IT博客网-山和云的彼端-随笔分类-AD

Windows 2008 Dcpromo新特征

joyclear — Fri, 09 May 2008 08:54:00 GMT

Windows 2008已经发布一段时间了，IT Pro又要开始跟上微软的脚步，不断学习咯...

运行Dcpromo
在配置选项里面多了create a new domain tree root instead of a new child domain ,还不确定是什么性质

可以选择windows2008架构

安装选项增加了设定GC和只读域控RODC选项

恢复模式密码因为2008安全升级了，不能再设置为空

joyclear 2008-05-09 16:54 发表评论

如何禁用USB存储设备

joyclear — Thu, 08 May 2008 15:48:00 GMT

根据您的描述，我对这个问题的理解是：您想禁止用户使用usb设备。如果我的理解有误，请告诉我。

我假设您只是想禁止用户使用USB存储设备，而不是所有USB设备。

根据下面两篇KB，您能通过禁止用户对usbstor.pnf和usbstor.inf的访问来实现禁用USB存储设备：
如何禁用 USB 存储设备
http://support.microsoft.com/kb/823732/zh-cn
如何使用 Xcacls.exe 修改 NTFS 权限
http://support.microsoft.com/kb/318754/zh-cn

参考上面两篇KB，您只需建立一条使用xcacls，设置usbstor.pnf和usbstor.inf上domain users组用户的拒绝权限的登陆脚本，在用户登陆后他们自然就无法使用USB存储设备了，而administrator由于访问权限没有更改，所以可以继续使用USB存储设备。
我以domain users组为例：
Xcacls %systemroot%\inf\usbstor.pnf /d “domain users” /y
Xcacls %systemroot%\inf\usbstor.inf /d “domain users” /y

我以编辑域策略为例提供设置脚本的步骤如下：
1. 将xcacls和脚本放在所有用户都能访问的共享目录内（比如netlogon）
2. 运行dsa.msc命令
3. 右键点击域名，打开属性
4. 点击组策略属性页
5. 新建一个组策略，给予一个恰当的名称然后点击编辑（或者编辑默认域策略）
6. 定位到：计算机配置->Windows 设置->脚本->启动
7. 双击启动脚本，将配置的脚本添加进去
8. 点击确定
9. 运行gpupdate /force刷新这一策略
这样下次计算机重启后本地文件的权限酒杯更改了。这一脚本只需运行一次，在您确认所有计算机都执行过这一脚本后，您就可以撤销这条策略了。

希望我的回答对您有所帮助，如果有不清楚的地方，请告诉我。

感谢您选择微软产品并使用微软合作伙伴新闻组技术支持！

SEAN CAI 蔡怡林
MCSE2000
在线合作伙伴支持工程师
合作伙伴支持部
微软全球技术支持中心

joyclear 2008-05-08 23:48 发表评论

AD通讯端口表

joyclear — Thu, 08 May 2008 06:43:00 GMT

Active Directory Ports

Services	Port	Protocol
DNS	TCP/UDP	53
Kerberos	TCP/UDP	88
RPC	TCP	135
Netbios	UDP	137
Netbios	UDP	138
LDAP	TPC/UDP	389
LDAP SSL	TCP	636
LDAP GC	TCP/UDP	3268
LDAP GC SSL	TCP	3269
SMB	TCP	445

joyclear 2008-05-08 14:43 发表评论

用户帐号经常锁定

joyclear — Wed, 07 May 2008 04:01:00 GMT

您好！您可以下再Account Lockout and Management Tools工具，使用Acctinfo.dll以解决账户锁定的问题，在执行ALTools.exe文件后，解压到某一文件夹后就可以使用了。具体的下载地址如下：
http://www.microsoft.com/downloads/details.aspx?FamilyId=7AF2E69C-91F3-4E63-8629-B999ADDE0B9E&displaylang=en

Acctinfo.dll
Acctinfo.dll是一个动态链接库文件，注册这个动态链接库文件之后，管理员可以通过使用“Active Directory用户和计算机”管理控制台查看用户属性的时候，增加一个“Additional Account Info”选项卡。这个选项卡可以让管理员查看Active Directory中的一些高级信息，例如：用户上次修改密码时间、用户帐户上次登录时间等。使用“Additional Account Info”选项卡查看信息，主要是出于以下两个方面的需求。在某些情况下，部分信息没有被存储在Active Directory中，而是被存储在本地。

例如：某用户帐户上次登录时间和上次注销时间仅仅被存储每个域控制器本地，并没有复制到域中的其他域控制器中。Acctinfo.dll可以帮助管理员检查某台域控制器上用户上次登录和注销的具体时间。如果你在域中有多个域控制器，管理员可能需要在每个域控制器上都安装Acctinfo.dll以检查某一个用户帐户在每台域控制器上的登录、注销时间。

此外，使用Acctinfo.dll还可以更加方便的修改用户帐户密码，锁定或解除锁定用户帐户。Acctinfo.dll解除用户帐户的锁定状态的具体步骤如下：
1.在使用Acctinfo.dll之前，需要安装注册Acctinfo.dll文件。
2.将Acctinfo.dll文件复制到“%windir%\system32”文件夹中。在Windows Server 2003中，通常这个文件夹为“C:Windows\System32”；在Windows 2000中，这个文件夹通常为“C:Winnt\System32”。
3.打开命令行窗口，假设“%windir%\system32”文件夹为“C:Windows\System32”，键入以下内容：regsvr32 c:windows\system32\acctinfo.dll
4.如果命令执行成功，将会出现一个成功注册Acctinfo.dll的对话框。
5.点击“开始”－>“运行”－>输入“DSA.MSC”－>“Active Directory用户和计算机” －>选择被锁定的用户－>右键点击“属性”
6.在“Additional Account Info”选项卡中，单击“Set PW On Site DC”按钮。在新出现的对话框中,修改用户帐户的密码。这种密码修改方式是直接连接到用户所在站点的域控制器上执行操作，所以执行速度更快。同时在这个对话框中，也可以解除用户帐户的锁定状态。希望我的回复对您有所帮助。

Tom Zhang 张一平
在线技术支持工程师
微软全球技术支持中心

joyclear 2008-05-07 12:01 发表评论