计算机配置是针对某个计算机生效.doc

计算机配置是针对某个计算机生效,无论哪个用户登陆这个计算机 用户配置是针对域用户的设置,无论这个用户登陆哪个计算机都生效你在域控制器上就可以看到加入你这个域的所有计算机啊,每个计算机都由一个主机名啊.域（Domain）是活动目录的分区，定义了安全边界，在没经过授权的情况下，不允许其他域中的用户访问本域中的资源。活动目录可由一个或多个域组成，每一个域可以存储上百万个对象，域之间还有层次关系，可以建立域树和域林，进行无限地域扩展。在活动目录中，目录存储只有一种形式，即域控制器（ Domain Controller），包括了完整的域目录的信息。因此，每一个域中必须有一个域控制器，否则域也就不存在了。Windows 2000的活动目录不再有主域控制器和备份域控制器的区别，所有的域控制器在用户访问和提供服务方面都是相同的。它们之间的同步是采用了一种先进的多主复制的技术，称为Update Sequence Numbers (USN)。每个服务器跟踪其复制伙伴的最新USN列表，保证及时更新并且 更新不会有冲突或相互覆盖等。对于用户来说，域控制器管理是最重要的工作。因为域控制器的运行状态直接关系到网络的正常运行。下面就从域与域控制器的关系、设置域控制器属性、查找目录内容、连接到其他域及域控制器等几个方面介绍域控制器的管理。设置域控制器属性在公司网络中，特别是在单域网络中，域控制器是网络正常运作中心，所起到的网络控制作用是非常重要的。因此，用户必须根据网络运行情况合理地设置域控制器的属性。作为管人。下面就来介绍域控制器属性的设置过程。要设置域控制器属性，可参照下面的步骤：1. 选择“开始” |“程序” |“管理工具”|“配置服务器”命令，打开“ Windows 2000配置服务器”窗口，单击左边的列表中的Active Directory连接，使右边的窗格中列出相应的内容，然后单击“管理”超级连接，打开Active Directory用户与计算机窗口，如图9 - 1 5所示。 2. 在控制台目录树中，单击之后再双击域节点，展开该节点。再单击Domain Computers 子节点，使详细资料窗格中列出相关内容。3. 在详细资料窗格中，右击要设置属性的域控制器，从弹出的快捷菜单中选择“属性”命令，打开该控制器的“属性”对话框，如图9 - 1 6所示。 4. 在“常规”选项卡中，在“描述”文本框中输入对域控制器的一般描述；如果不希望域控制器的可受信任用来作为委派，可禁用“计算机可受信任用来作为委派”复选框。 6. 选择如图9 - 1 7所示的“成员属于”选项卡，要添加组，单击“添加”按钮，打开“选择组”对话框为域控制器选择一个要添加的组；要删除某个已经添加的组，在“成员属于”列表框选择该组，然后单击“删除”按钮即可。7. 当管理员为域控制器添加多个组时，还可为域控制器设置一个主要组。要设置主要组，在“成员属于”列表框中选择要设置的主要组，一般为Domain Controllers ，也可为CertPublishers，然后单击“设置主要组”按钮即可。 8. 选择如图9 - 18所示的“位置”选项卡，在“位置”文本框中输入域控制器的位置；或者单击“浏览”按钮选择路径。9. 选择如图9 - 1 9所示的“管理人”选项卡，要更改域控制器的管理人，可单击“更改”按钮，打开“选择用户或联系人”对话框，选择新的管理人即可。要删除管理人，可单击“清除”按钮来删除；要查看和修改管理人属性，可单击“查看”按钮，打开该管理人属性对话框来进行操作。 10. 域控制器设置完毕，单击“确定”按钮保存设置。查找域控制器目录内容在Windows 2000中，活动目录实际上是一个网络清单，包括网络中的域、域控制器、用户、计算机、联系人、组、组织单元及网络资源等各个方面的信息，使管理员对这些内容的查找更加方便。要查找目录内容，可参照下面的步骤： 1. 在“Active Directory用户和计算机”窗口的控制台目录树中，右击域节点，弹出如图9 - 2 0所示的快捷菜单，选择“查找”命令，打开“查找用户联系人及组”对话框，如图9 - 2 1所示。 2. 在“查找”下拉列表框中选择要查找的目录内容，包括用户联系人及组、计算机、打印机、共享文件夹、组织单元、自定义搜索和路由器等，例如，选择“计算机”选项，这时对话框标题变为“计算机”，如图9 - 2 2所示。3. 在“范围”下拉列表框中选择查找范围，例如，整个目录。在“计算机”选项卡中，设置查找条件。例如，在“计算机”文本框中输入要查找的计算机名;在“所有者”文本框中输入计算机的用户名；在“作用”下拉列表框中选择计算机在网络中作用。4. 单击“高级”选项卡，如图9 - 2 3所示。要设置高级查找条件，单击“字段”按钮，从弹出的快捷菜单中选择设置条件的选项，然后在“条件”下拉列表框和“值”文本框中设置条件。5. 高级条件设置好之后，单击“添加”按钮，将条件添加到下面的文本框中。如果要继续添加高级条件，可按照上面步骤继续添加。6. 所有查找条件设置完毕， 单击“开始查找”按钮即开始查找，并将查找结果列出，如图9 - 2 4所示。 7. 查找完毕，单击关闭按钮关闭窗口。连接到其他域在一个多域的网络中，用户经常需要将当前域连接到其他域，这样可使当前域中的用户和计算机能访问其他域中的资源，也可将当前域控制器的部分操作主机功能传送给其他域控制器，甚至可将当前域控制器更改为其他域中的域控制器。 要连接到网络中其他域，在控制台目录树中，右击“ Active Directory 用户和计算机”根结点，从弹出的快捷菜单中选择“连接到域”命令，打开如图9 - 2 5所示的“连接到域”对话框，在“域”文本框中输入要连接的域的名称；或者单击“浏览”按钮，打开“浏览域”对话框选择要连接的域。要连接的域选择好之后，单击“确定”按钮即可建立连接。 更改域控制器 虽然一个域的控制器是域网络的中心，一般都能够稳定地运行，但是它也有出现故障的可能，导致域网络不能正常运行。这时，作为管理员的用户必须更改域控制器，以保证网络的正常运作。在Windows 2000中，由于不再区分主域控制器和辅助域控制器，域控制器的更改变得更加简单，用户只须建立当前域与其他任何可写的域控制器的连接即可。 要更改域控制器，在控制台目录树中，右击“Active Directory用户和计算机”根站点，从弹出的快捷菜单中选择“连接到域控制器”命令，打开如图9 - 2 6所示的“连接到域控制器”对话框，然后在“更改为”文本框中输入要连接的域控制器；或者从域控制器列表中选择一个要连接的域控制器。如果在域中没有列出其他可用的域控制器，可选择“任何可写的域控制器”选项，系统会根据网络连接情况自动选择可用的域控制器。要连接的域控制器选定之后，单击“确定”按钮完成连接。 注释 一般情况下，一个域网络中至少应有两个域控制器（一个域控制器和一个附加域控制器），以便在当前域控制器出现故障时，可使用附加域控制器来代替当前域控制器，保证网络的正常运行。活动目录（Active Directory）域故障解决实例前面我们讲过安全策略是组策略的子集（一部分），我们会首先讨论和安全策略相关的实例，然后才是其它的策略。 Q1、普通域用户无法在DC上登录？ 为了保护域控制器，默认能在DC上登录的用户只有：Administrators、Account operators、Backup operators、Server operators、Print operators这些特定的管理组。要想使普通域用户有权在DC上登录，可以将其加入到这些组中。但更多时候，我们不想让用户有过多的权利权限，也可以在开始/程序/管理工具/域控制器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加，指派其在DC上登录的权利即可。Q2、在03域中添加用户时，总是提示我不符合密码策略，怎么办？ 对于03，默认域的安全策略与2000域不同。要求域用户的口令必须符合复杂性要求，且密码最小长度为7。口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6，三是口令中不得包括全部或部分用户名。我们可以设置复杂一些的密码，也可以重新设默认域的安全策略来解决。操作如下：开始/程序/管理工具/域安全策略/帐户策略/密码策略： 密码必须符合复杂性要求：由“已启用”改为“已禁用”； 密码长度最小值：由“7个字符”改为“0个字符”。欲策略设置马上生效，可利用gpupdate进行刷新。（具体见前）如果添加的是本地用户，解决办法与此相同，只不过修改的是本地安全策略。Q3、在2000/03域中，前网管设置了一个开机登陆时的提示页面，已过时，现想取消，如何操作？ 登录到本机时出现，则在管理工具/本地安全策略，或开始/运行：gpedit.msc中配置。若是登录到域时出现，则在管理工具/域的安全策略，或AD用户和计算机/属性/组策略中配置。具体会涉及到：安全设置/本地策略/安全选项下的这两条， 交互式登录：用户试图登录时消息标题 交互式登录：用户试图登录时消息文字Q4、如何设置不让用户修改计算机的配置（如TCP/IP等）？ 可以利用本地策略或基于域的组策略锁定，具体操作：1、本地：开始/运行：gpedit.msc。或2、域：开始/程序/管理工具/AD用户和计算机/域名上/右键/属性/组策略/默认域的组策略3、在用户配置/管理模板/网络/网络及拨号连接：禁止访问LAN连接的属性。说明：1、若利用本地策略实现，本地管理员，可以重新设置策略解开。2、若利用域策略实现，只是域用户受此限制。本地管理员，不受此限制。所以应该不给用户本地管理员口令，让用户以非本地管理员/域用户身份登录。为了保证用户能安装软件或做其它管理工作，可将其加入本地的Power Users组。Q5、非管理员用户无法登录到终端服务器？ 欲使用户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server，对于2000S需要在服务器上安装终端服务，对于03S只需在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机”即可。对于管理员默认即可通过TS登录进来。非管理员用户通过终端服务无法登录，除了网络连接方面的问题以外，主要有以下五个方面的原因：1、终端服务器同时是DC，而普通用户无权在DC上登录。 解决办法：具体见前。2、安全策略/本地策略/用户权利分配：通过终端服务允许登录。 这是03特有的，2000没有这条安全策略。解决办法，方法一、在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机”选项后，单击“选择远程用户”/添加。用户将被自动加入到Remote Desktop Users组，而这个组默认有“通过终端服务允许登录”的权利。方法二、手动将用户加入到Remote Desktop Users组方法三、手动直接指派用户“通过终端服务允许登录”的权利注意：如果终端服务器同时是DC，必须使用方法三。原因是为了保护DC，DC上的本地安全策略里，只允许Administratrs组有此权利，而将Remote Desktop Users组删掉了。3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限。 解决办法：手动将用户加入到Remote Desktop Users组，或确保用户在此权限下有来宾访问或用户访问的权限。4、用户所用帐号口令为空。 若终端服务器为03，用户使用此服务器上的本地帐号、且口令为空，通过TS登录。由于03本地安全策略/本地策略/安全选项/帐户：使用空白密码的本地帐户只允许进行控制台登录，默认启用，这将会阻止用户登录。解决办法：使用非空密码或禁用此策略。顺便提一下，这也是常见的通过网络访问XP/03上的共享资源，不通的原因之一。5、所用帐号属性/终端服务配置文件/“允许登录到终端服务器”选项。 这个选项，默认就是选中的，除非有人动过。解决办法：手动选中即可。6、还有两种可能：（1）2000：未安装TS服务；03：未启用远程桌面（2）03：启用了ICF，但未设允许RDP进入Q6、在2000（也仅是2000）中由于禁止本地登录权利而导致的所有用户、管理员无法登录。 在安全策略/本地策略/用户权利分配下有两条策略： 拒绝本地登录，默认为“未定义”。 允许在本地登录，其默认值分别为：u 本地计算机策略：Administrators、Backup Operators、Power Users、Usersu 默认域的策略：未定义u 默认域控制器的策略：Administrators、Account Operators、Backup Operators、Server Operators、Print Operators、IUSR_dcname说明：如果在同一级别上、对同一对象（用户或组）、同时设置了“允许”和“拒绝”，“拒绝”权利的优先级别高。也就是说二者冲突时，“拒绝”权利生效。假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员，又或者在允许登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录，出错提示为：“此系统的本地策略不允许您采用交互式登录”，也就没办法将策略设置改回正常了。这种情形看起来像一个解不开的死结：要解除禁止本地登录的组策略设置，必须以管理员身份本地登录；要以管理员身份本地登录，就必须先解除禁止本地登录的组策略设置。问题还是有办法解决的，分别讨论如下：一、被域策略和域控制器策略所阻止 显然你应该是被域策略和域控制器策略同时阻止了登录权利，因为：1、如果只是域策略阻止，由于默认域控制器的策略上允许Administrators登录，而域控制器（Domain Controllers）是个OU，前面我们讲过组策略的LSDOU原则，所以管理员可以登录到DC上，把策略改回去。2、如果只是域控制器的策略阻止，它只对DC生效。管理员可以在域内的其它计算机上登录到域，把策略改回去。要解决被域策略和域控制器策略同时阻止，首先我们来回顾一下前面讲过的“具体的策略设置值存储在GPT中，位于DC的winntsysvolsysvol中，以GUID为文件夹名。”其中安全设置部分保存在DC的winntsysvolsysvol你的域名Policies策略的 GUIDMACHINEMicrosoftWindows NTSecEditGptTmpl.inf这个安全模板文件中。它实质就是一个文本文件，可利用记事本进行编辑。说明：前面我们介绍过，默认域的策略、默认域控制器的策略使用固定的GUID，分别是： 默认域的策略的GUID为31B2F340-016D-11D2-945F-00C04FB984F9 默认域控制器的策略的GUID为6AC1786C-016F-11D2-945F-00C04FB984F9。可以利用C盘的隐含共享C$，或winntsysvolsysvol的共享sysvol连过去，直接编辑，具体操作如下：1、在另一台联网的计算机（Win9X/2000/XP均可）上，使用域管理员账号连接到DC。2、利用记事本打开GptTmpl.inf文件。3、找到文件中Privilege Rights小节下的拒绝本地登录“SeDenyInteractiveLogonRight”和允许在本地登录“SeInteractiveLogonRight”关键字，进行编辑即可。如： 使SeDenyInteractiveLogonRight所等于的值为空。 保证SeInteractiveLogonRight= *S-1-5-32-544，4、保存退出。说明： 1、关于各SID所表示的意义，参见前面的表格。SID前面的*要保留，系统执行时才不会其后面的SID当作具体的用户/组的名字。2、如果域中不止一台DC，为保证DC同步时刚才所做的修改最终生效（原理同授权恢复），需要：（1）打开winntsysvolsysvol你的域名Policies刚刚所修改策略的 GUID GPT.INI文件（2）找到文件中的General小节下的“Version”，手动将其值增大，通常是加10000。这是我们修改的这个组策略对象的版本号，版本号提高后可以保证我们的更改被复制到其它DC上。（3）保存退出。5、重新启动DC，域策略将被刷新。说明：也可以在DC上运行secedit /refreshpolicy machine_policy /enforce刷新策略，这样就不必重启DC了。但需要用到telnet，细节参考前面telnet命令和接下来的内容。6、以域管理员身份在DC上正常登录到域，重新设置安全域策略中的相关项目。二、被本地安全策略所阻止 很多人都会想到利用MMC远程管理功能，重设目标机的安全策略。具体操作如下：开始/运行/MMC/添加/组策略/浏览/计算机/另一台计算机，如果有权限的话，你会发现你能找到并管理其它的策略设置，但是就是没有安全策略等项目出现在列表中。这是由于在Windows2000中，不支持对计算机本地策略的安全设置部分进行远程管理。而且本地安全策略设置的实现也与域策略不同，它存放在一个二进制的安全数据库secedit.sdb。那么我们该怎么办呢？我们可以使用telnet连接到故障计算机上，利用前面我们介绍过secedit命令导出安全设置到安全模板，即扩展名为.inf的文本文件中。利用记事本编辑后，再利用secedit命令将修改后的安全设置配置给计算机，这样也就大功告功了。但如果故障计算机上的telnet服务没有启动，那么我们应该首先把故障计算机上telnet服务启动起来，才能连过去。说明：因为telnet服务的启动类型，默认为手动，所以正常情况下它是不会启动的。此时连过去的出错信息为：正在连接以xxx不能打开到主机的连接，在端口23：连接失败。综上所述，具体解决办法如下：1、在另一台联网的计算机（2000/XP/03均可）上，修改其管理员密码，使用户名和口令均与故障计算机上的相同。（这主要为了方便，若在连接或使用的时候输入目标计算机上的用户名和口令，也可以）2、注销后，重新登录进来。3、我的电脑/右键/管理，打开计算机管理。4、在计算机管理上/右键/连接到另一台计算机：故障计算机IP。5、在服务下找到telnet，手动将它启动起来。接下来使用telnet连接过来6、开始/运行：cmd，键入telnet 目标IP7、在C:提示符下，键入secedit /export /cfg c:sectmp.inf，导出它的当前安全设置。8、点击开始/运行：目标IPC$，双击c:sectmp.inf，用记事本打开。9、编辑sectmp.inf文件，具体同前面情况一的步骤310、回到步骤7的命令窗口，键入secedit /configure /db c:sectmp.sdb /CFG c:sectmp.inf将修改后的设置值，配置给计算机。11、运行secedit /refreshpolicy machine_policy /enforce刷新策略，这样就不必故障计算机了。12、以本地管理员身份在故障计算机上正常登录到域，重新设置安全域策略中的相关项目。最后说明一下：对于XP/03不存在上述问题，微软已经修正了这个问题。用户不能阻止所有人或管理员登录，在图形界面下根本设不上；使用其它手段强行设上了也不起作用。因此大家可以想一想，针对上面第一种情况，实际上可以加一台XP/03到2000域，在XP/03上登录到域，将其解开。本例的实际排错意义并不大，但建议大家最好还是能把这个实验做一下，因为它涉及到了很多知识点，如：基于域安全策略、本地安全策略的实施原理，组策略及其优先级，权利、SID，还有同名同口令帐户登录、telnet、secedit工具的使用等等。再有大家也可以做一下实验，既然我们能通过网络解开，同样也能通过网络设上。Q7、Win2000/03域中默认策略被误删，如何恢复？ 对于Win2000，微软在“下载中心”提供了Windows 2000默认策略还原工具的下载。微软开发这一工具旨在帮助用户在意外删除默认策略时，能够重新还原“默认缺省域的组策略”和“默认域控制器的组策略”文件。请到下列地址下载相应工具：/downloads/details.aspx?FamilyID=b5b685ae-b7dd-4bb5-ab2a-976d6873129d&DisplayLang=en对于Win03,微软提醒用户不要将其应用于Windows Server 2003上。Win03自带的Dcgpofix.exe就可以完成还原任务。需要强调的是：作为管理员应及时将组策略的设置进行备份。可利用2000/03自带的备份工具，把组策略作为系统状态的一部分进行备份。也可以利用GPMC工具专门备份组策略的设置。这样即使出问题了，重新恢复，也不用再把组策略重新设置了。Q8、作为管理员，我通过组策略设置了一些限制，如“不要运行指定的windows应用程序”，但总有个别用户在网上能找到破解的办法，我该怎么办？ 这段话使我想起了关于网络安全一条名言：没有绝对的安全。我个人也觉得在计算机网络世界里，永远是高手在蒙低手。若水平都很高，那么最终的安全又回到了物理安全设置上（术语叫：社会工程）。下面以“不要运行指定的windows应用程序”这条组策略设置