<![CDATA[OX]]> http://26116121.qzone.qq.com Sat, 28 Nov 2009 14:37:17 GMT Qzone zh-cn Copyright (C), 2005-2008, Tencent Tech. Co., Ltd. Fri, 27 Nov 2009 08:12:10 GMT <![CDATA[Remote Control]]> http://26116121.qzone.qq.com/blog/1259309530 1、不对空密码帐号限制
2、取消网络级身份限制
3、赋予帐号远程连接权限
4、保持终端服务状态正常
5、检查远程连接端口号码
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp(3389)
6、不让防火墙干扰远程连接

]]> http://26116121.qzone.qq.com/blog/1259309530#comment 134218240 Fri, 27 Nov 2009 08:12:10 GMT http://26116121.qzone.qq.com/blog/1259309530 <![CDATA[cusrmgr.exe]]> http://26116121.qzone.qq.com/blog/1259206322 修改密码
cusrmgr.exe -u Administrator -m \\pc1 -P newpass
修改用户名和密码
cusrmgr.exe -u Administrator -m \\pc1 -r pc1admin -p
--------------------------------------------------------------------------
2008
1.在Windows 2008域控制器上运行gpmc.msc.
2. 创建一GPO,并链接到计算机OU。
3.右击新建的GPO,选择编辑。
4. 展开到计算机配置\Preferences\控制面板\本地用户和组。
5.右击新建\本地用户,选择action:update, username:administrator.输入密码。
6.单击确定。
]]> http://26116121.qzone.qq.com/blog/1259206322#comment 134218240 Thu, 26 Nov 2009 03:32:02 GMT http://26116121.qzone.qq.com/blog/1259206322 <![CDATA[PNRP]]> http://26116121.qzone.qq.com/blog/1259202726 管理员命令运行-CMD
netsh
p2p
pnrp
peer
set machinename 0.j2sdk publish=start autopublish=enable
show machinename(0.j2sdk)
ping j2sdk.pnrp.net
来自 2001:0:cf2e:3096:2cea:7781:221f:edac 的回复: 时间<1ms
来自 2001:0:cf2e:3096:2cea:7781:221f:edac 的回复: 时间<1ms
来自 2001:0:cf2e:3096:2cea:7781:221f:edac 的回复: 时间<1ms
来自 2001:0:cf2e:3096:2cea:7781:221f:edac 的回复: 时间<1ms
2001:0:cf2e:3096:2cea:7781:221f:edac 的 Ping 统计信息:
数据包: 已发送 = 4,已接收 = 4,丢失 = 0 (0% 丢失),
往返行程的估计时间(以毫秒为单位):
最短 = 0ms,最长 = 0ms,平均 = 0ms
]]> http://26116121.qzone.qq.com/blog/1259202726#comment 134218240 Thu, 26 Nov 2009 02:32:06 GMT http://26116121.qzone.qq.com/blog/1259202726 <![CDATA[Black Hole Router Issues]]> http://26116121.qzone.qq.com/blog/1258886531 ping computer_name or IP_address -f -l 1472
Method 1
Enable PMTU Black Hole Detection on the Windows-based hosts that will be communicating over a WAN connection. Follow these steps:
  1. Start Registry Editor (Regedit.exe).
  2. Locate the following key in the registry: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpip\parameters
  3. On the Edit menu, click Add Value, and then add the following registry value: Value Name: EnablePMTUBHDetect
    Data Type: REG_DWORD
    Value: 1
  4. Quit Registry Editor, and then restart the computer.
Method 2Configure intermediate routers to send ICMP Type 3 Code 4 messages ("destination unreachable, don't fragment (DF) bit sent and fragmentation required"). This might require a router software or firmware upgrade, router reconfiguration, or router replacement.
Method 3Set the MTU of the host interface to be the largest size that the black hole router can handle, to guarantee that the largest possible packet size is sent over that connection. However, note that local traffic then uses smaller packets than necessary, as will traffic that uses the routed connections without problems.

This workaround assumes that you have identified the MTU and the state of all possible links that the host might use. After you identify the largest MTU size that is supported, manually set the MTU. Follow these steps:
  1. Click Start, and then click Control Panel.
  2. Double-click Network and Internet Connections, and then click to open the Network Connections folder.
  3. If more than one network connection is listed, for each connection, double-click the connection and then click the Support tab of the Status interface that opens. The connection that shows a Default Gateway entry is probably the network connection that is used to connect to the Internet. Note the name of the connection (for example, "Local Area Connection 2").
  4. Start Registry Editor (Regedit.exe).
  5. Under the HKEY_LOCAL_MACHINE tree, go to the following key: SYSTEM\CurrentControlSet\Control\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}\
  6. Under that key are one or more keys that have numeric identifiers. Each of these keys has a Connection subkey. Examine each of the keys that look like this: ID_for_Adapter\Connection
    The Name value in the Connection subkey provides the network connection name that is used in the Network Connections folder. When you find the one that matches the name that you found in step 3, make a note of the ID_for_Adapter that the network connection name is under.
  7. Return to HKEY_LOCAL_MACHINE, and then locate the following key
    SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ID_for_Adapter
    where ID_for_Adapter is the number that you noted in step 6. When you highlight this key, several values appear on the right side of the screen, including DefaultGateway and EnableDHCP.
  8. Right-click the right side of the screen, click New, and then click DWORD Value. Name the value MTU.
  9. Double-click the value so that you can edit the value, change Base to Decimal, and then enter the largest acceptable MTU size, which is the size that you identified by using the Ping tests.
  10. Quit Registry Editor.
]]> http://26116121.qzone.qq.com/blog/1258886531#comment 134218240 Sun, 22 Nov 2009 10:42:11 GMT http://26116121.qzone.qq.com/blog/1258886531 <![CDATA[dcdiag /test:dns]]> http://26116121.qzone.qq.com/blog/1258058874 dcdiag /test:dns。我在DC上执行dcdiag /Test:DNS /e /v,结果Del报错了。其他都pass了。请问这是什么原因,怎么解决?
另外,AD环境里,除了dcdiag /Test:DNS检查DNS,repadmin /replsum检查AD复制,日常还需要做些什么检查?
TEST: Delegations (Del)
Delegation information for the zone: shanghai.com.cn.
Delegated domain name: _msdcs.shanghai.com.cn.
Warning: DNS server: servertemp.shanghai.com.cn. IP:
<Unavailable> Failure:Missing glue A record
[Error details: 9714 (Type: Win32 - Description: DNS 名称不存在。)]
回答:根据您的描述,我对这个问题的理解是:DCDIAG中出现Del报错Missing glue A record,应该如何去解决。此外,您还想了解更多如何检查AD健康状态的信息。关于DCDIAG中出现的Del错误Missing glue A record的,它表示DNS服务器servertemp.shanghai.com.cn的A记录无法找到。
这里我想请问servertemp.shanghai.com.cn这台机器当前是运行中的域控还是说已经退役的?如果说是一台退役的DC,那么发生这个错误的原因可能是因为在这台已退役的DC还有一些DNS记录存在DC上,使得它仍旧被视为一台DNS服务器。如果我这里描述的情况都属实,请检查这台服务器是否仍在Name Servers列表里。参照下列步骤:
1. 打开DNS服务器管理窗口
2. 定位到shanghai.com.cn这个区域,右击并选择Properties
3. 选择Name Servers标签,确认servertemp.shanghai.com.cn是否仍在列表中
4. 如果是,请删除它,然后再运行一下dcdiag /Test:DNS /e /v看问题是否继续发生
如果servertemp.shanghai.com.cn就是当前正在运行的DC/DNS服务器,请帮我们收集一份Directory Service版本的MPS报告,并发给我做进一步研究。如果不是,还是请您在当前的这台服务器上(就是测试dcdiag /Test:DNS /e /v这台)收集一份Directory Service版本的MPS报告,并且告诉我们更多的关于服务器servertemp.shanghai.com.cn的信息(DNS? DC?)。
至于在AD环境里除了检查DNS以及AD复制外,我们一般也会用NetDiag这个命令来检查域控的网络以及配置信息。主要就是这三个命令,每个命令都有比较多的参数,您可以使用“/?”来查看具体的信息。使用”/v”就是输出最详细的信息。
我检查了系统日志以及DNS日志,最近并没有DNS相关的错误事件发生。然后我又进一步检查了DCDIAG以及NetDIAG日志,也没发现任何与servertemp相关的错误的发生。
要把一台DC从域中移除,仅仅将该服务器从ADUC里删除是不够的。我们还需要做以下步骤确保将ServerTemp这台DC完全移除:
步骤1
=====
打开Active Directory Sites and Services
展开Sites->Default-First-Site-Name->Servers,将ServerTemp从列表中删除
步骤2
=====
确保在WINS以及DNS服务器里没有关于ServerTemp的记录
步骤3
=====
参照文章域控制器降级失败后如何删除 Active Directory 中的数据” http://support.microsoft.com/kb/216498/zh-cn
将ServerTemp相关的metadata从AD中移除。
确保上面三个步骤无误操作后,我们再来运行一遍dcdiag /Test:DNS /e /v,看问题是否继续。
在做了更多的研究之后,我觉得这个问题的原因还是由于DNS服务器里留有ServerTemp相关的记录。请采用下面步骤将shanghaimart.com.cn这个区域的所有DNS记录都导出来,然后发给我:
1. 点击Start->Run, 输入dnsmgmt.msc并点击OK来打开DNS管理窗口
2. 找到shanghaimart.com.cn这个区域, 右击并选择Properties
3. 在General标签,点击Change按钮
4. 去掉Store the zone in Active Directory (available only if DNS server is a domain controller) 这个选项前面的勾, 然后保存设置
5. 打开%SystemRoot%\Windows\system32\dns这个文件夹, 找到名为shanghaimart.com.cn.dns的文件, 然后发给我
6. 重复步骤1~4将Store the zone in Active Directory (available only if DNS server is a domain controller) 这个选项重新勾选上
这里请帮忙做一个测试,打开DNS管理窗口之后,在shanghaimart.com.cn这个区域里创建一个ServerTemp的A记录,您可以任意指定一个IP地址给这条A记录。然后在_msdcs.shanghaimart.com.cn这个区域下创建一个名为ServerTemp的CNAME记录,注意这个CNAME记录是指向新创建的ServerTemp这个A记录的。完成这些操作后,请重新运行一下dcdiag /Test:DNS命令,然后看问题是否发生。此外,在DCDIAG的测试结果中,我还发现了以下错误:
+++++++++++++++++++++++++++++++
DNS server: 211.136.107.200 (<name unavailable>)
1 test failure on this DNS server
This is not a valid DNS server. PTR record query for the 1.0.0.127.in-addr.arpa. failed on the DNS server 211.136.107.200
[Error details: 1460 (Type: Win32 - Description: 由于超时时间已过,该操作返回。)]
+++++++++++++++++++++++++++++++

请参照下列步骤将211.136.107.200这个地址从Root Hints列表中删除:
1. 点击Start->Run, 输入dnsmgmt.msc并点击OK来打开DNS管理窗口
2. 右击DNS服务器并选择Properties
3. 点击Root Hints标签,找到211.136.107.200这个地址,然后将其删除
]]> http://26116121.qzone.qq.com/blog/1258058874#comment 134218240 Thu, 12 Nov 2009 20:47:54 GMT http://26116121.qzone.qq.com/blog/1258058874 <![CDATA[How to Manage Remote Access to the Registry]]> http://26116121.qzone.qq.com/blog/1257901084 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg
权限local service(read)
------------------------------------------------------------------------------------------------------------------------------------------------------
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
machine 多字符串
System\CurrentControlSet\Control\Print\Printers
System\CurrentControlSet\Services\Eventlog
Software\Microsoft\OLAP Server
Software\Microsoft\Windows NT\CurrentVersion\Print
Software\Microsoft\Windows NT\CurrentVersion\Windows
System\CurrentControlSet\Control\ContentIndex
System\CurrentControlSet\Control\Terminal Server
System\CurrentControlSet\Control\Terminal Server\UserConfig
System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration
Software\Microsoft\Windows NT\CurrentVersion\Perflib
System\CurrentControlSet\Services\SysmonLog

]]> http://26116121.qzone.qq.com/blog/1257901084#comment 134218240 Wed, 11 Nov 2009 00:58:04 GMT http://26116121.qzone.qq.com/blog/1257901084 <![CDATA[win7中搜索服务无法启动的问题]]> http://26116121.qzone.qq.com/blog/1257731690 1. Stop Indexing service "cmd: net stop wsearch" and check in
TaskManager's process list that SearchIndexer.exe was really stopped.
2. Delete %SystemDrive%\ProgramData\Microsoft\Search\Data
\Applications\Windows (Vista) or %AllUsersProfile%\Application Data
\Microsoft\Search\Data\Applications\Windows (XP) folder with all its
files and subfolders.
3. Delete the following registry keys:
- "HKLM\Software\Microsoft\Windows Search\Applications\windows"
- "HKLM\Software\Microsoft\Windows Search\CatalogName\windows"
- "HKLM\Software\Microsoft\Windows Search\Databases\windows"
- "HKLM\Software\Microsoft\Windows Search\Gather\windows"
- "HKLM\Software\Microsoft\Windows Search\Gathering manager
\Applications\windows"
- "HKLM\Software\Microsoft\Windows Search\UsnNotifier\windows"
You'll have to change reg key ownership and change permission
first.
4. In registry in key "HKLM\Software\Microsoft\Windows Search"
switch "SetupCompletedSuccessfully" subkey to "0" - you'll have to
change reg key ownership and change permission first.
5. Start Indexing service back "cmd: net start wsearch"
6. Wait until "SetupCompletedSuccessfully" subkey switch back to 1.
If it's still "0" after 5 minutes, it means the setup is failed again. ]]> http://26116121.qzone.qq.com/blog/1257731690#comment 134218240 Mon, 09 Nov 2009 01:54:50 GMT http://26116121.qzone.qq.com/blog/1257731690 <![CDATA[outlook 垃圾邮件]]> http://26116121.qzone.qq.com/blog/1257730827 Outlook2007,垃圾邮件策略都是默认低等级的。有一个用户,邮件很多,每天否发现大量邮件被移到垃圾文件夹,我看了几封邮件,主题,发件人,内容都是正常的,垃圾邮件过滤功能又必须要用到的.
1. Outlook是否创建了相关的规则。把特定的邮件放到了垃圾文件夹中。我们可以先把所有的规则停掉来测试。(工具 -> 规则与提醒)
2. 发件人是否被加到了阻止发件人列表中。 (工具 –>选项 -> 首选参数 ->垃圾电子邮件 –>阻止发件人)
如果在此列表中, 把特定发件人从列表中清除, 我们也可以把发件人加到安全发件人列表中。(右键点击一封邮件,在垃圾电子邮件下也会有相关选项)
3. 如问题依旧存在,我建议创建一个新的电子邮件配置文件:
How to create and configure an e-mail profile in Outlook 2007 and Outlook 2003
http://support.microsoft.com/?id=829918
感谢您的回复。Outlook内置了一个垃圾邮件过滤引擎。判断的标准主要是对标题和邮件内容的检查。在用户界面上, 只能配置过滤的级别,级别越高,过滤越严格,当然,一些正常的邮件也可能被误判成垃圾邮件。我们可以将发件人加到安全发件人列表中以避免此问题。推荐(默认)的过滤级别是:低。
最常见的因素是:Outlook客户端中“安全发件人”,“安全收件人”的设置不同。请检查当前的设置是否一致。同时,请确认Outlook客户端安装了相同版本的更新,不同版本的过滤效果可能会产生差异。(几乎每个月都会有相关更新)
此外,Outlook中的垃圾邮件过滤功能是具有自我学习能力的, 用户的每一个关于垃圾邮件的操作都会作为以后的判断标准,例如将一封邮件标记为垃圾邮件或非垃圾邮件,或者对“安全发件人”的配置更改. 因此在不同的客户端上得到不同的过滤结果应该是正常现象。
]]> http://26116121.qzone.qq.com/blog/1257730827#comment 134218240 Mon, 09 Nov 2009 01:40:27 GMT http://26116121.qzone.qq.com/blog/1257730827 <![CDATA[加域的过程]]> http://26116121.qzone.qq.com/blog/1257680772 对于一台机器能否成功登陆域,一是要保证登录所用的账户确实存在于AD的数据库中,二是要保证这台主机能够通过DNS成功定位到域控(DC)。
每一台DC都会在DNS服务器上注册A记录和SRV记录。A记录包含了FQDN到IP地址的映射,SRV记录则包含了域控提供的Service到域控主机名的一个映射。只要在客户机上配置了正确的DNS,那么主机都可以通过DNS解析到域控。机器在加入域的过程主要就是通过DNS先查找到DC的存在,然后使用域用户通过DC的验证,然后这台计算机就会在AD里注册一个计算机对象(Computer object:唯一,不得重名)。这样就完成了整个注册过程。
此外,下面的这些步骤介绍了一台主机如何锁定域控
1. 当一个用户登录域时,客户机会初始化一个Active Directory的搜索,然后Net Logon服务会启动一个DsGetDcName的API来搜集登录域所需的信息。
2. 当Net Logon服务搜集到登录域所需的相关信息后,它会将这些信息封装到一个DNS的请求中。这些信息包括:
- ComputerName:客户机的计算机名
- DomainName:需要登录的域名
- SiteName:域控所在的站点名。如果这个站点没有特别指定,那么域控会被定位在与客户机最为接近的一个站点。
3. Net Logon服务将这个DNS的请求发送到DNS服务器。这个请求包含了所有客户机的信息以及它所要索取的服务(登录域)。
4. 由于DNS服务器上包含有域控的相关信息,可以准确将这个DNS请求传递给域控,经过域控认证通过,客户机就可以成功登录域了。 ]]> http://26116121.qzone.qq.com/blog/1257680772#comment 134218240 Sun, 08 Nov 2009 11:46:12 GMT http://26116121.qzone.qq.com/blog/1257680772 <![CDATA[文件夹权限]]> http://26116121.qzone.qq.com/blog/1257417700
共享文件夹的安全属性,我们去定义某个账号或者Group且赋予最高权限,是否可以通过什么方法限制 这个账号或者 Group不能删除自己的权限账号用GPO ?注册表?
回答:根据您的描述,我对这个问题的理解是:您想知道是否能限制用户无法删除自己的权限即使这些账号被设置成完全控制。是可以做到的。您可以按照下面的方法来做:
1. 打开共享文件夹的属性。
2. 在共享选项卡下,设置所有人完全控制权限。
3. 在安全选项卡下,点击高级按钮。
4. 在新开的窗口,消除继承的复选框,否则无法更改必要的权限。点击添加按钮,根据您的需要加入用户或者组。在选择权限的窗口中,先选择完全控制(或者根据您的需要选择权限),在“更改权限“那一行选中拒绝复选框,同时拒绝“取得所有权”。
注意:如果“取得所有权”被允许的话,用户就可以取得这个文件夹的所有权,如果这个文件夹的所有权归这个用户所有,那么所有的权限对这个用户就不再起作用了。所以一定要拒绝“取得所有权”这个权限。但是您必须至少一个拥有具有允许“取得所有权”权限的用户存在,这样做是为了避免假如所有权丢失,无人能更改权限的尴尬局面。您可以加个管理员或者管理员组并给其“取得所有权”权限。
5. 点击应用。
这样一来,配置了拒绝“更改权限“和“取得所有权”权限的用户可以任意的个更改文件夹或者下面的文件,但是无法更改自己或他人的权限(除非该文件夹得所有权归这个用户所有)。
对于“是否可以通过组策略或注册表来强制指定 的组不能被从ACL 中删除”这个问题,是不可以的,因为有关权限等安全相关的数据并不是存在注册表里,而是存在安全帐户管理器数据库(SAM database)。无论是通过组策略和注册表,最终的结果都是修改机器的注册表来进行修改的,所以不会影响SAM数据库。因此组策略和注册表不能用来达成你的需求。更多有关SAM的信息,请您查看下面的文章。SAM
http://technet.microsoft.com/zh-cn/library/cc756692(en-us,WS.10).aspx
因为管理员(无论是域还是本地)拥有在所有用户中最高权限,他可以控制所有的权限,所以我们不能限制管理员的行动。事实上,假如说管理员的行动可以被限制的话,那管理员这个用户类型其实就是形同虚设。但是您可以用下面的方法来取消上面的限制:
1. 首先将文件夹的所有权转移到另外的用户,可以是一个域管理员。
2. 然后拒绝本地管理员组和与管理员组“更改权限“和“取得所有权”的权限。但是这样做并不推荐,因为如果那个域管理员被删除或者这台机器退出域,所有的用户将无法更改权限或者获得所有权。应对这种情况,就是将所有文件拷贝出来,删掉这个文件夹,新建一个文件夹,再将文件拷贝到新建的文件夹。

]]> http://26116121.qzone.qq.com/blog/1257417700#comment 134218240 Thu, 05 Nov 2009 10:41:40 GMT http://26116121.qzone.qq.com/blog/1257417700