IT博客-山和云的彼端-随笔分类-AD

通过runas来实现组策略脚本安装软件

joyclear — Tue, 16 Jun 2009 06:29:00 GMT

脚本如下

Option explicit
Dim oShell
set oShell= Wscript.CreateObject("WScript.Shell")
oShell.Run "runas /noprofile /user:test\admin ""C:\cderp.EXE"""
WScript.Sleep 100
oShell.Sendkeys "pass01!" --密码
Wscript.Quit

到微软网站下载vbs加密工具Encoder

MS Script Encoder Download Page

Screnc.exe /l vbscript MSword.vbs MSword.vbe

在组策略中发布脚本

参考：http://xinn.org/RunasVBS.html

http://gnaw0725.blogbus.com/logs/23964438.html

joyclear 2009-06-16 14:29 发表评论

如何清除域内长期没有登录的计算机对象

joyclear — Tue, 16 Jun 2009 05:39:00 GMT

根据您的描述，我对这个问题的理解是：
您想知道如何清除域内长期没有登录的计算机对象。
如果我的理解有误，请告诉我。
您可以使用一个叫oldcmp的工具，它能够根据你设置的条件过滤用户帐户或者计算机账户，然后你可以设置如何处置这些过期账户，是删除、移动、还是锁定。该工具的下载地址在
http://www.joeware.net/freetools/tools/oldcmp/index.htm
您需要在命令行环境下执行它，查询命令行的方式是 oldcmp /?
您可以参考下面的这篇文章，上面有详细的图文解说如何使用oldcmp清除旧的计算机帐户：
下面我举一个例子来说明使用OldCmp来清除域中长时间不使用的计算机帐户。
将工具OldCmp.exe 复制到C盘根目录，打开命令行窗口。接下来我要把AD中超过60天没有更新计算机账户密码的计算机账户挑选出来并禁用，等过一段时间，若没有用户报告出现问题，就可以统统从域中清除了。
注：默认情况下，计算机账户密码每30天自动更新一次。那也就是说我可以认为60天没更新的计算机已经是无效的了。该工具默认是90天，当然您可以根据需要自己设定。
在命令行窗口定位到C:\> 然后运行下面的命令：
oldcmp –age 60 –disable –unsafe –forreal
注释：
运行了命令后在工具所在的目录内会出现一份html报告，内容非常详尽。下面介绍一下参数含义
-age 60 ：超过60天未更新计算机账户密码的的计算机账户
-disable ：禁用计算机账户
-unsafe ：比如你有100个符合条件的对象会被执行，但默认情况下只对前10个做了操作，加了这个参数后就是对所有符合条件的对象操作，这么做的目的只有一个，安全。
-forreal ：加了这个参数，所有的操作才真正的执行。默认情况下你的操作都只是出现一份报告，告诉你操作的结果，让你可以有个了解。该工具的使用是需要非常小心的，所以该工具作者认为有必要多一个参数来保护。
命令运行后，刷新一下OU，你就发现符合条件的计算机账户都被禁用了。过了一段时间一切都运作正常，那么我就来删除当初禁用的这些电脑。只需要运行下面的命令：
oldcmp -onlydisabled -delete -unsafe -forreal
参数Onlydisabled就是仅仅对被禁用的计算机账户操作。
另外您还可以借助于脚本去查询并删除过期的计算机帐户。下面是一个脚本的例子，
您可以到我们的MSDN 论坛咨询脚本相关的问题
http://www.rlmueller.net/MoveOldComputers.htm
希望我的回答对您有所帮助，如果有不清楚的地方，请告诉我。
感谢您选择微软产品并使用微软合作伙伴在线技术支持！
马宁
在线合作伙伴支持工程师
合作伙伴支持部
微软全球技术支持中心

joyclear 2009-06-16 13:39 发表评论

DNS服务器中的老化和清理

joyclear — Tue, 31 Mar 2009 16:36:00 GMT

今天一个客户反映DNS中有很多重复的记录，要如何做清理，回复邮件的时候，顺便把blog也一并写了

在DNS服务器中，可以针对DNS记录做老化和清理的工作。

首先要了解一个概念，时间戳

对于每个动态更新记录,会基于当前的DNS服务器时间创建一个时间戳，但DHCP客户端服务或者DHCP服务器为此区域中的A记录进行动态更新时，会刷新时间戳。手动创建的资源记录会分配一个空的时间戳记录，代表他们不会老化.

我们可以在DNS管理控制台中打开查看的高级选项，然后查看DNS记录。

动态更新记录的刷新周期请参阅如下表格

在DNS区域中有老化的设置

无刷新间隔定义

当无刷新间隔对特定资源记录起作用时，动态刷新其时间戳的尝试将被 DNS 服务器制止。老化/清理机制的该特征能防止服务器对老化资源记录的不必要刷新。这些以前的刷新尝试，如果不如此解决，可能会增加与处理 DNS 区域更改相关的 Active Directory 复制通信。

要确保记录不会过早刷新，“无刷新间隔”与每个资源记录的当前刷新间隔在时间长度上必须对应。例如，如果将“刷新间隔”增加到更大的值，则必须同样增加无刷新间隔。

在多数情况下，7 天的默认间隔就足够了，无需进行更改。

服务器不接受记录刷新的时间(服务器仍接受更新)，这个值是最后一次刷新和最早可以再次刷新之间的间隔

刷新间隔定义

当刷新间隔对资源记录起作用时，自动刷新其时间戳的尝试被 DNS 服务器接受和处理。设置该间隔时，所使用的时间长度要比包含在区域中的任何资源记录的最大可能刷新周期长，这一点非常重要。该周期相当于在基于生成记录刷新的特定来源的正常网络环境下刷新记录可能需要的最长时间。

从上面的定义来看，刷新间隔，我们设定的这个值一般可以依据最长的DHCP服务器刷新，>=DHCP租约50%

无刷新间隔，设定太长会增加过期记录的保留时间，设定太短会引起不必要的AD复制通讯，因此基本设定与刷新间隔相同。

因此如果依照默认的设定，在时间戳后14天(7天+7天)，记录将被标志为过期记录。

当然上面的操作，只是将记录标志为过期，还没有执行清理的操作。

1.自动清理

2.手动清理(一次性，非重复)

那针对我那客户的状况，还有点特殊，客户是以前自己手动添加的记录，那我们针对手动的记录可以勾选Delete this record when it becomes stale这个选项。

当记录过期时间到了后也能通过自动清理或手动清理，删除掉。

当然这个操作还是要手动一个记录一个记录改，有这个时间都可以直接删除记录了，嘿嘿！

joyclear 2009-04-01 00:36 发表评论

Windows DC TombStone

joyclear — Mon, 30 Mar 2009 05:33:00 GMT

Tombstone生存时间是由tombstoneLifetime属性值所决定的，如果我们希望修改这个默认值，可以按照以下步骤来完成：
1．打开adsiedit.msc
2．在控制台下双击Configuration [DomainControllerName],
CN=Configuration,DC=[ForestRootDomain], CN=Services, and CN=Windows NT
3．右键单击 CN=Directory Service, 然后选择属性。
4．在”Attribute” 列中，单击tombstoneLifetime。最小为2天。
注意如果该值没有设置，则默认生效的期限分为以下2种：
如果是在Windows Server 2003 SP1上，默认是180天
如果是在Windows Server 2000或者Windows Server 2003，默认是60天。

即使是在现有域控制器工作都正常的情况下，我们也不建议通过修改默认Tombstone生存时间来重新将一台过了Tombstone时间的域控制器连接到现有的域中。您可以通过修改以下注册表键值来使现有域控制器能够与超时的域控制器进行正常复制：
请在所有的域控制器上执行以下步骤：
a. Click Start, click Run, type regedit, and then click OK.
b. Navigate to
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters
c. In the details pane, create or edit the registry entry "Allow
Replication With Divergent and Corrupt Partner" as follows:
如果注册表键值已经存在，请修改为下面的值：
a. In the details pane, right-click Allow Replication With Divergent and
Corrupt Partner, and then click Modify.
b. In the Value data box, type 1, and then click OK.
如果注册表键值不存在，请自行创建并修改为下列值:
a. Right-click Parameters, click New, and then click DWORD Value.
b. Type the name Allow Replication With Divergent and Corrupt Partner, and
then press ENTER.
c. Double-click the entry. In the Value data box, type 1, and then click OK.
当域控制器之间的复制成功以后，请务必将该值修改回到0。

joyclear 2009-03-30 13:33 发表评论

导出AD 群组中的用户列表

joyclear — Fri, 05 Dec 2008 02:59:00 GMT

企业中经常需要导出群组中的用户清单，在ADUC中只能导出OU的用户，
可以通过下面的脚本，导出群组中的成员清单
Set objGroup = GetObject("LDAP://CN=testgroup,DC=contoso,DC=com")
objGroup.GetInfo

arrMemberOf = objGroup.GetEx("member")

For Each strMember in arrMemberOf
Set objUser = GetObject("LDAP://" & strMember)
objUser.GetInfo
WScript.Echo objUser.Displayname & "," & objUser.Department
Next

joyclear 2008-12-05 10:59 发表评论

MsExchchangeCluster 1013 及 Userenv 1054问题解决

joyclear — Tue, 02 Dec 2008 15:14:00 GMT

下午四点赶往陆家嘴，解决客户Exchange群集问题，问题倒不是很紧急，但是客户环境比较特殊，只能在非工作时间解决，看来今天又要加班咯～～～
1.客户邮件服务器是Exchange 2003 Cluster, 群集资源中Exchange HTTP Virtual Server Instance 100 资源不能启用，导致用户无法访问OWA页面。
在日志中有MSExchangeCluster 1013等报错信息
事件描述：
Event Type: Error
Event Source: MSExchangeCluster
Event Category: Services
Event ID: 1013
Date: 25/80/2005
Time: 9:16:44 AM
User: N/A
Computer: exchange1
Description:
Exchange HTTP Virtual Server Instance 100 (exchange1): Failed to get the
protocol IP address and port bindings from the metabase.

打开IIS，里面虚拟服务器是停用状态，因为用户是比较重要的生产环境，所以暂时没有做任何操作，开始检查日志，Cluster日志，应用程序日志，系统日志，然后查EventID,微软KB。看起来IIS元数据损坏的可能性比较大。
突然从网上找到一篇BBS, 里面的问题和现在问题一样，里面提到了This problem can be caused by the HTTP Virtual Server not having an SSL port defined when we are requiring SSL.
立刻检查IIS里面SSL端口定义，果然是空值。输入443, 应用设定。重新启用群集中HTTP资源，服务正常启动了。
OWA页面正常开启。hoho~~，万幸，还好不是IIS元数据库问题，否则今天加班到几点还是问题，万恶的加班啊～～～，万恶的加班又没有加班费啊～～～～

2.问题提前解决，时间充裕，那就继续解决客户的其它问题，客户反应DC服务器上周期出现Userenv 1054错误，组策略无法下发。
事件描述：
Event Source: Userenv
Event Category: None
Event ID: 1054
Date: 3/12/2008
Time: 8:42:38 AM
User: NT AUTHORITY\SYSTEM
Computer: ServerName
Description:
Windows cannot obtain the domain controller name for your computer network. (An unexpected network error occurred. ). Group Policy processing aborted.
经过检查，不光DC上有，多台成员服务器上也有这个现象。
这个问题以前也多次见过，一直没有好好解决。
看了EventID，很多人都说这个问题和硬件有关。继续查找资料～～
功夫不负有心人啊，总算找到篇有用的资料，说明问题和AMD CPU有关，AMD有Fix程序可以解决。
打开服务器硬件属性，果然都是用的AMD的CPU，看来问题有眉目。
接下来的工作就交还给客户了，请他明天先联系下HP，看下HP的Case记录里面是否对这个错误有解决方案，如果确实是CPU的问题话，应该HP会碰到很多类似问题。

Just thought I'd throw this in here. Spent a bunch of time researching this, finally decided to call MS.

Event Source: Userenv
Event Category: None
Event ID: 1054
Date: 3/12/2008
Time: 8:42:38 AM
User: NT AUTHORITY\SYSTEM
Computer: ServerName
Description:
Windows cannot obtain the domain controller name for your computer network. (An unexpected network error occurred. ). Group Policy processing aborted.
-------------------------------------------------------
We were getting this on a bunch of new servers, all running Win2003 R2 64bit. It's also showing up on a number of XP machines. Finally decided to just open a ticket with MS.

The problem is apparently a "slow link detection", which is of course abundantly obvious from the errors. Per MS, we did the following reghacks:

Registry subkey: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\System
Value name: GroupPolicyMinTransferRate
Value type: DWORD
Value Data: 0

Registry subkey: HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
Value name: GroupPolicyMinTransferRate
Value type: DWORD
Value Data: 0

Note: if the "System" key doesn't exist, please create it under HKCU\Software\Policies\Microsoft\Windows & HKLM\Software\Policies\Microsoft\Windows first.

From the MS tech support rep:

"It is possible that certain firewall program (such as Windows Firewall) is installed on all your machines and configured to block the normal ICMP packets. Sometimes it may be also caused by some models of CPU.

For example, there is a known bug with AMD Opteron Processor driver for Windows XP and Windows Server 2003 Version (x86 and x64 exe) 1.3.2.16, which allows the system to automatically adjust the CPU speed, voltage and power combination that match the instantaneous user performance need. The slow link detection depends on the CPU clock to calculate the speed. However, it may fail when working along with AMD Opteron driver. Recently we have received many reports that this known bug in the AMD CPU driver often causes the group policy detection failure. AMD has provided a new version of driver to solve such similar problems. You can get this point from:

http://www.amd.com/us-en/Processors/TechnicalResources/0,,30_182_871_9033,00.html"

All our new servers are 64-bit Opterons. We haven't upgraded the driver yet.

joyclear 2008-12-02 23:14 发表评论

查询AD中删除用户信息

joyclear — Mon, 10 Nov 2008 09:35:00 GMT

您希望通过repadmin这个命令来检查已经被删除用户的信息，比如删除时间以及操作时的DC等，如果我的理解不正确，请您告诉我！

通过repadmin来检查已经被删除用户的信息：

1. 用域管理员登录DC
2. 开始－运行ldp.exe
3. Connection－connect
4. Bind－OK
5. View－OK
6. Options－controls，在Load选项中选择Return deleted object－OK
7. 展开左边区域中的DN，找到CN=Deleted Objects,DC=ibm,DC=com这个目录并展开（存在tombstone记录中的对象）
8. 在列表中找到您之前删除的用户，双击打开列表
9. 找到该删除账户的DN，如CN=jason\0ADEL:e0272381-ecc9-4391-86e7-4afc9e73b4fe,CN=Deleted Objects,DC=ibm,DC=com，复制下来
10. 开始运行 cmd
11. 运行repdamin /showmeta “CN=jason\0ADEL:e0272381-ecc9-4391-86e7-4afc9e73b4fe,CN=Deleted Objects,DC=ibm,DC=com” 回车后您会看到下面的信息

27 entries.
Loc.USN                          Originating DC   Org.USN Org.Time/Date        Ver Attribute
=======                          =============== ========= =============        === =========
20498           Default-First-Site-Name\DENVER     20498 2008-11-10 11:59:26    1 objectClass
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 cn
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 sn
20498           Default-First-Site-Name\DENVER     20498 2008-11-10 11:59:26    1 instanceType
20498           Default-First-Site-Name\DENVER     20498 2008-11-10 11:59:26    1 whenCreated
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 displayName
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    1 isDeleted
20502           Default-First-Site-Name\DENVER     20502 2008-11-10 11:59:27    2 nTSecurityDescriptor
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 name
20504           Default-First-Site-Name\DENVER     20504 2008-11-10 11:59:27    4 userAccountControl
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 codePage
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 countryCode
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    3 dBCSPwd
20499           Default-First-Site-Name\DENVER     20499 2008-11-10 11:59:27    1 logonHours
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    3 unicodePwd
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    3 ntPwdHistory
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    3 pwdLastSet
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 primaryGroupID
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 supplementalCredentials
20498           Default-First-Site-Name\DENVER     20498 2008-11-10 11:59:26    1 objectSid
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 accountExpires
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    3 lmPwdHistory
20498           Default-First-Site-Name\DENVER     20498 2008-11-10 11:59:26    1 sAMAccountName
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 sAMAccountType
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 userPrincipalName
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    1 lastKnownParent
20505           Default-First-Site-Name\DENVER     20505 2008-11-10 12:00:16    2 objectCategory
0 entries.
Type    Attribute     Last Mod Time                             Originating DC Loc.USN Org.USN Ver
======= ============ =============                           ================= ======= ======= ===
        Distinguished Name
        =============================

12. 在Ver Attribute这个属性下，你可以找到isDeleted这个属性，该属性对应的信息就是用户帐号的删除时间和操作的服务器信息

希望我的回答对您有所帮助，如果有不清楚的地方，请告诉我。

感谢您选择微软产品并使用微软合作伙伴新闻组技术支持！

Jason Hou 侯铮
MCSE 2003＋Security
在线合作伙伴支持工程师
合作伙伴支持部
微软全球技术支持中心

joyclear 2008-11-10 17:35 发表评论

ADMT 3.0迁移测试

joyclear — Mon, 10 Nov 2008 08:34:00 GMT

正好要写个AD域合并的方案，手头缺少些环境截图，索性做个ADMT 的迁移测试，后面还会写个Quest migration manager做迁移的，做个比较

一. 虚拟环境
Target Domain
Domain Name： Msft.Local (windows 2003)
IP Address：192.168.0.1
Source Domain
Domain Name：leaderit.com (windows 2003)
IP Address：192.168.0.100
Client PC
Name: Client
IP Address：192.168.0.200

建立帐号和群组，共享资源

二. 迁移流程
ADMT 3.0可以实现三种环境的迁移
1.Windows NT 4.0 Domain Restructure to an Active Directory Forest
2.Interforest Active Directory Domain Restructure
3.Intraforest Active Directory Domain Resturcture
其中在Interforest和Intraforest中还是有一些区别的
主要一点是Interforest里面对象是克隆，而在Intraforest里面对象是移动

Migration Consideration	Interforest Restructure	Intraforest Restructure
Object preservation	Objects are cloned rather than migrated. The original object remains in the source location to maintain user access to resources.	Objects are migrated and no longer exist in the source location.
SID history maintenance	Maintaining SID history is optional.	SID history is required.
Password retention	Password retention is optional.	Passwords are always retained.
Local profile migration	You must use tools such as ADMT to migrate local profiles.	For workstations that run the Microsoft Windows®°2000 Server operating system and later, local profiles are migrated automatically because the user’s GUID is preserved. However, you must use tools such as ADMT to migrate local profiles for workstations that run Windows NT 4.0 and earlier.
Closed sets	You do not need to migrate accounts in closed sets.	You must migrate accounts in closed sets.

整个迁移的流程图

三. 迁移前期工作
target域需要Windows 2000或者Windows 2003域功能级别
建立source和target之间的域信任关系

关闭SID Filter, 默认在Windows 2000 SP4以上及Windows2003启用了SID Filter, 在迁移过程中，为了让用户可以正常原有资源，我们需要迁移SID Histrory.
在命令行中通过netdom命令关闭SID Filter

将目标域的Domain Admins群组加入到Source administrators群组

以下三个步骤可以在ADMT第一次运行时由ADMT自动创建
1.在source域中创建source_name$$$本地群组
2.在source PDC角色上开启TCP/IP Client Support功能
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\LSA
   TcpipClientSupport   DWORD   1
3.在target和source域上开启审核
   Group Policy-Default Domain Controllers Policy-Computer Configuration-Windows Settings-Security Settings-Local Policies-Audit Policy
   Audit accout management   Success,Failure

四.安装ADMT
在target domain controller上安装ADMT 3.0 (ADMT 3.1支持Windows 2008)
ADMT3.0需要数据库支持，无论是采用SQL还是WMSDE，默认都会在本地安装WMSDE。

五.启用密码迁移
   森林之间迁移使用PES(Password Export Server)服务来迁移密码，PES服务可以安装在source域的任何DC上(支持128位加密，Windows 2003，2000+sp3以上默认支持)。
   安装PES服务首先需要一个加密钥匙，这个加密钥匙在target域安装ADMT的机器上创建
   admt key /option:create /sourcedomain:<> /keyfile:<>/keypassword:<>

在source域DC上启动PES服务，需要安装ADMT,
执行%systemroot%\windows\ADMT\PES\pwdmig.msi
导入刚才在target域导出的加密钥匙

输入服务帐号，建议使用在target域中验证的帐号，如果使用本地系统帐号，确保在target域中，Pre windows 2000 compatible access group中包含everyone group和Anonymous logon group

在services里面启动PES服务

六.正式迁移
   按照ADMT迁移文档的建议，共享文件资源，采用Users->Global Groups->Local Domain Groups->Permission的方式
   迁移帐号顺序：Services Account-->Global Group-->User Account

   迁移user account步骤：
1.迁移所有帐号，选择不更新现有用户密码，生成复杂密码

禁用目标帐户，将用户SID迁移到目标域

转换漫游配置文件

2.转换用户profile
安全性转换向导，先前迁移的对象

用户配置文件

替换安全性引用

3.迁移工作站
选择工作组和拥护权利

选择添加

迁移代理

4.再次迁移帐号
迁移密码

启用目标帐户

转换漫游配置文件,更新用户权利,修复用户的组成员身份

迁移并合并冲突的对象

5.再次迁移所有全局组

迁移完成后,使用用户帐号登陆,桌面一切都正常, 结果访问源域共享资源竟然提示不能访问, 奇怪
步骤都是按照help的文档
使用Adsiedit.msc检查帐号和群组的SIDhistory属性，都已经迁移过来
通过Windows Resource Kit工具检查
WhoamI /All, SIDhistory也已经存在

用户信息
----------------

用户名 SID
========== ============================================
msft\user1 S-1-5-21-921174561-3067888446-272819519-1113

组信息
-----------------

组名                             类型   SID                                            属性
================================ ====== ============================================== ==============================
Everyone                         已知组 S-1-1-0                                        必需的组, 启用于默认, 启用的组
BUILTIN\Users                    别名   S-1-5-32-545                                   必需的组, 启用于默认, 启用的组
NT AUTHORITY\INTERACTIVE         已知组 S-1-5-4                                        必需的组, 启用于默认, 启用的组
NT AUTHORITY\Authenticated Users 已知组 S-1-5-11                                       必需的组, 启用于默认, 启用的组
NT AUTHORITY\This Organization   已知组 S-1-5-15                                       必需的组, 启用于默认, 启用的组
LOCAL                            已知组 S-1-2-0                                        必需的组, 启用于默认, 启用的组
MSFT\Global Group1               组     S-1-5-21-921174561-3067888446-272819519-1111   必需的组, 启用于默认, 启用的组
MSFT\user1                       用户   S-1-5-21-4123853966-2211756669-3874129515-1108 必需的组, 启用于默认, 启用的组
MSFT\Global Group1               组     S-1-5-21-4123853966-2211756669-3874129515-1112 必需的组, 启用于默认, 启用的组 (SIDHistory)

特权信息
----------------------

特权名描述状态
======================= ============ ======
SeChangeNotifyPrivilege 跳过遍历检查已启用

从网上翻了下资料，有说到SID Filter开启会导致资源不能访问这个情况，可以明明我已经作过了关闭SID Filter命令了
再仔细看看我前面做的Netdom trust命令，突然想到，是不是原来做的时候源域和目标域的方向反了
重新执行命令。
netdom trust leaderit /domain:msft /quarantine:no /userd:administrator /passwordd:pass01!

这下问题解决，可以正常访问源域的共享资源了

joyclear 2008-11-10 16:34 发表评论

DC Group Policy中的 Logon Audit 和 Account Logon Audit

joyclear — Tue, 05 Aug 2008 03:17:00 GMT

Logon Audit和Account Logon Audit在MCSE的题目中经常出现，老是浑搅概念。
从开发小组人员的Blog来看，The Answer is Actually pretty simple-we're bad at choosing names.

Logon Audit是审核本地登陆信息
Account Logon Audit审核域帐号登陆信息

One of the most common questions that I get about Windows Auditing is, how come you guys were so @#%! stupid that you put in two logon categories?

The answer is actually pretty simple- we're bad at choosing names. "Account Logon" isn't really about logon, it's about credential validation.

Here's the low down on what is the difference between Logon/Logoff and Account Logon events, and how to decipher Account Logon events.

Audit Logon/Logoff generates events for the creation and destruction of logon sessions. These events occur on the machine which was accessed. In the case of an interactive logon, these would be generated on the machine which was logged on to. In the case of network logon, for example, accessing a share, these events would be generated on the machine hosting the resource that was accessed.

Audit Account Logon generates events for credential validation. These events occur on the machine which is authoritative for the credentials. For domain accounts, the domain controller is authoritative. For local accounts, the local machine is authoritative. Since domain accounts are used much more frequently in enterprise environments than local accounts, most of the Account Logon events in a domain environment occur on the domain controllers which are authoriative for the domain accounts. However, these events can occur on any machine, and may occur in conjunction with or on separate machines from logon/logoff events.

Logging on interactively to a workstation, using a domain account, can cause more activity than you might expect on the DC. An interactive logon is pretty complex and involves multiple steps. Typically, from the time you turn on your workstation until the time you are viewing your desktop, the following things happen:

Machine establishes trust with domain: Kerberos AS request (Event 672 on the DC), Kerberos TGS request for AD (DC, 673)
Machine gets policy: Kerberos TGS request for access to Netlogon share on DC [group policy] (DC, 673) (DC, 540, 538, maybe more than once)

User logs on: Kerberos AS request (DC, 672), Kerberos TGS request for AD (DC, 673), Logon session created (workstation, 528, 576)

User gets policy: Kerberos TGS request for DC\Netlogon [logon scripts, group policy] (DC, 673), Network logon (DC, 540, 538, usually 2-3 rounds)

In Account Logon failures for Kerberos, the KDC has to generate an AS reply with an RFC 1510 error. Since RFC 1510 error codes don't contemplate Windows-specific errors, and we have to return Kerberos-specific errors in Kerberos AS request failure replies, we had to map Windows error conditions to kerberos error codes. The error code mappings are described in the Kerberos Troubleshooting document that is available on Microsoft.com: http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technologies/security/tkerberr.mspx

Here are some questions that you might have about Account Logon events:

Q: Why do you only have the IP address in the Account Logon event, and not the computer name?
A: There are three reasons:

There is no secure method for the KDC to get the remote machine's name at the current time. If the client provides the name (as in NTLM), then it's not trustworthy and can be spoofed. There are Unix-based hacking tools which spoof workstation name in NTLM auth requests.
DNS and NetBIOS reverse lookup are not secure and are not reliable- if we tried this, we'd have a high incidence of incorrect or missing information, and hurt performance.
Even if we chose to do add the name anyway, when we could, there's no field for us to use to carry it in Kerberos AS REQ & TGS REQ messages- we'd have to overload some other field, and run a high risk of loss of compatibility with MIT's reference implementation.

Q: How do I correlate the Account Logon event on a DC with the Logon/Logoff event on the machine which was accessed?
A: Easy! The Account Logon event and the Logon/Logoff event both contain a field called a Logon GUID, starting in Windows Server 2003. Just compare the GUIDs- if they match, it's the same Kerberos ticket. Unfortunately this only works for Kerberos; other Logon events contain a GUID that is all zeroes.

Q: Is there such a thing as an Account Logoff event?
A: No. The DC is only aware of logons, not logoffs (there's no possible way to force a machine to contact a DC when logging off- consider crashes, etc.)

Q: I just want to monitor my DC's logs. Is that good enough?
A: Well, the DC has a distorted view of logon as mentioned above. Also, the DC only knows where the logon request came from most recently. Consider using IIS- the logon request originates at a browser somewhere on the internet. IIS receives the request and then sends a logon request to the DC. From the DC's point of view, the source of the logon is IIS. If you only collect the DC's logs, you'll miss the detail of where the request came from. This is true for any network service- RPC, file sharing, remote desktop, etc. Also, the DC doesn't have enough information to answer "how long was the user logged on". However there is one really interesting piece of information in DC logs. In event 673 (Kerberos Service Ticket granted), the service name is listed. This is the most detail that the DC can provide, on what the user was logging on for.

Eric

joyclear 2008-08-05 11:17 发表评论

组策略使用中的一些工具

joyclear — Wed, 23 Jul 2008 03:30:00 GMT

Dcgpofix 如果以下两个默认 GPO 中的一个出现了问题，则可以使用该工具：默认域策略和默认域控制器策略。如果其中一个或全部两个 GPO 损坏，程度严重到仅靠配置方式已经无法修复，或者存在一些其他未知问题，则可以使用 dcgpofix 工具将其还原为默认状态。此工具包含在 Windows Server® 2003 中。不应在 Windows 2000 域控制器上运行此工具；可使用 Recreatedefpol 来代替。请记住，使用此工具后会丢失所有自定义设置。

Recreatedefpol 该工具类似于 Dcgpofix，但只用于 Windows 2000 服务器。可将两个默认的 GPO 返回到其刚安装的状态。此工具应仅用于灾难恢复，不可用于 GPO 的日常维护。单击此处下载该工具。

Gpotool 由于 GPO 是从域控制器（最初先在此域控制器中进行更改，然后扩展到所有其他域控制器）复制的，因此可能会出现复制失败或聚合无效的现象。结果可能是对各目标计算机所适合应用的更改不一致或失败。像 Gpresult 和 RSOP 这样的工具可以帮助确定应用了哪些 GPO，而 Gpotool 工具则可以帮助确定每个域控制器上的 GPO 是否一致。此工具是 Windows Server 2003 Resource Kit 的一部分，其网址为 go.microsoft.com/fwlink/?LinkId=77613。

joyclear 2008-07-23 11:30 发表评论

Exchange Server 和 Windows Server 2008

joyclear — Thu, 19 Jun 2008 04:20:00 GMT

Exchange 2007 SP1是目前支持Windows Server 2008的唯一版本

Exchange2007RTM和Exchange2003 SP2支持Windows 2008域控的环境安装
不能直接从安装Exchange 2007 RTM或SP1的系统升级到Windows Server 2008, 因此想在Windows Server 2008上安装Exchange的方法是：安装一台新的Windows Server 2008 然后安装Exchange 2007 SP1

Windows 2008针对Exchange的改进提高

支持多网段冗余群集

更快的日志文件传送：CCR和SCR使用Server Message Block（SMB）协议来复制日志文件，Windows 2008使用SMB V2，提高了30-40%的传送性能

减少了硬件维护的当机时间：Windows Server 2008 支持核心硬件的热插拔

修复NTFS故障，当机时间接近零：在Windows 2003和以前的版本，修复NTFS故障需要使服务器离线，然后运行Chkdsk工具。Windows 2008包括一个新的功能 Self-healing NTFS.

提高了Outlook AnyWhere服务的性能：Windows 2008包含下一代Tcp/ip堆栈，移除了以前版本RPC proxy 服务的TCP连接限制，现在支持单IP连接限制。在Windows 2003里面支持最大65535个连接，在windows 2008里面支持每个IP地址最多65535个连接。

更简单部署：Windows 2008包括MMC3.0, Powershell， .net Framework

支持IPv6:

一些变化

Windows 2008不包括支持Exchange API接口的备份工具，Windows Server Backup不能备份Exchange 2007 (即将发行的SBS2008, 将支持Exchange备份)

Exchange 2007不会使用只读域控和只读GC

Exchange 2007不能安装在Server Core上面：Server Core上面即不能安装Powershell也不能安装.Net Fremawork

摘自：MSExchangeTeam Blog

joyclear 2008-06-19 12:20 发表评论

How to enable Remote Desktop on Windows 2008 Server Core

joyclear — Fri, 30 May 2008 02:02:00 GMT

1. Logon into the server console.

2. To enable remote administration from Windows Vista/Windows 2008; Write the command in

            the Windows shell:

             "Cscript %windir%\system32\SCRegEdit.wsf /ar 0" and press the "Enter" button.

Note: To enable remote administration from Windows XP/2003 and earlier operating system;

              Write the command in the Windows shell:

          "Cscript %windir%\system32\SCRegEdit.wsf /ar 0" and press the "Enter" button.

          "Cscript %windir%\system32\SCRegEdit.wsf /cs 0" and press the "Enter" button.

joyclear 2008-05-30 10:02 发表评论

Exchange2003中的通用组

joyclear — Tue, 20 May 2008 15:44:00 GMT

今天在看Exchange2003管理手册中，发现自己原来的理解错误，原来以为GC在多域环境中内容都是一样的...
看来要重新看一下AD的资料了

为了将通讯组列表展开为各个收件人，Exchange 会与全局编录服务器联系。全局编录服务器具有它所在域中所有全局组和通用组的副本以及其他域中通用组的副本，但没有其他域中全局组的副本。这一点在多域环境中很重要，因为如果邮件发往全局编录服务器不属于的域中的某个全局通讯组，那么 Exchange 无法展开该邮件中包含的通讯组。由于全局编录服务器没有自己所在域之外的域的全局组成员身份的副本，也就不包含有关通讯组列表的任何信息。因此，分类程序无法展开通讯组列表。为避免此问题，应始终在多域环境中使用通用通讯组。应只在单个域中使用全局组。

joyclear 2008-05-20 23:44 发表评论

Windows 2008 Dcpromo新特征

joyclear — Fri, 09 May 2008 08:54:00 GMT

Windows 2008已经发布一段时间了，IT Pro又要开始跟上微软的脚步，不断学习咯...

运行Dcpromo
在配置选项里面多了create a new domain tree root instead of a new child domain ,还不确定是什么性质

可以选择windows2008架构

安装选项增加了设定GC和只读域控RODC选项

恢复模式密码因为2008安全升级了，不能再设置为空

joyclear 2008-05-09 16:54 发表评论

如何禁用USB存储设备

joyclear — Thu, 08 May 2008 15:48:00 GMT

根据您的描述，我对这个问题的理解是：您想禁止用户使用usb设备。如果我的理解有误，请告诉我。

我假设您只是想禁止用户使用USB存储设备，而不是所有USB设备。

根据下面两篇KB，您能通过禁止用户对usbstor.pnf和usbstor.inf的访问来实现禁用USB存储设备：
如何禁用 USB 存储设备
http://support.microsoft.com/kb/823732/zh-cn
如何使用 Xcacls.exe 修改 NTFS 权限
http://support.microsoft.com/kb/318754/zh-cn

参考上面两篇KB，您只需建立一条使用xcacls，设置usbstor.pnf和usbstor.inf上domain users组用户的拒绝权限的登陆脚本，在用户登陆后他们自然就无法使用USB存储设备了，而administrator由于访问权限没有更改，所以可以继续使用USB存储设备。
我以domain users组为例：
Xcacls %systemroot%\inf\usbstor.pnf /d “domain users” /y
Xcacls %systemroot%\inf\usbstor.inf /d “domain users” /y

我以编辑域策略为例提供设置脚本的步骤如下：
1. 将xcacls和脚本放在所有用户都能访问的共享目录内（比如netlogon）
2. 运行dsa.msc命令
3. 右键点击域名，打开属性
4. 点击组策略属性页
5. 新建一个组策略，给予一个恰当的名称然后点击编辑（或者编辑默认域策略）
6. 定位到：计算机配置->Windows 设置->脚本->启动
7. 双击启动脚本，将配置的脚本添加进去
8. 点击确定
9. 运行gpupdate /force刷新这一策略
这样下次计算机重启后本地文件的权限酒杯更改了。这一脚本只需运行一次，在您确认所有计算机都执行过这一脚本后，您就可以撤销这条策略了。

希望我的回答对您有所帮助，如果有不清楚的地方，请告诉我。

感谢您选择微软产品并使用微软合作伙伴新闻组技术支持！

SEAN CAI 蔡怡林
MCSE2000
在线合作伙伴支持工程师
合作伙伴支持部
微软全球技术支持中心

joyclear 2008-05-08 23:48 发表评论

AD通讯端口表

joyclear — Thu, 08 May 2008 06:43:00 GMT

Active Directory Ports

Services	Port	Protocol
DNS	TCP/UDP	53
Kerberos	TCP/UDP	88
RPC	TCP	135
Netbios	UDP	137
Netbios	UDP	138
LDAP	TPC/UDP	389
LDAP SSL	TCP	636
LDAP GC	TCP/UDP	3268
LDAP GC SSL	TCP	3269
SMB	TCP	445

joyclear 2008-05-08 14:43 发表评论

用户帐号经常锁定

joyclear — Wed, 07 May 2008 04:01:00 GMT

您好！您可以下再Account Lockout and Management Tools工具，使用Acctinfo.dll以解决账户锁定的问题，在执行ALTools.exe文件后，解压到某一文件夹后就可以使用了。具体的下载地址如下：
http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

Acctinfo.dll
Acctinfo.dll是一个动态链接库文件，注册这个动态链接库文件之后，管理员可以通过使用“Active Directory用户和计算机”管理控制台查看用户属性的时候，增加一个“Additional Account Info”选项卡。这个选项卡可以让管理员查看Active Directory中的一些高级信息，例如：用户上次修改密码时间、用户帐户上次登录时间等。使用“Additional Account Info”选项卡查看信息，主要是出于以下两个方面的需求。在某些情况下，部分信息没有被存储在Active Directory中，而是被存储在本地。

例如：某用户帐户上次登录时间和上次注销时间仅仅被存储每个域控制器本地，并没有复制到域中的其他域控制器中。Acctinfo.dll可以帮助管理员检查某台域控制器上用户上次登录和注销的具体时间。如果你在域中有多个域控制器，管理员可能需要在每个域控制器上都安装Acctinfo.dll以检查某一个用户帐户在每台域控制器上的登录、注销时间。

此外，使用Acctinfo.dll还可以更加方便的修改用户帐户密码，锁定或解除锁定用户帐户。Acctinfo.dll解除用户帐户的锁定状态的具体步骤如下：
1.在使用Acctinfo.dll之前，需要安装注册Acctinfo.dll文件。
2.将Acctinfo.dll文件复制到“%windir%\system32”文件夹中。在Windows Server 2003中，通常这个文件夹为“C:Windows\System32”；在Windows 2000中，这个文件夹通常为“C:Winnt\System32”。
3.打开命令行窗口，假设“%windir%\system32”文件夹为“C:Windows\System32”，键入以下内容：regsvr32 c:windows\system32\acctinfo.dll
4.如果命令执行成功，将会出现一个成功注册Acctinfo.dll的对话框。
5.点击“开始”－>“运行”－>输入“DSA.MSC”－>“Active Directory用户和计算机” －>选择被锁定的用户－>右键点击“属性”
6.在“Additional Account Info”选项卡中，单击“Set PW On Site DC”按钮。在新出现的对话框中,修改用户帐户的密码。这种密码修改方式是直接连接到用户所在站点的域控制器上执行操作，所以执行速度更快。同时在这个对话框中，也可以解除用户帐户的锁定状态。希望我的回复对您有所帮助。

Tom Zhang 张一平
在线技术支持工程师
微软全球技术支持中心

joyclear 2008-05-07 12:01 发表评论