Active Directory活动目录

按照知识库文章编号为325379的操作去做win2000到win2003的AD升级，
win2000电脑已经升级SP4，开始运行adprep提示没进行站点复写；便使用ntdsutil 删除其它几台BDC，然后抢夺5个 FSMO角色；运行adprep /forestprep domain,提示正常。
在win2003提升为DC时，到验证域树时提示 “来源树系的AD与这台电脑的AD版本不相容”还要我运行ADPREP，可我已经在2000端运行了啊，而且提示正常。这问题出在那里啊？

回答：您好！    根据您的描述，出现该错误提示，可能有多种原因，建议您尝试以下步骤：
1. 请确认运行adprep /forestprep 和 adprep /domainprep是否在没有错误的情况下完成。
2. 由于Windows Server 2003 包含更新的架构版本。您必须更新现有目录林中的架构，Active Directory 安装向导才能成功运行。要解决此问题，请参考以下文章：
无法将 Windows Server 2003 域控制器提升至 Windows 2000 目录林
http://support.microsoft.com/kb/278875/zh-cn

win2k AD上有做DHCP服务现因AD的DNS里建有 。根域在DNS里不能作转发....
请问我如果要让客户端自动获取IP能上网.除了在DNS里删除 。根域.再开启转发功能是否还有其他办法.
还有如果我删除 。根域.会不会有什么问题..
非常感谢!

回答：一般情况下删除 root hint没有什么问题，具体的描述情参考 http://support.microsoft.com/kb/229840/
除非dns的架构设计利用了dns root hint。比如企业内部的dns在设计之初不想向internet转发，这可能是处于安全性考虑，或者internet上存在相同域名。关于dns 解析的问题，请参考 http://gnaw0725.blogdriver.com/gnaw0725/1180621.html

--- gnaw0725

您好！    您删除“.”区域不会出现什么问题。“.”区域表示服务器是顶级根服务器。 因为根服务器位于顶部DNS层次结构，所以它不能配置为转发，也不需要根提示。
如果您运行 Active Directory 安装向导 (Dcpromo.exe), 可以在本地计算机上配置 DNS 服务器和正向搜索区域。安装向导会检查计算机上 TCP/IP 配置，并确定计算机是否配置使用了DNS 服务器。计算机没有配置使用任何DNS服务器, 将会查询 Cache.dns 文件 （Internet 根服务器）中列出的根服务器，如果向导无法联系任何根服务器, 配置本地计算机作为根服务器并创建“.”区域。删除“.”区域的具体设置如下：

活动目录网域中禁用移动存储（U盘）：由于安全须要,要禁用U盘的使用,但是不禁用其它usb接口的设备,查了一下,发现有一份资料这样写: 

运行注册表编辑器，找到HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\USBSTOR键，取消System的所有控制权。如果要分配控制权，只需要对相应用户设置控制权限就可以了。

问题1:我按照上面的描述,我在DC上的组策略中的"安全选项"-"注册表",新建一项,然后找到HKEY_LOCAL_MACHINE\SYSTEM,但是里面没有ControlSet002,只有ControlSet001和ControlSet003.不知是什么原因?

本系列共十次课程，内容围绕微软深层防御体系诸多层面，涉及安全防御观念及理念、传输系统的安全技术、存储系统的安全及加密解密技术、主机层面的安全更新等多个话题，使听众从入门到精通的完成网络安全的深层防御。帮助IT人员构建安全稳固的基于Windows Server平台的系统。

 深层防御系列之一：微软“客户端保护”介绍
 讲师信息：尹川
2006年11月10日 14:00-15:30
Level: 200当前Internet环境下各种网络安全威胁对服务器和客户端带来了诸多挑战，诸如：黑客、入侵、病毒、垃圾邮件、广告，无处不在，本课程将介绍如何利用微软最新的“Microsoft Client Protection”提供给个人及企业客户深入的全面地网络保护。
 
深层防御系列之二：企业消息安全解决方案
 讲师信息：尹川
2006年11月15日 14:00-15:30
Level: 200随着IT技术应用的不断发展，企业中消息的安全逐渐提升到了一个必须关注的高度， 因为信息安全的漏洞给企业带来了诸多损失，本课程将着重了解微软在消息安全方面的新技术及新产品，将探讨如何利用这一系列产品构建安全的企业消息平台。涉及到了Exchange、LCS等诸多产品。
 
深层防御系列之三：标识和访问管理新技术预览

如何在2003域中禁止登录到本机?新建域后，winxp pro客户端登录时可选登陆到域还是登陆到本地计算机，如何设置可以禁止登录到本地计算机？ 强迫用户只能以特定身份登录域谢谢！

答：通常有四个办法来解决或者说变通的解决这个问题。

1、用策略禁止本地登陆。可以建立一个ou，然后将需要控制的计算机账户放置其中，然后在此ou上设置策略，在计算机安全策略中直接指定 禁止本地登陆 。但是这么做有个问题，我们设想一个场景：如果客户端套用到这个策略，碰巧当前计算机网络不可用，一旦系统出现问题，那么就连本地管理员也无法进行登陆，此时Help Desk不就头疼了吗？

2、限制本地群组。通常来说，最好的做法就是这个方法。可以手动删除所有本地账户（内置的账户常规方法是不能删除的）；然后清理本地管理员群组中的账户，至少保留内置系统管理员及Domain admins；最后统一修改本地管理员账户密码。这样用户没有本地账户，就只能登陆到域。当然这个方法不适合大规模部署，那么可以通过策略的方式限制 允许本地登陆的账户或群组，也可以限制本地群组中的账户(关于受限群组策略，请参考 http://gnaw0725.blogbus.com/logs/4888519.html)

3、修改注册表自动登陆。具体的参数修改情参考 http://support.microsoft.com/kb/315231/zh-cn ，不过记得用户名要用 username@domain.com 的格式啊。这种做法呢，只是表面上的解决;) 1)用户登陆或者注销的时候按住 shift键就可以使用其他账户了。2)任何能接触计算机的人都可以登陆了，不安全。所以这种方法不推荐。

4、屏蔽登陆对话框中本地选项。这个方法的注册表设置请参考 http://gnaw0725.blogbus.com/logs/4888464.html 。其实登陆的那个窗口就是这个MSGINA，如果当前网域中的Client是Winxp（注意，win2k是不允许自定义msgina的），那么可以定制这个DLL，然后通过策略将这个DLL利用计算机策略发布出去，能让登陆界面更符合企业的需求。

当然以上这四个办法都无法从根本上，避免用户逃避域ad管制的问题。剩下的活都需要靠企业安全策略去管理，更多的讨论请参考 http://gnaw0725.blogbus.com/logs/4888466.html

求助大家，有什么办法可以通过域GPO或者本地GPO使POWER USER可以在添加打印机的时候可以选中"local printer attached to this computer"。因为目前需要为一批移动用户使用的笔记本配置一个域帐号和本地local的帐号，域用户通过Checkpoint VPN来异地登陆，但是在不需要访问中国HO的时候使用本地的local power user帐号，均为POWER USER，但是这些用户要有安装打印机的权限，而默认的power user在安装打印机的时候"local printer attached to this computer"&"automatically detect……"这2个选项是灰色的。希望大家可以提供点意见和方法，非常感谢。

回答：您好！这是由于权限限制所致，默认情况下，Power Users组的用户没有安装驱动的权限。不过，您可以更改本地安全策略，来赋予Power Users组用户安装驱动程序的权限，操作如下：
1. 运行Secpol.msc打开本地安全策略。
2. 展开用户权限，双击“装载和卸载驱动程序”，单击添加，把Power Users组添加进来（默认设置只包含Administrators）。
3. 重启系统。由于在域控制器上，没有Power Users组帐户，所以，无法通过组策略的方式来修改这个安全策略，您需要手动更改本地安全策略。希望我的回答对您有所帮助。

罗俊华
在线技术支持工程师
微软全球技术支持中心

服务器是windows server 2003,客户机是windows xp，用户都是域用户。想在服务器上查看用户每次登入的时间。哪位同仁有办法？

回答：您好！您需要在服务器上查看域用户每次登入的时间，可以通过在服务器上开启审核登录事件的方法实现。具体设置如下：
1. 开始－>管理工具－>域控制器安全策略－>本地策略－>审核策略－>审核登录事件－>选择“成功”选项, 关闭“域控制器安全策略”管理单元。
2. 在命令行提示符窗口中，输入“GPUDATE/FORCE” ，然后按 “回车” ，立即刷新本地策略；
3. 开始－>运行”并输入“EVENTVWR.MSC” －>安全性－>察看登陆信息；

“审核登录事件”设置用于确定是否对用户在记录审核事件的计算机上登录、注销或建立网络连接的每个实例进行审核。如果正在域控制器上记录成功的帐户登录审核事件，工作站登录尝试将不生成登录审核。只有域控制器自身的交互式登录和网络登录尝试才生成登录事件。

总而言之，帐户登录事件是在帐户所在的位置生成的，而登录事件是在登录尝试发生的位置生成的。如果定义了此策略设置，则可指定是否审核成功、审核失败或根本不审核此事件类型。成功审核会在登录尝试成功时生成一个审核项。该审核项的信息对于记帐以及事件发生后的辩论十分有用，可用来确定哪个人成功登录到哪台计算机。失败审核会在登录尝试失败时生成一个审核项，该审核项对于入侵检测十分有用，但此设置可能会导致进入 DDoS 状态，因为攻击者可以生成数百万次登录失败，并将安全事件日志填满。

希望我的回答对您有所帮助，如果有不清楚的地方，请告诉我。

张一平
在线技术支持工程师
微软全球技术支持中心

这个：）老实说，用安全性审核的方法，的确是很实时，但不太实用。日志量太大，目前在windows 2003 上的日志过滤功能不是很好，即便用第三方的工具过滤也不是很容易。（如果您考虑使用第三方工具进行日志过滤，可以尝试 GFI EventsManager http://www.gfi.com/adentry.asp?adv=165&loc=16，但任何日志过滤工具的使用都不可能一蹴而就的满足管理员需求，需要经过不断的调整，这个调整过程将会伴随整个管理生命周期）
您可以尝试一下 oldcmp这个工具，它能够针对账户的一些属性生成报表。例如最后一次登陆时间戳。

---- gnaw0725

昨天作了下碎片整理和磁盘压缩(因为没有空间了)今天就出现如下提示：
管理单元初始化失败
名称:组策略对象编辑器.
CLSID:{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}

命令行执行 gpupdate gpresult 命令都没有用了.
在网上查了下资料把system32webm下的framedyn.dll文件拷到system32下就可以了.但是在命令行里C:\Documents and Settings\Administrator>还是不能用.只能在提示符改为C:windows\system32下可以用上面的命令,这是怎么回事.是不是环境变量的问题跟网上的对了没错

{C:Program Files\Support Tools;%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;}

回答：您好！您的系统出现管理单元初始化失败，可能是由于PATH 环境变量不包括 %SystemRoot%System32WBEM 文件夹。要解决此问题，请将 %SystemRoot%System32WBEM 文件夹添加到 PATH 环境变量中。为此，请按照下列步骤操作：
1.右键单击“我的电脑”，然后单击“属性”。
2.在“高级”选项卡上，单击“环境变量”。
3.在“系统变量”下，双击“PATH 环境变量”。
4.在“变量值”中输入：%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\system32\WBEM。
注意：如果出现其他系统变量，请不要删除。
5.单击“确定”，然后单击“确定”。更多的信息你可以参考以下文章：
打开 Microsoft 管理控制台时出现“Snap-in Failed to Initialize”（管理单元初始化失败）错误消息
http://support.microsoft.com/kb/826282/zh-cn

希望我的回答对您有所帮助，如果有不清楚的地方，请告诉我。

张一平
在线技术支持工程师
微软全球技术支持中心