client后，会自动应用于client的注册表中对应键值; 在添加用户的时候可以酌情考虑，是使用domain users还是其他；权限的设置，请点击修改旁边的拒绝，这样当前主键权限继承下去后，如果原来下面的子键已经有相应的权限，那么也会以拒绝优先）

相关信息：关于如何禁止domain user使用usb；如何禁止domain user运行windows自带游戏，请参考 [url]http://gnaw0725.blogdriver.com/gnaw0725/302835.html[/url]

类别：域控 | 评论(0) | 浏览()

域成员计算机加入域(张东辉)

2007/12/29 18:12

域成员计算机

（1）将计算机加入到域　　

首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。然后我的电脑/右键/属性/网络标识/属性/隶属于，选择域：输入域名，确定。提示输入用户口和口令，确定后提示重启。

说明：加入域时，如果输入的域名为FQDN格式，形如mcse.com，必须利用DNS中的SRV记录来找到DC，如果客户机的DNS指的不对，就无法加入到域。加入域时，如果输入的域名为NetBIOS格式，如mcse，也可以利用浏览服务（广播方式）直接找到DC，但它不是一个完善的服务，有时就会不好使。这样虽然也可把计算机加入到域，而且在等较长时间后也可以登录到域上去，但不推荐。因为客户机的DNS指的不对，则它无法利用2000DNS的动态更新动能，也就是说无法在DNS区域中自动生成关于这台计算机的A记录和PTR记录。那么同一域另一子网的2000及以上计算机就无法利用DNS找到它，这本应是可以的。再者，管理员无法在客户机上利用域的管理工具来远程管理域，因为这些管理工具必须使用DNS，出错提示：找不到域命名信息（有时客户机的DNS Client服务有问题也会出现上述提示，重启服务即可）。这种情况下，要进行远程管理，就只能利用TS（终端服务）基于IP来连了。　　当然用户也可以手动配置WINS或Lmhosts文件，来查找DC。这主要用于95/98/NT老版本计算机跨子网（路由）查找DC或加入域，因为这些老版本计算机无法利用DNS来查找DC，浏览服务又是广播方式，只能在本网段进行，因为广播信息是无法通过路由器的，RFC1542标准的路由器，可设置成允许DHCP的广播数据通过，仅是一个特例。需要说明的是：95/98可以使用域用户帐号登录到域，但并不能加入到域，在AD中也没有计算机帐号，而 NT可以。　　计算机加入域成功后，未重启，即已在AD用户和计算机/computer容器下生成计算机帐号了，实验中查看时，需要手动刷新一下。而在DNS中记录必须在计算机重启后（不必登录）或15分钟后才能自动注册或更新到DNS区域。但若我们平常修改一个计算机的名字或IP，要马上更新到DNS区域，倒不一定非得重启，可利用ipconfig /registerdns命令就行。明白以上讨论可用于排错，不一定非得重启登录后才知道结果。　　加入到 NT4域时，需要有管理特权才行；从Windows 2000开始，微软作了改进：在Windows 2000/03域中，默认Authenticated Users即可在域中最多创建 10 个计算机帐户。Authenticated Users指被验证的用户组，也就是说任何经过身份验证的普通域用户都可以加最多10台计算机到域。常见问题：在实际中用普通域帐号加计算机到域，有时会不好使，原因是同名计算机帐号（极可能是它自己已经失效的计算机帐号）已存在而无权覆盖，这时就得用域管理员帐号了。

（2）在加入域的计算机上，用域用户帐号登录到域。说明：　　在域中的非DC计算机上，可以选择登录到域或本机，这是因为它同时还拥有本地用户帐号。而在DC上只能选择登录到域了，因为整个域都是DC的，它没有必要再保留本地帐号了。2000是个红叉，03干脆就没有了。　　安装AD时，会自动删除本地帐号，即使将来删除AD，也无法将本地帐号复原，而是重新生成的。这一点一定要注意：如果本地有EFS加密的文件，一定要将证书导出或将文件解密后，再在这台计算机上做AD安装实验。　　在2000及以上计算机上登录到域的过程是这样的：域成员计算机根据本机DNS配置去找DNS服务器，DNS根据SRV记录告诉它DC是谁，客户机联系DC，验证后登录。

（3）深入讨论：　　如果是在林中跨域登录，是首先查询DNS服务器，问林的GC是谁。　　前面我们在步骤（1）中强调“加入域前，首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。”其实如果域中有多个DNS 服务器，也可以指向其它的DNS服务器，当然这些DNS服务器之间得有区域复制关系。这样做的目的恰恰是：大中型网络为了平衡DNS负载。

类别：域控 | 评论(0) | 浏览()

檔案複寫服務

2007/12/29 10:11

下列是檔案複寫服務的警告及錯誤摘要說明，這是檔案複寫服務輪詢網域控制站 u-fileserver.uchoice.com.cn 的 FRS 複本組設定的相關資訊。

nTDSConnection 物件 cn=7980b680-3215-474f-bfb0-54490f5402cd,cn=ntds settings,cn=domain,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=uchoice,dc=com,dc=cn 和 cn=u-fileserver,cn=ntds settings,cn=domain,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=uchoice,dc=com,dc=cn 發生衝突。目前使用 cn=7980b680-3215-474f-bfb0-54490f5402cd,cn=ntds settings,cn=domain,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=uchoice,dc=com,dc=cn

nTDSConnection 物件 cn=domain,cn=ntds settings,cn=u-fileserver,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=uchoice,dc=com,dc=cn 和 cn=4ad8ec13-a842-4459-ba1a-9d5e03052cda,cn=ntds settings,cn=u-fileserver,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=uchoice,dc=com,dc=cn 發生衝突。目前使用 cn=domain,cn=ntds settings,cn=u-fileserver,cn=servers,cn=default-first-site-name,cn=sites,cn=configuration,dc=uchoice,dc=com,dc=cn

类别：域控 | 评论(0) | 浏览()

[首页] 1 [2] [下一页]