出處：5DMail.Net收集整理作者：5DMail.Net

Q16、正常卸載AD時的常見問題

在實際工作中有時我們需要改變服務器角色，或者將實驗中安裝的DC回復到普通成員/獨立服務器身份，這就要進行AD的卸載。

1、卸載時會提示給新的本地管理員設置密碼

2、附加DC卸載后，仍在域中。

3、如果AD不能卸載，應從以下幾方面考慮：

（1）網卡是否正常工作

即使你整個林中只有一臺計算機，也要保證網卡正常工作，才能將AD卸載。網卡不工作或禁用網卡都會導致AD無法卸載，提示“卸載SYSVOL文件夾出錯”

（2）權限

權限要求與安裝AD時類似，若一個林中只有一個域，那么你要卸載的就是林根域，需要林管理員（Enterprise Admins）權限；卸載附加DC需要該域的域管理員（Domain Admins）權限；卸載子域或樹，涉及到林結構的改變，也需要林管理員權限。

（3）DNS

一般應保證與安裝時所用DNS一致。如果做了DNS規(guī)劃，必須保證1中權限所要求的管理員身份能通過DNS找到相應DC，進行驗證。

（4）域命名主控

卸載時只要涉及到林結構的改變，就需要保證域命名主控有效；卸載附加DC時不要求域命名主控有效。

但要注意的是：卸載時，域命名主控失效的出錯信息與安裝時的“AD無法與域命名主機xxx聯系”提示不同，具體是：由于以下原因，操作失敗。以提供的憑據綁定到服務器xxx失敗。“RPC服務器不可用”。

（5）卸載的順序

與安裝順序相反，應該先逐級卸載下面的子域，最后卸載樹根域、林根域。否則將導致子域無法卸載，而存在的子域還有問題，找不到林根域、樹根域了。

因為這時極有可能架構和域命名主控及GC未轉移，林管理員組和架構管理員組（Schema Admins）已經隨林根域的刪除而沒有了。為什么這么說呢？因為如果管理員考慮到主控及GC等的轉移問題，也就不會誤刪除林根域了。

Q17、AD無法正常卸載，或者說DC無法正常降級為成員服務器？

1、Dcpromo /forceremoval強制卸載AD

2、重設目錄恢復模式下的管理員密碼：

2000：winnt\system32\setpwd.exe

03：使用ntdsutil實用工具，set dsrm password

如果按照上例的要求，還是無法正常卸載AD，且出錯提示未提到DNS方面的故障?？紤]本機上已安裝有的應用程序，你還不想重做系統(tǒng)，可考慮使用如下辦法。

1、開始/運行，在命令行中輸入regedit或regedt32打開注冊表編輯器。

2、找到以下的鍵值：

　　HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Product Options

　　鍵值：ProductType 類型：REG_SZ

3、將原來的值“LanmanNT”改為“ServerNT”。

說明：

（1）LanmanNT表示本機為域控制器DC，ServerNT表示本機為非DC。

（2）只有當CurrentControlSet1和CurrentControlSet下的鍵值：ProductType 所等于的數據不同時，即一個為ServerNT，一個為LanmanNT才允許修改。否則將會出如下提示：

¨ 對于2000：“系統(tǒng)已檢測到干預您的注冊產品類型，這是您對軟件許可證的侵犯。干預產品類型是不允許的。”

¨ 對于03：“系統(tǒng)檢測到您的注冊的產品類型有篡改現象。這是對軟件許可證的侵犯。篡改產品類型是不允許的。”

（3）教學實踐中可以利用ntdsutil將子域的server對象（實質指DC）手動刪除，然后運行dcpromo降級，降級失敗后演示此知識點。

接下來，方法一：

1、重新啟動計算機，按F8鍵進入到“目錄服務恢復模式”。

說明：

（1）在此模式下，AD不工作，以便對AD庫文件及系統(tǒng)卷sysvol進行操作。

（2）登錄的口令不同于平時所用的口令，是在安裝AD時，所設的目錄恢復模式下的口令。保存在本機一個SAM庫文件中。

2、刪除存放活動目錄數據庫的文件夾，默認為C:\WinNT\NTDS，或C:\Windows\NTDS。

3、刪除存放系統(tǒng)卷的文件夾，默認為C:\WinNT\SYSVOL，或C:\Windows\SYSVOL

4、重新啟動計算機。

5、由于還有一些作為域控制器的注冊表鍵值和文件存在，所以在重新啟動完計算機后，還需要使用dcpromo命令來升級計算機B到一個臨時的域的域控制器（域名可以任意填寫），然后再用dcpromo命令降級，這樣才會完整地刪除所有和域控制器相關的注冊表鍵值和文件。

方法二

1、開始/運行，在命令行中輸入dcpromo

2、由于前面已經修改了注冊表，此時為AD安裝界面，而非卸載界面。

3、會遇到如下出錯提示：“由于網絡上名稱沖突，選定默認的NetBIOS域名‘xxx’”。

說明：xxx為你修改注冊表前原來域的NetBIOS名稱。

4、不必介意出錯提示，手動設置你想要的名稱。比如你此次的域為abc.com，則手動設xxx改為ABC即可。

5、再接下來會遇到提示：“c:\winnt\ntds文件夾不是空的，當升級處理開始時，要刪除文件夾中所有的文件嗎？（如果不，請指定另一個文件夾。）”

6、選擇：是

說明：

（1）在選擇系統(tǒng)卷的夾，如c:\winnnt\sysvol后，時間可能會比較長，請耐心等待。

（2）和正常安裝時一樣，可能會碰到DNS錯誤提示，一般選擇在本機安裝DNS即可。

（3）也可能會出現“計算機已脫離域，賬號未被禁用”的提示，不必理會。

（4）最重要的一點是：這第一次非?？赡懿怀晒Γ僦貋硪槐閐cpromo即可。

7、如果這次安裝是為了清除殘余的注冊表鍵值和垃圾文件，可再次運行dcpromo進行卸載。當然直接使用這臺DC，也是可以的。

最后強調一下，此方法并不是萬能的。一是前面我們已經提到的，有時注冊表不允許修改或者改完了存不上。再有就是如果在卸載的一開始，就出現有關DNS的出錯信息，必須首先排除DNS故障才行。

Q18、如何清理AD數據庫中的垃圾對象。

如果我們非正常卸載AD子域、DC等，就會在AD元數據庫中留下垃圾。比如上面的例子，又比如未經AD卸載就把DC計算機的系統(tǒng)重做了。這些垃圾對象一般來講無礙大局，但如果我們想優(yōu)化AD的性能，不想給用戶帶來不必要的麻煩（比如用戶選擇登錄到已經不存在的子域），就可以利用ntdsutil工具進行元數據庫清理（metadata cleanup），來刪除垃圾對象。具體操作如下：

1、開始/運行：cmd，在命令行下鍵入 ntdsutil。

說明：

（1）直接，開始/運行：ntdsutil，也可以。

（2）進行元數據庫清理，不要進到目錄恢復模式下。

（3）進行元數據庫清理，可以在非DC的2000/XP/03計算機上進行。但有些操作（如使用ntdsutil工具進行授權恢復、整理移動AD庫文件）必須在DC上進行。

（4）在ntdsutil的每級菜單下都可以通過鍵入：？或HELP，查看本級菜單下可用的命令。

2、在 ntdsutil: 提示符下，鍵入 metadata cleanup ，然后按 ENTER。

說明：ntdsutil是個分層的多級命令行工具，用戶在鍵入名字時，可簡寫，只要不同于本級命令中的其它命令即可。比如上面的命令metadata cleanup可簡寫為m c。

3、在 metadata cleanup: 提示符下，鍵入 connections ，然后按 ENTER。

4、在 server connections: 提示符下，鍵入 connect to server servername，然后按 ENTER。

說明：

（1）其中 servername 是指域控制器的DNS名稱，用主機名或FQDN均可。注意：雖然聯機說明中提到了可以用IP去連，但實際上發(fā)現用IP去連接，會出現參數不正確的出錯提示。

（2）在這里要連接的DC，應是一個正常工作的、可操作的DC，而不是你要清理的那個DC對象。

5、鍵入 quit ，然后按 ENTER 回到 metadata cleanup: 提示符。

6、鍵入 select operation target ，然后按 ENTER。

7、鍵入 list domains ，然后按 ENTER。

說明：此操作將列出林中的所有域，每一域附帶與其相關聯的一個數字。

8、鍵入 select domain number，然后按 ENTER。

說明：其中 number 是與故障服務器所在的域相關的數字。

9、鍵入 list sites ，然后按 ENTER。

10、鍵入 select site number，然后按 ENTER。

說明：其中 number 是指域控制器所屬的站點號碼。

11、鍵入 list servers in site ，然后按 ENTER。

說明：這將列出站點上所有服務器，每一服務器附帶一個相關的數字。

12、鍵入 select server number，然后按 ENTER 。

說明：其中 number 是指要刪除的域控制器。

13、鍵入 quit ，然后按 ENTER，退回到Metadata cleanup 菜單。

接下來，根據需要，刪除相應的垃圾對象：

14、鍵入 remove selected server ，然后按 ENTER。

此時，Active Directory 確認域控制器已成功刪除。若收到無法找到對象的錯誤報告，Active Directory 可能已刪除了域控制器。

15、或者鍵入 remove selected domain，然后按 ENTER。

說明：要想刪除域，必須得先刪除這個域的server對象（實質是DC）才行。

16、鍵入 quit 然后按 ENTER 直至回到命令符。

如果清理的是Server對象，還需要：1、到Active Directory 站點和服務上，展開適當站點，刪除相應Server對象。2、到Active Directory 用戶和計算機上，雙擊打開Domain Controllers這個OU，刪除相應的DC對象。

如果清理的是Domain對象，還需要到Active Directory域和信任關系上，刪除相應的已經沒有用的信任關系。否則該域名還會出現在登錄的域列表。

在實際操作中，必須先做元數據清理，然后再到相應的管理工具中刪除相應的對象。若是直接到管理工具中去刪，系統(tǒng)將不允許刪除。

Q19、欲替換域中唯一的一臺DC，如何傳送五種主控和轉移GC。

一、傳送五種主控

操作：

1、安裝第二臺DC（假設為DC2，原來的為DC1），

2、到相應的管理工具（具體見前）下，右鍵連接到域控制器：DC2，

3、右鍵/操作主機/相應標簽下，點擊更改即可。

說明：

1、其實在圖形界面下，操作很簡單，關鍵看能不能成功。

2、目標都在下面，只有架構的特殊，目標在上面。

3、如果DC都是最近安裝的，極易成功。如果是運行了一段時間的，就不好說了。但我估計你的成功率應在九成以上，因為一般網管都不太動這個。

4、傳送結構主控時，若目標已是GC，會提示出錯?？梢圆焕頃?，繼續(xù)。因為結構主控負責：更新外部對象的索引（組成員資格），不應該和GC在同一個DC上，應手動移走，否則將不起作用。而單域不需要基礎結構主控非得有效，我們一般平常用的都是單域，默認基礎結構主控就和GC在一起，不起作用。

5、若傳送不成功，不要著急，等5分鐘~2小時不等，你什么都沒做，再試可能就成功了?？梢岳肁D站點和服務/站點/默認的第一個站點名 /SERVER/DC/ntds setting/AD連接/右鍵/立即復制副本，來強制AD馬上復制。但有時候，僅依賴于此，還是不行，還得等。

6、至于把老DC從AD中去除，在開始/運行/DCPROMO，卸載AD。不要選“這是域中最后一臺DC”，若能成功卸載，就一切OK了。如不成功，可以直接把原DC廢掉重裝。AD中會有原DC的垃圾對象，也不影響什么。若非要清干凈，參見前例。

7、如果原角色DC已經無法訪問，就只能進行強制傳送了，也就是查封（seize）。查封的實質就是強行推出新的主控，會有數據的丟失。在圖形界面下會有提示：原主控無法聯系，是否強行傳送。選擇“是”，進行的就是查封操作。

8、利用ntdsutil工具roles下transfer命令和seize命令也可以實現上述操作。實驗中發(fā)現，無論是用transfer還是seize，關鍵看是否能連接到原主控。連接下情況，就是傳送；不連接情況下就是查封。如：在連接情況下，使用查封（seize）命令，操作的結果仍是傳送：原主控不再是主控，目標成為新的主控。

二、轉移GC

GC不具有唯一性，可在AD站點和服務中，將DC2設為GC。操作如下：

1、在Default-First-Site-Name/servers/dc2/NTDS Settings/右鍵/屬性。

2、選中“全局編錄”。

3、你會看到在選項下面的說明：發(fā)布全局目錄所需要的時間取決您使用的復制拓撲。

說明：不要急于把DC1斷開，應等待足夠長的時間，局域網環(huán)境一般也就是幾分鐘。是否將GC的內容成功傳送，可在DC2上查看注冊表

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters下是否有這樣一條：Global Catalog Promotion Complete=1。若未傳送完，沒有這一條。

Q20、如何進行AD的備份與恢復

最好的辦法是作為系統(tǒng)狀態(tài)數據的一部分，利用2000/03自帶的備份工具來進行備份/恢復。備份工具位于：開始/程序/附件/系統(tǒng)工具下。利用備份/恢復系統(tǒng)狀態(tài)數據，可以恢復之前的域用戶帳戶數據和DNS，以及安全設置、組策略設置、還有配置等等。但DHCP、WINS等需要單獨備份。
說明：

1、 DNS區(qū)域必須為AD集成區(qū)域，如果不是，在備份之前，將標準主區(qū)域轉成AD集成區(qū)域即可。因為AD集成的意思就是：將DNS區(qū)域信息，作為AD的一部分進行存儲、復制。

2、管理工具下有關AD和域的管理工具的快捷方式不會被恢復(03仍未解決這個問題），可以運行2000S光盤I386\adminpak.msi，將所有的域管理工具追加上。也可手動開始/運行/MMC，添加相應的管理工具，如DNS、AD用戶和計算機等。

3、重裝的2000/03系統(tǒng)，不必安裝AD，直接恢復就行。開機，F8，目錄恢復模式，恢復大約需要4-5分鐘。（實際當中我也試了，新裝的系統(tǒng)，沒有安裝 AD，在正常啟動模式下恢復也可以，因為它根本沒有AD，不涉及到AD正在工作，不允許替換的問題，只不過時間會稍長一些，約7-8分鐘）

4、 2000下利用備份工具恢復系統(tǒng)狀態(tài)數據時，需要手動將“如果文件已存在：不替換”改為“如果文件已存在，總是替換”。

具體操作：工具/選項/還原：選擇“無條件替換本地上的文件”。否則2000在恢復時，可能不會把winnt\sysvol\sysvol（里面是組策略具體的設置值，被稱為GPT）給恢復回來。03DC上沒有這個問題，系統(tǒng)會自動提示是否替換，選擇“是”即可。

5、具體備份/恢復的步驟，參考下例。

Q21、如何進行授權恢復

首先我們通過一個例子，來說明一下什么是授權恢復。

設域內有不止一臺DC，管理員誤刪除了一個OU，然后用以前的AD備份進行了恢復操作。如果不做什么特別的設置（即授權恢復），當DC間進行AD同步時，由被恢復的數據是以前的，AD的版本號低，將被其它DC的高版本內容所覆蓋。這樣剛被恢復的OU就又被刪掉了。

所以我們需要手動通過ntdsutil工具指定對這個OU對象進行授權恢復，系統(tǒng)將按距備份時間每隔一天100000的標準來增加其AD版本號，確保一定高于其它DC上的版本號。

具體操作如下：

1、重啟DC，按F8，選擇目錄恢復模式

2、用目錄恢復模式下的管理員SAM賬號登錄

3、開始/程序/附件/系統(tǒng)工具/備份，在恢復標簽下進行“系統(tǒng)狀態(tài)數據”的恢復

4、若此時重新啟動DC，則以上為正常恢復，即非授權恢復。

若要進行授權恢復，則此時一定不要重啟DC

4、開始/運行：ntdsutil

5、鍵入authoritative restore，到授權恢復提示符

6、鍵入restore subtree 對象DN（也可以是子樹，甚至是整個AD）

7、退出Ntdsutil

8、重新正常啟動DC。

說明：若要進行系統(tǒng)卷SYSVOL（主要是組策略設置）的授權恢復，即將組策略恢復到以前的狀態(tài)，但AD庫要保留當前。不必使用Ntdsutil，直接將AD庫恢復到其它位置即可，這是因為系統(tǒng)狀態(tài)數據在備份/恢復時，不能進行細化的選擇。

Q22、如何移動、整理AD數據庫？

一、移動AD數據庫

將 Ntds.dit 數據文件移動到指定的新目錄中并更新注冊表，使得在系統(tǒng)重新啟動時，目錄服務使用新的位置。系統(tǒng)為了安全起見，并不刪除原來的數據庫。具體操作如下：

1、為了以防萬一，最好備份AD。

2、重啟DC，按F8，選擇目錄恢復模式

3、用目錄恢復模式下的管理員SAM賬號登錄

4、開始/運行：ntdsutil

5、輸入files，切換到文件提示符files>下

6、輸入 move DB to c:\ folder

7、移動Ntds.dit成功提示。

8、輸入quit二次，退出

9、重新正常啟動DC

二、整理AD數據庫

將調用 Esentutl.exe 以壓縮現有的AD庫文件，并將壓縮后的AD庫文件寫入到指定文件夾中。壓縮完成之后，將保留原來的AD庫文件，將新的壓縮后的AD庫文件保存到到該文件的原來位置。

另外順便說明一下，ESENT也支持聯機壓縮，目錄服務定期（默認12小時）調用聯機壓縮，但聯機壓縮只是重新安排數據文件內的頁面，并不能象手動壓縮這樣：將空間釋放回文件系統(tǒng)。

整理AD數據庫具體步驟如下：

1-5步，與前面相同。

6、輸入compact to c:\folder

7、顯示整理碎片，直至完成。

8、輸入quit，退出。

9、對于2000需要：復制新的NTDS.DIT文件覆蓋舊的NTDS.DIT文件

10、重新正常啟動DC2-3-4組策略應用相關實例

關于組策略應用的實例，那真是三天三夜也說不完，因為總共有600+200多條策略。在此僅舉幾例，來說明問題。有的比較簡單，有的稍微復雜一些，我們會展開來討論一下。需要強調的是，作為管理員平時要多看看組策略中具體都有哪些設置，當然誰也不可能逐條去實踐去測試，但要大概有個印象。當有某種需求時，你才會想起某條組策略設置來，根據印象找到那條策略，先看說明標簽，再具體實踐，逐步積累。

前面我們講過安全策略是組策略的子集（一部分），我們會首先討論和安全策略相關的實例，然后才是其它的策略。

Q1、普通域用戶無法在DC上登錄？

為了保護域控制器，默認能在DC上登錄的用戶只有：Administrators、Account operators、Backup operators、Server operators、Print operators這些特定的管理組。要想使普通域用戶有權在DC上登錄，可以將其加入到這些組中。

但更多時候，我們不想讓用戶有過多的權利權限，也可以在開始/程序/管理工具/域控制器的安全策略/本地策略/用戶權利分配/允許在本地登錄下通過添加，指派其在DC上登錄的權利即可。

Q2、在03域中添加用戶時，總是提示我不符合密碼策略，怎么辦？

對于03，默認域的安全策略與2000域不同。要求域用戶的口令必須符合復雜性要求，且密碼最小長度為7?？诹畹膹碗s性包括三條：一是大寫字母、小寫字母、數字、符號四種中必須有3種，二是密碼最小長度為6，三是口令中不得包括全部或部分用戶名。

我們可以設置復雜一些的密碼，也可以重新設默認域的安全策略來解決。操作如下：

開始/程序/管理工具/域安全策略/帳戶策略/密碼策略：

¨ 密碼必須符合復雜性要求：由“已啟用”改為“已禁用”；

¨ 密碼長度最小值：由“7個字符”改為“0個字符”。

欲策略設置馬上生效，可利用gpupdate進行刷新。（具體見前）

如果添加的是本地用戶，解決辦法與此相同，只不過修改的是本地安全策略。

Q3、在2000/03域中，前網管設置了一個開機登陸時的提示頁面，已過時，現想取消，如何操作？

登錄到本機時出現，則在管理工具/本地安全策略，或開始/運行：gpedit.msc中配置。若是登錄到域時出現，則在管理工具/域的安全策略，或AD用戶和計算機/屬性/組策略中配置。具體會涉及到：安全設置/本地策略/安全選項下的這兩條，

¨ 交互式登錄：用戶試圖登錄時消息標題

¨ 交互式登錄：用戶試圖登錄時消息文字

Q4、如何設置不讓用戶修改計算機的配置（如TCP/IP等）？

可以利用本地策略或基于域的組策略鎖定，具體操作：

1、本地：開始/運行：gpedit.msc?；?/div>

2、域：開始/程序/管理工具/AD用戶和計算機/域名上/右鍵/屬性/組策略/默認域的組策略

3、在用戶配置/管理模板/網絡/網絡及撥號連接：禁止訪問LAN連接的屬性。

說明：

1、若利用本地策略實現，本地管理員，可以重新設置策略解開。

2、若利用域策略實現，只是域用戶受此限制。本地管理員，不受此限制。

所以應該不給用戶本地管理員口令，讓用戶以非本地管理員/域用戶身份登錄。為了保證用戶能安裝軟件或做其它管理工作，可將其加入本地的Power Users組。

Q5、非管理員用戶無法登錄到終端服務器？

欲使用戶能利用“終端服務客戶端軟件”或“遠程桌面”登錄到2000/03 Server，對于2000S需要在服務器上安裝終端服務，對于03S只需在我的電腦/右鍵/屬性/遠程/遠程桌面下，選中“允許用戶遠程連接到這臺計算機”即可。對于管理員默認即可通過TS登錄進來。

非管理員用戶通過終端服務無法登錄，除了網絡連接方面的問題以外，主要有以下五個方面的原因：

1、終端服務器同時是DC，而普通用戶無權在DC上登錄。

解決辦法：具體見前。

2、安全策略/本地策略/用戶權利分配：通過終端服務允許登錄。

這是03特有的，2000沒有這條安全策略。解決辦法，

方法一、在我的電腦/右鍵/屬性/遠程/遠程桌面下，選中“允許用戶遠程連接到這臺計算機”選項后，單擊“選擇遠程用戶”/添加。用戶將被自動加入到Remote Desktop Users組，而這個組默認有“通過終端服務允許登錄”的權利。

方法二、手動將用戶加入到Remote Desktop Users組

方法三、手動直接指派用戶“通過終端服務允許登錄”的權利

注意：如果終端服務器同時是DC，必須使用方法三。原因是為了保護DC，DC上的本地安全策略里，只允許Administratrs組有此權利，而將Remote Desktop Users組刪掉了。

3、開始/程序/管理工具/終端服務配置/RDP-Tcp/右鍵/屬性/權限。

解決辦法：手動將用戶加入到Remote Desktop Users組，或確保用戶在此權限下有來賓訪問或用戶訪問的權限。

4、用戶所用賬號口令為空。

若終端服務器為03，用戶使用此服務器上的本地賬號、且口令為空，通過TS登錄。由于03本地安全策略/本地策略/安全選項/帳戶：使用空白密碼的本地帳戶只允許進行控制臺登錄，默認啟用，這將會阻止用戶登錄。解決辦法：使用非空密碼或禁用此策略。

順便提一下，這也是常見的通過網絡訪問XP/03上的共享資源，不通的原因之一。

5、所用賬號屬性/終端服務配置文件/“允許登錄到終端服務器”選項。

這個選項，默認就是選中的，除非有人動過。解決辦法：手動選中即可。

6、還有兩種可能：
（1）2000：未安裝TS服務；03：未啟用遠程桌面
（2）03：啟用了ICF，但未設允許RDP進入

Q6、在2000（也僅是2000）中由于禁止本地登錄權利而導致的所有用戶、管理員無法登錄。

在安全策略/本地策略/用戶權利分配下有兩條策略：

¨ 拒絕本地登錄，默認為“未定義”。

¨ 允許在本地登錄，其默認值分別為：

u 本地計算機策略：Administrators、Backup Operators、Power Users、Users

u 默認域的策略：未定義

u 默認域控制器的策略：Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname

說明：如果在同一級別上、對同一對象（用戶或組）、同時設置了“允許”和“拒絕”，“拒絕”權利的優(yōu)先級別高。也就是說二者沖突時，“拒絕”權利生效。

假設不小心或干脆有人使壞在拒絕本地登錄上設置了所有人或管理員，又或者在允許登錄上把管理員給刪掉了。不論哪一種情況都會導致管理員無法登錄，出錯提示為：“此系統(tǒng)的本地策略不允許您采用交互式登錄”，也就沒辦法將策略設置改回正常了。

這種情形看起來像一個解不開的"死結"：要解除禁止本地登錄的組策略設置，必須以管理員身份本地登錄；要以管理員身份本地登錄，就必須先解除禁止本地登錄的組策略設置。

問題還是有辦法解決的，分別討論如下：

一、被域策略和域控制器策略所阻止

顯然你應該是被域策略和域控制器策略同時阻止了登錄權利，因為：

1、如果只是域策略阻止，由于默認域控制器的策略上允許Administrators登錄，而域控制器（Domain Controllers）是個OU，前面我們講過組策略的LSDOU原則，所以管理員可以登錄到DC上，把策略改回去。

2、如果只是域控制器的策略阻止，它只對DC生效。管理員可以在域內的其它計算機上登錄到域，把策略改回去。

要解決被域策略和域控制器策略同時阻止，首先我們來回顧一下前面講過的“具體的策略設置值存儲在GPT中，位于DC的winnt\sysvol \sysvol中，以GUID為文件夾名。”其中安全設置部分保存在DC的winnt\sysvol\sysvol\你的域名\Policies\策略的 GUID\MACHINE\Microsoft\Windows NT\SecEdit\GptTmpl.inf這個安全模板文件中。它實質就是一個文本文件，可利用記事本進行編輯。

說明：前面我們介紹過，默認域的策略、默認域控制器的策略使用固定的GUID，分別是：

¨ 默認域的策略的GUID為31B2F340-016D-11D2-945F-00C04FB984F9

¨ 默認域控制器的策略的GUID為6AC1786C-016F-11D2-945F-00C04FB984F9。

可以利用C盤的隱含共享C$，或winnt\sysvol\sysvol的共享sysvol連過去，直接編輯，具體操作如下：

1、在另一臺聯網的計算機（Win9X/2000/XP均可）上，使用域管理員賬號連接到DC。

2、利用記事本打開GptTmpl.inf文件。

3、找到文件中[Privilege Rights]小節(jié)下的拒絕本地登錄“SeDenyInteractiveLogonRight”和允許在本地登錄“SeInteractiveLogonRight”關鍵字，進行編輯即可。如：

¨ 使SeDenyInteractiveLogonRight所等于的值為空。

¨ 保證SeInteractiveLogonRight= *S-1-5-32-544，……

4、保存退出。

說明：

1、關于各SID所表示的意義，參見前面的表格。SID前面的*要保留，系統(tǒng)執(zhí)行時才不會其后面的SID當作具體的用戶/組的名字。

2、如果域中不止一臺DC，為保證DC同步時剛才所做的修改最終生效（原理同授權恢復），需要：

（1）打開winnt\sysvol\sysvol\你的域名\Policies\剛剛所修改策略的 GUID\ GPT.INI文件

（2）找到文件中的[General]小節(jié)下的“Version”，手動將其值增大，通常是加10000。這是我們修改的這個組策略對象的版本號，版本號提高后可以保證我們的更改被復制到其它DC上。

（3）保存退出。

5、重新啟動DC，域策略將被刷新。

說明：也可以在DC上運行secedit /refreshpolicy machine_policy /enforce刷新策略，這樣就不必重啟DC了。但需要用到telnet，細節(jié)參考前面telnet命令和接下來的內容。

6、以域管理員身份在DC上正常登錄到域，重新設置安全域策略中的相關項目。

二、被本地安全策略所阻止

很多人都會想到利用MMC遠程管理功能，重設目標機的安全策略。具體操作如下：

開始/運行/MMC/添加/組策略/瀏覽/計算機/另一臺計算機，如果有權限的話，你會發(fā)現你能找到并管理其它的策略設置，但是就是沒有安全策略等項目出現在列表中。

這是由于在Windows2000中，不支持對計算機本地策略的安全設置部分進行遠程管理。而且本地安全策略設置的實現也與域策略不同，它存放在一個二進制的安全數據庫secedit.sdb。

那么我們該怎么辦呢？我們可以使用telnet連接到故障計算機上，利用前面我們介紹過secedit命令導出安全設置到安全模板，即擴展名為.inf的文本文件中。利用記事本編輯后，再利用secedit命令將修改后的安全設置配置給計算機，這樣也就大功告功了。但如果故障計算機上的 telnet服務沒有啟動，那么我們應該首先把故障計算機上telnet服務啟動起來，才能連過去。

說明：因為telnet服務的啟動類型，默認為手動，所以正常情況下它是不會啟動的。此時連過去的出錯信息為：正在連接以xxx不能打開到主機的連接，在端口23：連接失敗。

綜上所述，具體解決辦法如下：

1、在另一臺聯網的計算機（2000/XP/03均可）上，修改其管理員密碼，使用戶名和口令均與故障計算機上的相同。（這主要為了方便，若在連接或使用的時候輸入目標計算機上的用戶名和口令，也可以）

2、注銷后，重新登錄進來。

3、我的電腦/右鍵/管理，打開計算機管理。

4、在計算機管理上/右鍵/連接到另一臺計算機：故障計算機IP。

5、在服務下找到telnet，手動將它啟動起來。

接下來使用telnet連接過來

6、開始/運行：cmd，鍵入telnet 目標IP

7、在C:\>提示符下，鍵入secedit /export /cfg c:\sectmp.inf，導出它的當前安全設置。

8、點擊開始/運行：\\目標IP\C$，雙擊c:\sectmp.inf，用記事本打開。

9、編輯sectmp.inf文件，具體同前面情況一的步驟3

10、回到步驟7的命令窗口，鍵入secedit /configure /db c:\sectmp.sdb /CFG c:\sectmp.inf將修改后的設置值，配置給計算機。

11、運行secedit /refreshpolicy machine_policy /enforce刷新策略，這樣就不必故障計算機了。

12、以本地管理員身份在故障計算機上正常登錄到域，重新設置安全域策略中的相關項目。

最后說明一下：對于XP/03不存在上述問題，微軟已經修正了這個問題。用戶不能阻止所有人或管理員登錄，在圖形界面下根本設不上；使用其它手段強行設上了也不起作用。因此大家可以想一想，針對上面第一種情況，實際上可以加一臺XP/03到2000域，在XP/03上登錄到域，將其解開。

本例的實際排錯意義并不大，但建議大家最好還是能把這個實驗做一下，因為它涉及到了很多知識點，如：基于域安全策略、本地安全策略的實施原理，組策略及其優(yōu)先級，權利、SID，還有同名同口令帳戶登錄、telnet、secedit工具的使用等等。再有大家也可以做一下實驗，既然我們能通過網絡解開，同樣也能通過網絡設上。

Q7、Win2000/03域中默認策略被誤刪，如何恢復？

對于Win2000，微軟在“下載中心”提供了Windows 2000默認策略還原工具的下載。微軟開發(fā)這一工具旨在幫助用戶在意外刪除默認策略時，能夠重新還原“默認缺省域的組策略”和“默認域控制器的組策略”文件。請到下列地址下載相應工具：

http://www.microsoft.com/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en

對于Win03,微軟提醒用戶不要將其應用于Windows Server 2003上。Win03自帶的Dcgpofix.exe就可以完成還原任務。

需要強調的是：作為管理員應及時將組策略的設置進行備份?？衫?000/03自帶的備份工具，把組策略作為系統(tǒng)狀態(tài)的一部分進行備份。也可以利用GPMC工具專門備份組策略的設置。這樣即使出問題了，重新恢復，也不用再把組策略重新設置了。

Q8、作為管理員，我通過組策略設置了一些限制，如“不要運行指定的windows應用程序”，但總有個別用戶在網上能找到破解的辦法，我該怎么辦？

這段話使我想起了關于網絡安全一條名言：沒有絕對的安全。我個人也覺得在計算機網絡世界里，永遠是高手在蒙低手。若水平都很高，那么最終的安全又回到了物理安全設置上（術語叫：社會工程）。下面以“不要運行指定的windows應用程序”這條組策略設置的攻防轉換，來闡明這個問題

第一回合：

管理員：通過本地策略限制某用戶運行某些用戶程序，如QQ、反恐、realplay等。操作：開始/運行，鍵入gpedit.msc，用戶配置/管理模板/系統(tǒng)/不要運行指定的windows應用程序，啟用／顯示／添加：上述應用的.exe文件名即可。

用　戶：用戶如果知道管理員怎么設置的限制，同樣的辦法取消限制即可。

第二回合：

管理員：將mmc.exe也加入到上述禁止運行列表中，使用戶無法打開任何MMC管理控制臺。

用　戶：開始/運行：cmd，鍵入mmc，將會打開控制臺下，文件/添加刪除管理單元，添加：組策略對象編輯器/本地計算機策略，取消限制。

說明：用戶在CMD方式下，直接鍵入gpedit.msc仍不能運行。此解法的知識點來自這條策略的說明標簽。

第三回合：

管理員：將cmd.exe也禁止運行
用　戶：重新啟動計算機，按F8，選擇帶命令行的安全模式。登錄進來后，在CMD方式下，鍵入mmc，將會打開控制臺下，文件/添加刪除管理單元，添加：組策略對象編輯器/本地計算機策略，取消限制。

第四回合：

管理員：一看不行了，還是借助于基于域的組策略吧。將用戶計算機加入到域，不給用戶本地管理員的口令，要求用戶使用一個域用戶賬號（為不影響用戶的其它正常應用，可將其加入到客戶機的Power Uers組），并將此域用戶賬號放到一個OU中，鏈接組策略，設置上述限制。

用　戶：手動刪除注冊表HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Policies\Explorer\DisallowRun下的被禁用的程序。

第五回合：

管理員：因為默認情況下，若用戶手動修改注冊表中的組策略設置值，若策略未變，組策略不負責強制改回。管理員可利用組策略／計算機配置／管理模板／系統(tǒng)／組策略／注冊表策略處理，設置成“即使尚未更改組策略對象也進行處理”，執(zhí)行強制性的、周期性刷新策略。

用　戶：用戶修改程序文件名，以避開策略的限制（尤其是對非MS的應用程序）。

第六回合：

管理員：設置權限，讓用戶無權修改文件名。

用戶：利用用鳳凰啟動盤重設本地管理員密碼，以本地管理員登錄進來后，不受上述限制，也可以干脆脫離域

第七回合：

管理員：在BIOS中禁用光驅并設上BIOS密碼，或物理斷開光驅。

用　戶：打開機箱，跳線清除BIOS密碼，或物理連接上光驅。

…… ……
通過本例大家也看到了，作為網絡員應當不斷學習，提高自身技術才行。在學習要充分利用Internet這個最廣博的老師，最大的知識庫。

小男孩‘自慰网亚洲一区二区,亚洲一级在线播放毛片,亚洲中文字幕av每天更新,黄aⅴ永久免费无码,91成人午夜在线精品,色网站免费在线观看,亚洲欧洲wwwww在线观看

活動目錄域故障解決實例(下)...

活動目錄域故障解決實例(下)