活動(dòng)目錄域故障解決實(shí)例(下)...

出處：5DMail.Net收集整理作者：5DMail.Net

Q16、正常卸載AD時(shí)的常見問題

在實(shí)際工作中有時(shí)我們需要改變服務(wù)器角色，或者將實(shí)驗(yàn)中安裝的DC回復(fù)到普通成員/獨(dú)立服務(wù)器身份，這就要進(jìn)行AD的卸載。

1、卸載時(shí)會(huì)提示給新的本地管理員設(shè)置密碼

2、附加DC卸載后，仍在域中。

3、如果AD不能卸載，應(yīng)從以下幾方面考慮：

（1）網(wǎng)卡是否正常工作

即使你整個(gè)林中只有一臺(tái)計(jì)算機(jī)，也要保證網(wǎng)卡正常工作，才能將AD卸載。網(wǎng)卡不工作或禁用網(wǎng)卡都會(huì)導(dǎo)致AD無法卸載，提示“卸載SYSVOL文件夾出錯(cuò)”

（2）權(quán)限

權(quán)限要求與安裝AD時(shí)類似，若一個(gè)林中只有一個(gè)域，那么你要卸載的就是林根域，需要林管理員（Enterprise Admins）權(quán)限；卸載附加DC需要該域的域管理員（Domain Admins）權(quán)限；卸載子域或樹，涉及到林結(jié)構(gòu)的改變，也需要林管理員權(quán)限。

（3）DNS

一般應(yīng)保證與安裝時(shí)所用DNS一致。如果做了DNS規(guī)劃，必須保證1中權(quán)限所要求的管理員身份能通過DNS找到相應(yīng)DC，進(jìn)行驗(yàn)證。

（4）域命名主控

卸載時(shí)只要涉及到林結(jié)構(gòu)的改變，就需要保證域命名主控有效；卸載附加DC時(shí)不要求域命名主控有效。

但要注意的是：卸載時(shí)，域命名主控失效的出錯(cuò)信息與安裝時(shí)的“AD無法與域命名主機(jī)xxx聯(lián)系”提示不同，具體是：由于以下原因，操作失敗。以提供的憑據(jù)綁定到服務(wù)器xxx失敗。“RPC服務(wù)器不可用”。

（5）卸載的順序

與安裝順序相反，應(yīng)該先逐級(jí)卸載下面的子域，最后卸載樹根域、林根域。否則將導(dǎo)致子域無法卸載，而存在的子域還有問題，找不到林根域、樹根域了。

因?yàn)檫@時(shí)極有可能架構(gòu)和域命名主控及GC未轉(zhuǎn)移，林管理員組和架構(gòu)管理員組（Schema Admins）已經(jīng)隨林根域的刪除而沒有了。為什么這么說呢？因?yàn)槿绻芾韱T考慮到主控及GC等的轉(zhuǎn)移問題，也就不會(huì)誤刪除林根域了。

Q17、AD無法正常卸載，或者說DC無法正常降級(jí)為成員服務(wù)器？

1、Dcpromo /forceremoval強(qiáng)制卸載AD

2、重設(shè)目錄恢復(fù)模式下的管理員密碼：

2000：winnt\system32\setpwd.exe

03：使用ntdsutil實(shí)用工具，set dsrm password

如果按照上例的要求，還是無法正常卸載AD，且出錯(cuò)提示未提到DNS方面的故障。考慮本機(jī)上已安裝有的應(yīng)用程序，你還不想重做系統(tǒng)，可考慮使用如下辦法。

1、開始/運(yùn)行，在命令行中輸入regedit或regedt32打開注冊(cè)表編輯器。

2、找到以下的鍵值：

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options

　　鍵值：ProductType 類型：REG_SZ

3、將原來的值“LanmanNT”改為“ServerNT”。

說明：

（1）LanmanNT表示本機(jī)為域控制器DC，ServerNT表示本機(jī)為非DC。

（2）只有當(dāng)CurrentControlSet1和CurrentControlSet下的鍵值：ProductType 所等于的數(shù)據(jù)不同時(shí)，即一個(gè)為ServerNT，一個(gè)為L(zhǎng)anmanNT才允許修改。否則將會(huì)出如下提示：

¨ 對(duì)于2000：“系統(tǒng)已檢測(cè)到干預(yù)您的注冊(cè)產(chǎn)品類型，這是您對(duì)軟件許可證的侵犯。干預(yù)產(chǎn)品類型是不允許的。”

¨ 對(duì)于03：“系統(tǒng)檢測(cè)到您的注冊(cè)的產(chǎn)品類型有篡改現(xiàn)象。這是對(duì)軟件許可證的侵犯。篡改產(chǎn)品類型是不允許的。”

（3）教學(xué)實(shí)踐中可以利用ntdsutil將子域的server對(duì)象（實(shí)質(zhì)指DC）手動(dòng)刪除，然后運(yùn)行dcpromo降級(jí)，降級(jí)失敗后演示此知識(shí)點(diǎn)。

接下來，方法一：

1、重新啟動(dòng)計(jì)算機(jī)，按F8鍵進(jìn)入到“目錄服務(wù)恢復(fù)模式”。

說明：

（1）在此模式下，AD不工作，以便對(duì)AD庫文件及系統(tǒng)卷sysvol進(jìn)行操作。

（2）登錄的口令不同于平時(shí)所用的口令，是在安裝AD時(shí)，所設(shè)的目錄恢復(fù)模式下的口令。保存在本機(jī)一個(gè)SAM庫文件中。

2、刪除存放活動(dòng)目錄數(shù)據(jù)庫的文件夾，默認(rèn)為C:\WinNT\NTDS，或C:\Windows\NTDS。

3、刪除存放系統(tǒng)卷的文件夾，默認(rèn)為C:\WinNT\SYSVOL，或C:\Windows\SYSVOL

4、重新啟動(dòng)計(jì)算機(jī)。

5、由于還有一些作為域控制器的注冊(cè)表鍵值和文件存在，所以在重新啟動(dòng)完計(jì)算機(jī)后，還需要使用dcpromo命令來升級(jí)計(jì)算機(jī)B到一個(gè)臨時(shí)的域的域控制器（域名可以任意填寫），然后再用dcpromo命令降級(jí)，這樣才會(huì)完整地刪除所有和域控制器相關(guān)的注冊(cè)表鍵值和文件。

方法二

1、開始/運(yùn)行，在命令行中輸入dcpromo

2、由于前面已經(jīng)修改了注冊(cè)表，此時(shí)為AD安裝界面，而非卸載界面。

3、會(huì)遇到如下出錯(cuò)提示：“由于網(wǎng)絡(luò)上名稱沖突，選定默認(rèn)的NetBIOS域名‘xxx’”。

說明：xxx為你修改注冊(cè)表前原來域的NetBIOS名稱。

4、不必介意出錯(cuò)提示，手動(dòng)設(shè)置你想要的名稱。比如你此次的域?yàn)閍bc.com，則手動(dòng)設(shè)xxx改為ABC即可。

5、再接下來會(huì)遇到提示：“c:\winnt\ntds文件夾不是空的，當(dāng)升級(jí)處理開始時(shí)，要?jiǎng)h除文件夾中所有的文件嗎？（如果不，請(qǐng)指定另一個(gè)文件夾。）”

6、選擇：是

說明：

（1）在選擇系統(tǒng)卷的夾，如c:\winnnt\sysvol后，時(shí)間可能會(huì)比較長(zhǎng)，請(qǐng)耐心等待。

（2）和正常安裝時(shí)一樣，可能會(huì)碰到DNS錯(cuò)誤提示，一般選擇在本機(jī)安裝DNS即可。

（3）也可能會(huì)出現(xiàn)“計(jì)算機(jī)已脫離域，賬號(hào)未被禁用”的提示，不必理會(huì)。

（4）最重要的一點(diǎn)是：這第一次非?？赡懿怀晒?，再重來一遍dcpromo即可。

7、如果這次安裝是為了清除殘余的注冊(cè)表鍵值和垃圾文件，可再次運(yùn)行dcpromo進(jìn)行卸載。當(dāng)然直接使用這臺(tái)DC，也是可以的。

最后強(qiáng)調(diào)一下，此方法并不是萬能的。一是前面我們已經(jīng)提到的，有時(shí)注冊(cè)表不允許修改或者改完了存不上。再有就是如果在卸載的一開始，就出現(xiàn)有關(guān)DNS的出錯(cuò)信息，必須首先排除DNS故障才行。

Q18、如何清理AD數(shù)據(jù)庫中的垃圾對(duì)象。

如果我們非正常卸載AD子域、DC等，就會(huì)在AD元數(shù)據(jù)庫中留下垃圾。比如上面的例子，又比如未經(jīng)AD卸載就把DC計(jì)算機(jī)的系統(tǒng)重做了。這些垃圾對(duì)象一般來講無礙大局，但如果我們想優(yōu)化AD的性能，不想給用戶帶來不必要的麻煩（比如用戶選擇登錄到已經(jīng)不存在的子域），就可以利用ntdsutil工具進(jìn)行元數(shù)據(jù)庫清理（metadata cleanup），來刪除垃圾對(duì)象。具體操作如下：

1、開始/運(yùn)行：cmd，在命令行下鍵入 ntdsutil。

說明：

（1）直接，開始/運(yùn)行：ntdsutil，也可以。

（2）進(jìn)行元數(shù)據(jù)庫清理，不要進(jìn)到目錄恢復(fù)模式下。

（3）進(jìn)行元數(shù)據(jù)庫清理，可以在非DC的2000/XP/03計(jì)算機(jī)上進(jìn)行。但有些操作（如使用ntdsutil工具進(jìn)行授權(quán)恢復(fù)、整理移動(dòng)AD庫文件）必須在DC上進(jìn)行。

（4）在ntdsutil的每級(jí)菜單下都可以通過鍵入：？或HELP，查看本級(jí)菜單下可用的命令。

2、在 ntdsutil: 提示符下，鍵入 metadata cleanup ，然后按 ENTER。

說明：ntdsutil是個(gè)分層的多級(jí)命令行工具，用戶在鍵入名字時(shí)，可簡(jiǎn)寫，只要不同于本級(jí)命令中的其它命令即可。比如上面的命令metadata cleanup可簡(jiǎn)寫為m c。

3、在 metadata cleanup: 提示符下，鍵入 connections ，然后按 ENTER。

4、在 server connections: 提示符下，鍵入 connect to server servername，然后按 ENTER。

說明：

（1）其中 servername 是指域控制器的DNS名稱，用主機(jī)名或FQDN均可。注意：雖然聯(lián)機(jī)說明中提到了可以用IP去連，但實(shí)際上發(fā)現(xiàn)用IP去連接，會(huì)出現(xiàn)參數(shù)不正確的出錯(cuò)提示。

（2）在這里要連接的DC，應(yīng)是一個(gè)正常工作的、可操作的DC，而不是你要清理的那個(gè)DC對(duì)象。

5、鍵入 quit ，然后按 ENTER 回到 metadata cleanup: 提示符。

6、鍵入 select operation target ，然后按 ENTER。

7、鍵入 list domains ，然后按 ENTER。

說明：此操作將列出林中的所有域，每一域附帶與其相關(guān)聯(lián)的一個(gè)數(shù)字。

8、鍵入 select domain number，然后按 ENTER。

說明：其中 number 是與故障服務(wù)器所在的域相關(guān)的數(shù)字。

9、鍵入 list sites ，然后按 ENTER。

10、鍵入 select site number，然后按 ENTER。

說明：其中 number 是指域控制器所屬的站點(diǎn)號(hào)碼。

11、鍵入 list servers in site ，然后按 ENTER。

說明：這將列出站點(diǎn)上所有服務(wù)器，每一服務(wù)器附帶一個(gè)相關(guān)的數(shù)字。

12、鍵入 select server number，然后按 ENTER 。

說明：其中 number 是指要?jiǎng)h除的域控制器。

13、鍵入 quit ，然后按 ENTER，退回到Metadata cleanup 菜單。

接下來，根據(jù)需要，刪除相應(yīng)的垃圾對(duì)象：

14、鍵入 remove selected server ，然后按 ENTER。

此時(shí)，Active Directory 確認(rèn)域控制器已成功刪除。若收到無法找到對(duì)象的錯(cuò)誤報(bào)告，Active Directory 可能已刪除了域控制器。

15、或者鍵入 remove selected domain，然后按 ENTER。

說明：要想刪除域，必須得先刪除這個(gè)域的server對(duì)象（實(shí)質(zhì)是DC）才行。

16、鍵入 quit 然后按 ENTER 直至回到命令符。

如果清理的是Server對(duì)象，還需要：1、到Active Directory 站點(diǎn)和服務(wù)上，展開適當(dāng)站點(diǎn)，刪除相應(yīng)Server對(duì)象。2、到Active Directory 用戶和計(jì)算機(jī)上，雙擊打開Domain Controllers這個(gè)OU，刪除相應(yīng)的DC對(duì)象。

如果清理的是Domain對(duì)象，還需要到Active Directory域和信任關(guān)系上，刪除相應(yīng)的已經(jīng)沒有用的信任關(guān)系。否則該域名還會(huì)出現(xiàn)在登錄的域列表。

在實(shí)際操作中，必須先做元數(shù)據(jù)清理，然后再到相應(yīng)的管理工具中刪除相應(yīng)的對(duì)象。若是直接到管理工具中去刪，系統(tǒng)將不允許刪除。

Q19、欲替換域中唯一的一臺(tái)DC，如何傳送五種主控和轉(zhuǎn)移GC。

一、傳送五種主控

操作：

1、安裝第二臺(tái)DC（假設(shè)為DC2，原來的為DC1），

2、到相應(yīng)的管理工具（具體見前）下，右鍵連接到域控制器：DC2，

3、右鍵/操作主機(jī)/相應(yīng)標(biāo)簽下，點(diǎn)擊更改即可。

說明：

1、其實(shí)在圖形界面下，操作很簡(jiǎn)單，關(guān)鍵看能不能成功。

2、目標(biāo)都在下面，只有架構(gòu)的特殊，目標(biāo)在上面。

3、如果DC都是最近安裝的，極易成功。如果是運(yùn)行了一段時(shí)間的，就不好說了。但我估計(jì)你的成功率應(yīng)在九成以上，因?yàn)橐话憔W(wǎng)管都不太動(dòng)這個(gè)。

4、傳送結(jié)構(gòu)主控時(shí)，若目標(biāo)已是GC，會(huì)提示出錯(cuò)?？梢圆焕頃?huì)，繼續(xù)。因?yàn)榻Y(jié)構(gòu)主控負(fù)責(zé)：更新外部對(duì)象的索引（組成員資格），不應(yīng)該和GC在同一個(gè)DC上，應(yīng)手動(dòng)移走，否則將不起作用。而單域不需要基礎(chǔ)結(jié)構(gòu)主控非得有效，我們一般平常用的都是單域，默認(rèn)基礎(chǔ)結(jié)構(gòu)主控就和GC在一起，不起作用。

5、若傳送不成功，不要著急，等5分鐘~2小時(shí)不等，你什么都沒做，再試可能就成功了?？梢岳肁D站點(diǎn)和服務(wù)/站點(diǎn)/默認(rèn)的第一個(gè)站點(diǎn)名 /SERVER/DC/ntds setting/AD連接/右鍵/立即復(fù)制副本，來強(qiáng)制AD馬上復(fù)制。但有時(shí)候，僅依賴于此，還是不行，還得等。

6、至于把老DC從AD中去除，在開始/運(yùn)行/DCPROMO，卸載AD。不要選“這是域中最后一臺(tái)DC”，若能成功卸載，就一切OK了。如不成功，可以直接把原DC廢掉重裝。AD中會(huì)有原DC的垃圾對(duì)象，也不影響什么。若非要清干凈，參見前例。

7、如果原角色DC已經(jīng)無法訪問，就只能進(jìn)行強(qiáng)制傳送了，也就是查封（seize）。查封的實(shí)質(zhì)就是強(qiáng)行推出新的主控，會(huì)有數(shù)據(jù)的丟失。在圖形界面下會(huì)有提示：原主控?zé)o法聯(lián)系，是否強(qiáng)行傳送。選擇“是”，進(jìn)行的就是查封操作。

8、利用ntdsutil工具roles下transfer命令和seize命令也可以實(shí)現(xiàn)上述操作。實(shí)驗(yàn)中發(fā)現(xiàn)，無論是用transfer還是seize，關(guān)鍵看是否能連接到原主控。連接下情況，就是傳送；不連接情況下就是查封。如：在連接情況下，使用查封（seize）命令，操作的結(jié)果仍是傳送：原主控不再是主控，目標(biāo)成為新的主控。

二、轉(zhuǎn)移GC

GC不具有唯一性，可在AD站點(diǎn)和服務(wù)中，將DC2設(shè)為GC。操作如下：

1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右鍵/屬性。

2、選中“全局編錄”。

3、你會(huì)看到在選項(xiàng)下面的說明：發(fā)布全局目錄所需要的時(shí)間取決您使用的復(fù)制拓?fù)洹?

說明：不要急于把DC1斷開，應(yīng)等待足夠長(zhǎng)的時(shí)間，局域網(wǎng)環(huán)境一般也就是幾分鐘。是否將GC的內(nèi)容成功傳送，可在DC2上查看注冊(cè)表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters下是否有這樣一條：Global Catalog Promotion Complete=1。若未傳送完，沒有這一條。

Q20、如何進(jìn)行AD的備份與恢復(fù)

最好的辦法是作為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分，利用2000/03自帶的備份工具來進(jìn)行備份/恢復(fù)。備份工具位于：開始/程序/附件/系統(tǒng)工具下。利用備份/恢復(fù)系統(tǒng)狀態(tài)數(shù)據(jù)，可以恢復(fù)之前的域用戶帳戶數(shù)據(jù)和DNS，以及安全設(shè)置、組策略設(shè)置、還有配置等等。但DHCP、WINS等需要單獨(dú)備份。
說明：

1、 DNS區(qū)域必須為AD集成區(qū)域，如果不是，在備份之前，將標(biāo)準(zhǔn)主區(qū)域轉(zhuǎn)成AD集成區(qū)域即可。因?yàn)锳D集成的意思就是：將DNS區(qū)域信息，作為AD的一部分進(jìn)行存儲(chǔ)、復(fù)制。

2、管理工具下有關(guān)AD和域的管理工具的快捷方式不會(huì)被恢復(fù)(03仍未解決這個(gè)問題），可以運(yùn)行2000S光盤I386\adminpak.msi，將所有的域管理工具追加上。也可手動(dòng)開始/運(yùn)行/MMC，添加相應(yīng)的管理工具，如DNS、AD用戶和計(jì)算機(jī)等。

3、重裝的2000/03系統(tǒng)，不必安裝AD，直接恢復(fù)就行。開機(jī)，F(xiàn)8，目錄恢復(fù)模式，恢復(fù)大約需要4-5分鐘。（實(shí)際當(dāng)中我也試了，新裝的系統(tǒng)，沒有安裝 AD，在正常啟動(dòng)模式下恢復(fù)也可以，因?yàn)樗緵]有AD，不涉及到AD正在工作，不允許替換的問題，只不過時(shí)間會(huì)稍長(zhǎng)一些，約7-8分鐘）

4、 2000下利用備份工具恢復(fù)系統(tǒng)狀態(tài)數(shù)據(jù)時(shí)，需要手動(dòng)將“如果文件已存在：不替換”改為“如果文件已存在，總是替換”。

具體操作：工具/選項(xiàng)/還原：選擇“無條件替換本地上的文件”。否則2000在恢復(fù)時(shí)，可能不會(huì)把winnt\sysvol\sysvol（里面是組策略具體的設(shè)置值，被稱為GPT）給恢復(fù)回來。03DC上沒有這個(gè)問題，系統(tǒng)會(huì)自動(dòng)提示是否替換，選擇“是”即可。

5、具體備份/恢復(fù)的步驟，參考下例。

Q21、如何進(jìn)行授權(quán)恢復(fù)

首先我們通過一個(gè)例子，來說明一下什么是授權(quán)恢復(fù)。

設(shè)域內(nèi)有不止一臺(tái)DC，管理員誤刪除了一個(gè)OU，然后用以前的AD備份進(jìn)行了恢復(fù)操作。如果不做什么特別的設(shè)置（即授權(quán)恢復(fù)），當(dāng)DC間進(jìn)行AD同步時(shí)，由被恢復(fù)的數(shù)據(jù)是以前的，AD的版本號(hào)低，將被其它DC的高版本內(nèi)容所覆蓋。這樣剛被恢復(fù)的OU就又被刪掉了。

所以我們需要手動(dòng)通過ntdsutil工具指定對(duì)這個(gè)OU對(duì)象進(jìn)行授權(quán)恢復(fù)，系統(tǒng)將按距備份時(shí)間每隔一天100000的標(biāo)準(zhǔn)來增加其AD版本號(hào)，確保一定高于其它DC上的版本號(hào)。

具體操作如下：

1、重啟DC，按F8，選擇目錄恢復(fù)模式

2、用目錄恢復(fù)模式下的管理員SAM賬號(hào)登錄

3、開始/程序/附件/系統(tǒng)工具/備份，在恢復(fù)標(biāo)簽下進(jìn)行“系統(tǒng)狀態(tài)數(shù)據(jù)”的恢復(fù)

4、若此時(shí)重新啟動(dòng)DC，則以上為正常恢復(fù)，即非授權(quán)恢復(fù)。

若要進(jìn)行授權(quán)恢復(fù)，則此時(shí)一定不要重啟DC

4、開始/運(yùn)行：ntdsutil

5、鍵入authoritative restore，到授權(quán)恢復(fù)提示符

6、鍵入restore subtree 對(duì)象DN（也可以是子樹，甚至是整個(gè)AD）

7、退出Ntdsutil

8、重新正常啟動(dòng)DC。

說明：若要進(jìn)行系統(tǒng)卷SYSVOL（主要是組策略設(shè)置）的授權(quán)恢復(fù)，即將組策略恢復(fù)到以前的狀態(tài)，但AD庫要保留當(dāng)前。不必使用Ntdsutil，直接將AD庫恢復(fù)到其它位置即可，這是因?yàn)橄到y(tǒng)狀態(tài)數(shù)據(jù)在備份/恢復(fù)時(shí)，不能進(jìn)行細(xì)化的選擇。

Q22、如何移動(dòng)、整理AD數(shù)據(jù)庫？

一、移動(dòng)AD數(shù)據(jù)庫

將 Ntds.dit 數(shù)據(jù)文件移動(dòng)到指定的新目錄中并更新注冊(cè)表，使得在系統(tǒng)重新啟動(dòng)時(shí)，目錄服務(wù)使用新的位置。系統(tǒng)為了安全起見，并不刪除原來的數(shù)據(jù)庫。具體操作如下：

1、為了以防萬一，最好備份AD。

2、重啟DC，按F8，選擇目錄恢復(fù)模式

3、用目錄恢復(fù)模式下的管理員SAM賬號(hào)登錄

4、開始/運(yùn)行：ntdsutil

5、輸入files，切換到文件提示符files>下

6、輸入 move DB to c:\ folder

7、移動(dòng)Ntds.dit成功提示。

8、輸入quit二次，退出

9、重新正常啟動(dòng)DC

二、整理AD數(shù)據(jù)庫

將調(diào)用 Esentutl.exe 以壓縮現(xiàn)有的AD庫文件，并將壓縮后的AD庫文件寫入到指定文件夾中。壓縮完成之后，將保留原來的AD庫文件，將新的壓縮后的AD庫文件保存到到該文件的原來位置。

另外順便說明一下，ESENT也支持聯(lián)機(jī)壓縮，目錄服務(wù)定期（默認(rèn)12小時(shí)）調(diào)用聯(lián)機(jī)壓縮，但聯(lián)機(jī)壓縮只是重新安排數(shù)據(jù)文件內(nèi)的頁面，并不能象手動(dòng)壓縮這樣：將空間釋放回文件系統(tǒng)。

整理AD數(shù)據(jù)庫具體步驟如下：

1-5步，與前面相同。

6、輸入compact to c:\folder

7、顯示整理碎片，直至完成。

8、輸入quit，退出。

9、對(duì)于2000需要：復(fù)制新的NTDS.DIT文件覆蓋舊的NTDS.DIT文件

10、重新正常啟動(dòng)DC2-3-4組策略應(yīng)用相關(guān)實(shí)例

關(guān)于組策略應(yīng)用的實(shí)例，那真是三天三夜也說不完，因?yàn)榭偣灿?00+200多條策略。在此僅舉幾例，來說明問題。有的比較簡(jiǎn)單，有的稍微復(fù)雜一些，我們會(huì)展開來討論一下。需要強(qiáng)調(diào)的是，作為管理員平時(shí)要多看看組策略中具體都有哪些設(shè)置，當(dāng)然誰也不可能逐條去實(shí)踐去測(cè)試，但要大概有個(gè)印象。當(dāng)有某種需求時(shí)，你才會(huì)想起某條組策略設(shè)置來，根據(jù)印象找到那條策略，先看說明標(biāo)簽，再具體實(shí)踐，逐步積累。

前面我們講過安全策略是組策略的子集（一部分），我們會(huì)首先討論和安全策略相關(guān)的實(shí)例，然后才是其它的策略。

Q1、普通域用戶無法在DC上登錄？

為了保護(hù)域控制器，默認(rèn)能在DC上登錄的用戶只有：Administrators、Account operators、Backup operators、Server operators、Print operators這些特定的管理組。要想使普通域用戶有權(quán)在DC上登錄，可以將其加入到這些組中。

但更多時(shí)候，我們不想讓用戶有過多的權(quán)利權(quán)限，也可以在開始/程序/管理工具/域控制器的安全策略/本地策略/用戶權(quán)利分配/允許在本地登錄下通過添加，指派其在DC上登錄的權(quán)利即可。

Q2、在03域中添加用戶時(shí)，總是提示我不符合密碼策略，怎么辦？

對(duì)于03，默認(rèn)域的安全策略與2000域不同。要求域用戶的口令必須符合復(fù)雜性要求，且密碼最小長(zhǎng)度為7。口令的復(fù)雜性包括三條：一是大寫字母、小寫字母、數(shù)字、符號(hào)四種中必須有3種，二是密碼最小長(zhǎng)度為6，三是口令中不得包括全部或部分用戶名。

我們可以設(shè)置復(fù)雜一些的密碼，也可以重新設(shè)默認(rèn)域的安全策略來解決。操作如下：

開始/程序/管理工具/域安全策略/帳戶策略/密碼策略：

¨ 密碼必須符合復(fù)雜性要求：由“已啟用”改為“已禁用”；

¨ 密碼長(zhǎng)度最小值：由“7個(gè)字符”改為“0個(gè)字符”。

欲策略設(shè)置馬上生效，可利用gpupdate進(jìn)行刷新。（具體見前）

如果添加的是本地用戶，解決辦法與此相同，只不過修改的是本地安全策略。

Q3、在2000/03域中，前網(wǎng)管設(shè)置了一個(gè)開機(jī)登陸時(shí)的提示頁面，已過時(shí)，現(xiàn)想取消，如何操作？

登錄到本機(jī)時(shí)出現(xiàn)，則在管理工具/本地安全策略，或開始/運(yùn)行：gpedit.msc中配置。若是登錄到域時(shí)出現(xiàn)，則在管理工具/域的安全策略，或AD用戶和計(jì)算機(jī)/屬性/組策略中配置。具體會(huì)涉及到：安全設(shè)置/本地策略/安全選項(xiàng)下的這兩條，

¨ 交互式登錄：用戶試圖登錄時(shí)消息標(biāo)題

¨ 交互式登錄：用戶試圖登錄時(shí)消息文字

Q4、如何設(shè)置不讓用戶修改計(jì)算機(jī)的配置（如TCP/IP等）？

可以利用本地策略或基于域的組策略鎖定，具體操作：

1、本地：開始/運(yùn)行：gpedit.msc?；?/div>

2、域：開始/程序/管理工具/AD用戶和計(jì)算機(jī)/域名上/右鍵/屬性/組策略/默認(rèn)域的組策略

3、在用戶配置/管理模板/網(wǎng)絡(luò)/網(wǎng)絡(luò)及撥號(hào)連接：禁止訪問LAN連接的屬性。

說明：

1、若利用本地策略實(shí)現(xiàn)，本地管理員，可以重新設(shè)置策略解開。

2、若利用域策略實(shí)現(xiàn)，只是域用戶受此限制。本地管理員，不受此限制。

所以應(yīng)該不給用戶本地管理員口令，讓用戶以非本地管理員/域用戶身份登錄。為了保證用戶能安裝軟件或做其它管理工作，可將其加入本地的Power Users組。

Q5、非管理員用戶無法登錄到終端服務(wù)器？

欲使用戶能利用“終端服務(wù)客戶端軟件”或“遠(yuǎn)程桌面”登錄到2000/03 Server，對(duì)于2000S需要在服務(wù)器上安裝終端服務(wù)，對(duì)于03S只需在我的電腦/右鍵/屬性/遠(yuǎn)程/遠(yuǎn)程桌面下，選中“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”即可。對(duì)于管理員默認(rèn)即可通過TS登錄進(jìn)來。

非管理員用戶通過終端服務(wù)無法登錄，除了網(wǎng)絡(luò)連接方面的問題以外，主要有以下五個(gè)方面的原因：

1、終端服務(wù)器同時(shí)是DC，而普通用戶無權(quán)在DC上登錄。

解決辦法：具體見前。

2、安全策略/本地策略/用戶權(quán)利分配：通過終端服務(wù)允許登錄。

這是03特有的，2000沒有這條安全策略。解決辦法，

方法一、在我的電腦/右鍵/屬性/遠(yuǎn)程/遠(yuǎn)程桌面下，選中“允許用戶遠(yuǎn)程連接到這臺(tái)計(jì)算機(jī)”選項(xiàng)后，單擊“選擇遠(yuǎn)程用戶”/添加。用戶將被自動(dòng)加入到Remote Desktop Users組，而這個(gè)組默認(rèn)有“通過終端服務(wù)允許登錄”的權(quán)利。

方法二、手動(dòng)將用戶加入到Remote Desktop Users組

方法三、手動(dòng)直接指派用戶“通過終端服務(wù)允許登錄”的權(quán)利

注意：如果終端服務(wù)器同時(shí)是DC，必須使用方法三。原因是為了保護(hù)DC，DC上的本地安全策略里，只允許Administratrs組有此權(quán)利，而將Remote Desktop Users組刪掉了。

3、開始/程序/管理工具/終端服務(wù)配置/RDP-Tcp/右鍵/屬性/權(quán)限。

解決辦法：手動(dòng)將用戶加入到Remote Desktop Users組，或確保用戶在此權(quán)限下有來賓訪問或用戶訪問的權(quán)限。

4、用戶所用賬號(hào)口令為空。

若終端服務(wù)器為03，用戶使用此服務(wù)器上的本地賬號(hào)、且口令為空，通過TS登錄。由于03本地安全策略/本地策略/安全選項(xiàng)/帳戶：使用空白密碼的本地帳戶只允許進(jìn)行控制臺(tái)登錄，默認(rèn)啟用，這將會(huì)阻止用戶登錄。解決辦法：使用非空密碼或禁用此策略。

順便提一下，這也是常見的通過網(wǎng)絡(luò)訪問XP/03上的共享資源，不通的原因之一。

5、所用賬號(hào)屬性/終端服務(wù)配置文件/“允許登錄到終端服務(wù)器”選項(xiàng)。

這個(gè)選項(xiàng)，默認(rèn)就是選中的，除非有人動(dòng)過。解決辦法：手動(dòng)選中即可。

6、還有兩種可能：
（1）2000：未安裝TS服務(wù)；03：未啟用遠(yuǎn)程桌面
（2）03：?jiǎn)⒂昧薎CF，但未設(shè)允許RDP進(jìn)入

Q6、在2000（也僅是2000）中由于禁止本地登錄權(quán)利而導(dǎo)致的所有用戶、管理員無法登錄。

在安全策略/本地策略/用戶權(quán)利分配下有兩條策略：

¨ 拒絕本地登錄，默認(rèn)為“未定義”。

¨ 允許在本地登錄，其默認(rèn)值分別為：

u 本地計(jì)算機(jī)策略：Administrators、Backup Operators、Power Users、Users

u 默認(rèn)域的策略：未定義

u 默認(rèn)域控制器的策略：Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname

說明：如果在同一級(jí)別上、對(duì)同一對(duì)象（用戶或組）、同時(shí)設(shè)置了“允許”和“拒絕”，“拒絕”權(quán)利的優(yōu)先級(jí)別高。也就是說二者沖突時(shí)，“拒絕”權(quán)利生效。

假設(shè)不小心或干脆有人使壞在拒絕本地登錄上設(shè)置了所有人或管理員，又或者在允許登錄上把管理員給刪掉了。不論哪一種情況都會(huì)導(dǎo)致管理員無法登錄，出錯(cuò)提示為：“此系統(tǒng)的本地策略不允許您采用交互式登錄”，也就沒辦法將策略設(shè)置改回正常了。

這種情形看起來像一個(gè)解不開的"死結(jié)"：要解除禁止本地登錄的組策略設(shè)置，必須以管理員身份本地登錄；要以管理員身份本地登錄，就必須先解除禁止本地登錄的組策略設(shè)置。

問題還是有辦法解決的，分別討論如下：

一、被域策略和域控制器策略所阻止

顯然你應(yīng)該是被域策略和域控制器策略同時(shí)阻止了登錄權(quán)利，因?yàn)椋?/div>

1、如果只是域策略阻止，由于默認(rèn)域控制器的策略上允許Administrators登錄，而域控制器（Domain Controllers）是個(gè)OU，前面我們講過組策略的LSDOU原則，所以管理員可以登錄到DC上，把策略改回去。

2、如果只是域控制器的策略阻止，它只對(duì)DC生效。管理員可以在域內(nèi)的其它計(jì)算機(jī)上登錄到域，把策略改回去。

要解決被域策略和域控制器策略同時(shí)阻止，首先我們來回顧一下前面講過的“具體的策略設(shè)置值存儲(chǔ)在GPT中，位于DC的winnt\sysvol \sysvol中，以GUID為文件夾名。”其中安全設(shè)置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf這個(gè)安全模板文件中。它實(shí)質(zhì)就是一個(gè)文本文件，可利用記事本進(jìn)行編輯。

說明：前面我們介紹過，默認(rèn)域的策略、默認(rèn)域控制器的策略使用固定的GUID，分別是：

¨ 默認(rèn)域的策略的GUID為31B2F340-016D-11D2-945F-00C04FB984F9

¨ 默認(rèn)域控制器的策略的GUID為6AC1786C-016F-11D2-945F-00C04FB984F9。

可以利用C盤的隱含共享C$，或winnt\sysvol\sysvol的共享sysvol連過去，直接編輯，具體操作如下：

1、在另一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)（Win9X/2000/XP均可）上，使用域管理員賬號(hào)連接到DC。

2、利用記事本打開GptTmpl.inf文件。

3、找到文件中[Privilege Rights]小節(jié)下的拒絕本地登錄“SeDenyInteractiveLogonRight”和允許在本地登錄“SeInteractiveLogonRight”關(guān)鍵字，進(jìn)行編輯即可。如：

¨ 使SeDenyInteractiveLogonRight所等于的值為空。

¨ 保證SeInteractiveLogonRight= *S-1-5-32-544，……

4、保存退出。

說明：

1、關(guān)于各SID所表示的意義，參見前面的表格。SID前面的*要保留，系統(tǒng)執(zhí)行時(shí)才不會(huì)其后面的SID當(dāng)作具體的用戶/組的名字。

2、如果域中不止一臺(tái)DC，為保證DC同步時(shí)剛才所做的修改最終生效（原理同授權(quán)恢復(fù)），需要：

（1）打開winnt\sysvol\sysvol\你的域名\Policies\剛剛所修改策略的 GUID\ GPT.INI文件

（2）找到文件中的[General]小節(jié)下的“Version”，手動(dòng)將其值增大，通常是加10000。這是我們修改的這個(gè)組策略對(duì)象的版本號(hào)，版本號(hào)提高后可以保證我們的更改被復(fù)制到其它DC上。

（3）保存退出。

5、重新啟動(dòng)DC，域策略將被刷新。

說明：也可以在DC上運(yùn)行secedit /refreshpolicy machine_policy /enforce刷新策略，這樣就不必重啟DC了。但需要用到telnet，細(xì)節(jié)參考前面telnet命令和接下來的內(nèi)容。

6、以域管理員身份在DC上正常登錄到域，重新設(shè)置安全域策略中的相關(guān)項(xiàng)目。

二、被本地安全策略所阻止

很多人都會(huì)想到利用MMC遠(yuǎn)程管理功能，重設(shè)目標(biāo)機(jī)的安全策略。具體操作如下：

開始/運(yùn)行/MMC/添加/組策略/瀏覽/計(jì)算機(jī)/另一臺(tái)計(jì)算機(jī)，如果有權(quán)限的話，你會(huì)發(fā)現(xiàn)你能找到并管理其它的策略設(shè)置，但是就是沒有安全策略等項(xiàng)目出現(xiàn)在列表中。

這是由于在Windows2000中，不支持對(duì)計(jì)算機(jī)本地策略的安全設(shè)置部分進(jìn)行遠(yuǎn)程管理。而且本地安全策略設(shè)置的實(shí)現(xiàn)也與域策略不同，它存放在一個(gè)二進(jìn)制的安全數(shù)據(jù)庫secedit.sdb。

那么我們?cè)撛趺崔k呢？我們可以使用telnet連接到故障計(jì)算機(jī)上，利用前面我們介紹過secedit命令導(dǎo)出安全設(shè)置到安全模板，即擴(kuò)展名為.inf的文本文件中。利用記事本編輯后，再利用secedit命令將修改后的安全設(shè)置配置給計(jì)算機(jī)，這樣也就大功告功了。但如果故障計(jì)算機(jī)上的 telnet服務(wù)沒有啟動(dòng)，那么我們應(yīng)該首先把故障計(jì)算機(jī)上telnet服務(wù)啟動(dòng)起來，才能連過去。

說明：因?yàn)閠elnet服務(wù)的啟動(dòng)類型，默認(rèn)為手動(dòng)，所以正常情況下它是不會(huì)啟動(dòng)的。此時(shí)連過去的出錯(cuò)信息為：正在連接以xxx不能打開到主機(jī)的連接，在端口23：連接失敗。

綜上所述，具體解決辦法如下：

1、在另一臺(tái)聯(lián)網(wǎng)的計(jì)算機(jī)（2000/XP/03均可）上，修改其管理員密碼，使用戶名和口令均與故障計(jì)算機(jī)上的相同。（這主要為了方便，若在連接或使用的時(shí)候輸入目標(biāo)計(jì)算機(jī)上的用戶名和口令，也可以）

2、注銷后，重新登錄進(jìn)來。

3、我的電腦/右鍵/管理，打開計(jì)算機(jī)管理。

4、在計(jì)算機(jī)管理上/右鍵/連接到另一臺(tái)計(jì)算機(jī)：故障計(jì)算機(jī)IP。

5、在服務(wù)下找到telnet，手動(dòng)將它啟動(dòng)起來。

接下來使用telnet連接過來

6、開始/運(yùn)行：cmd，鍵入telnet 目標(biāo)IP

7、在C:\>提示符下，鍵入secedit /export /cfg c:\sectmp.inf，導(dǎo)出它的當(dāng)前安全設(shè)置。

8、點(diǎn)擊開始/運(yùn)行：\\目標(biāo)IP\C$，雙擊c:\sectmp.inf，用記事本打開。

9、編輯sectmp.inf文件，具體同前面情況一的步驟3

10、回到步驟7的命令窗口，鍵入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf將修改后的設(shè)置值，配置給計(jì)算機(jī)。

11、運(yùn)行secedit /refreshpolicy machine_policy /enforce刷新策略，這樣就不必故障計(jì)算機(jī)了。

12、以本地管理員身份在故障計(jì)算機(jī)上正常登錄到域，重新設(shè)置安全域策略中的相關(guān)項(xiàng)目。

最后說明一下：對(duì)于XP/03不存在上述問題，微軟已經(jīng)修正了這個(gè)問題。用戶不能阻止所有人或管理員登錄，在圖形界面下根本設(shè)不上；使用其它手段強(qiáng)行設(shè)上了也不起作用。因此大家可以想一想，針對(duì)上面第一種情況，實(shí)際上可以加一臺(tái)XP/03到2000域，在XP/03上登錄到域，將其解開。

本例的實(shí)際排錯(cuò)意義并不大，但建議大家最好還是能把這個(gè)實(shí)驗(yàn)做一下，因?yàn)樗婕暗搅撕芏嘀R(shí)點(diǎn)，如：基于域安全策略、本地安全策略的實(shí)施原理，組策略及其優(yōu)先級(jí)，權(quán)利、SID，還有同名同口令帳戶登錄、telnet、secedit工具的使用等等。再有大家也可以做一下實(shí)驗(yàn)，既然我們能通過網(wǎng)絡(luò) 解開，同樣也能通過網(wǎng)絡(luò)設(shè)上。

Q7、Win2000/03域中默認(rèn)策略被誤刪，如何恢復(fù)？

對(duì)于Win2000，微軟在“下載中心”提供了Windows 2000默認(rèn)策略還原工具的下載。微軟開發(fā)這一工具旨在幫助用戶在意外刪除默認(rèn)策略時(shí)，能夠重新還原“默認(rèn)缺省域的組策略”和“默認(rèn)域控制器的組策略”文件。請(qǐng)到下列地址下載相應(yīng)工具：

http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en

對(duì)于Win03,微軟提醒用戶不要將其應(yīng)用于Windows Server 2003上。Win03自帶的Dcgpofix.exe就可以完成還原任務(wù)。

需要強(qiáng)調(diào)的是：作為管理員應(yīng)及時(shí)將組策略的設(shè)置進(jìn)行備份?？衫?000/03自帶的備份工具，把組策略作為系統(tǒng)狀態(tài)的一部分進(jìn)行備份。也可以利用GPMC工具專門備份組策略的設(shè)置。這樣即使出問題了，重新恢復(fù)，也不用再把組策略重新設(shè)置了。

Q8、作為管理員，我通過組策略設(shè)置了一些限制，如“不要運(yùn)行指定的windows應(yīng)用程序”，但總有個(gè)別用戶在網(wǎng)上能找到破解的辦法，我該怎么辦？

這段話使我想起了關(guān)于網(wǎng)絡(luò)安全一條名言：沒有絕對(duì)的安全。我個(gè)人也覺得在計(jì)算機(jī)網(wǎng)絡(luò)世界里，永遠(yuǎn)是高手在蒙低手。若水平都很高，那么最終的安全又回到了物理安全設(shè)置上（術(shù)語叫：社會(huì)工程）。下面以“不要運(yùn)行指定的windows應(yīng)用程序”這條組策略設(shè)置的攻防轉(zhuǎn)換，來闡明這個(gè)問題

第一回合：

管理員：通過本地策略限制某用戶運(yùn)行某些用戶程序，如QQ、反恐、realplay等。操作：開始/運(yùn)行，鍵入gpedit.msc，用戶配置/管理模板/系統(tǒng)/不要運(yùn)行指定的windows應(yīng)用程序，啟用／顯示／添加：上述應(yīng)用的.exe文件名即可。

用　戶：用戶如果知道管理員怎么設(shè)置的限制，同樣的辦法取消限制即可。

第二回合：

管理員：將mmc.exe也加入到上述禁止運(yùn)行列表中，使用戶無法打開任何MMC管理控制臺(tái)。

用　戶：開始/運(yùn)行：cmd，鍵入mmc，將會(huì)打開控制臺(tái)下，文件/添加刪除管理單元，添加：組策略對(duì)象編輯器/本地計(jì)算機(jī)策略，取消限制。

說明：用戶在CMD方式下，直接鍵入gpedit.msc仍不能運(yùn)行。此解法的知識(shí)點(diǎn)來自這條策略的說明標(biāo)簽。

第三回合：

管理員：將cmd.exe也禁止運(yùn)行
用　戶：重新啟動(dòng)計(jì)算機(jī)，按F8，選擇帶命令行的安全模式。登錄進(jìn)來后，在CMD方式下，鍵入mmc，將會(huì)打開控制臺(tái)下，文件/添加刪除管理單元，添加：組策略對(duì)象編輯器/本地計(jì)算機(jī)策略，取消限制。

第四回合：

管理員：一看不行了，還是借助于基于域的組策略吧。將用戶計(jì)算機(jī)加入到域，不給用戶本地管理員的口令，要求用戶使用一個(gè)域用戶賬號(hào)（為不影響用戶的其它正常應(yīng)用，可將其加入到客戶機(jī)的Power Uers組），并將此域用戶賬號(hào)放到一個(gè)OU中，鏈接組策略，設(shè)置上述限制。

用　戶：手動(dòng)刪除注冊(cè)表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。

第五回合：

管理員：因?yàn)槟J(rèn)情況下，若用戶手動(dòng)修改注冊(cè)表中的組策略設(shè)置值，若策略未變，組策略不負(fù)責(zé)強(qiáng)制改回。管理員可利用組策略／計(jì)算機(jī)配置／管理模板／系統(tǒng)／組策略／注冊(cè)表策略處理，設(shè)置成“即使尚未更改組策略對(duì)象也進(jìn)行處理”，執(zhí)行強(qiáng)制性的、周期性刷新策略。

用　戶：用戶修改程序文件名，以避開策略的限制（尤其是對(duì)非MS的應(yīng)用程序）。

第六回合：

管理員：設(shè)置權(quán)限，讓用戶無權(quán)修改文件名。

用戶：利用用鳳凰啟動(dòng)盤重設(shè)本地管理員密碼，以本地管理員登錄進(jìn)來后，不受上述限制，也可以干脆脫離域

第七回合：

管理員：在BIOS中禁用光驅(qū)并設(shè)上BIOS密碼，或物理斷開光驅(qū)。

用　戶：打開機(jī)箱，跳線清除BIOS密碼，或物理連接上光驅(qū)。

…… ……
通過本例大家也看到了，作為網(wǎng)絡(luò)員應(yīng)當(dāng)不斷學(xué)習(xí)，提高自身技術(shù)才行。在學(xué)習(xí)要充分利用Internet這個(gè)最廣博的老師，最大的知識(shí)庫。

乡下人产国偷v产偷v自拍,国产午夜片在线观看,婷婷成人亚洲综合国产麻豆,久久综合给合久久狠狠狠9

活動(dòng)目錄域故障解決實(shí)例(下)...

活動(dòng)目錄域故障解決實(shí)例(下)