域控制器(dc)的常见问题

常见问题1:新计算机在添加到域的过程中,按提示输入了域帐户和密码后,系统提示“找不到网络路径”。

答:启动计算机的“TCP/IP NetBIOS Helper”服务。很不幸,我做的w2k镜像和ylmf的xp镜像刚好都把该服务设为了手动,为了这个问题我专门硬装了一遍xp,刚装好是可以加入域的,而在我习惯性的“优化”完系统以后,又“找不到网络路径”了,经过逐项排除,终于锁定到这个问题的关键,从发现问题到解决问题花了我2个小时。还是值得的,至少不用理会某些人说的“要在域环境下正常工作就不要使用ghost”之类的话。

 常见问题2:加入到域的计算机,无法在域控制器上打开“计算机管理”。

答:刚把计算机test加入到域,我就迫不及待的登陆到域控制器,想通过AD控制台远程打开该计算机的“计算机管理”,结果又弹出提示“找不到\\yufesky.com的网络路径”,郁闷ing。尝试在域控制器上ping了一下test.yufesky.com,居然提示“Ping request could not find host test.yufesky.com.”,域名解析失败!赶紧检查DNS记录,发现test.yufesky.com主机记录安然的躺在正向搜索区域中,看来不是DNS服务器的问题。猛然想起本地DNS缓存,赶紧关闭“DNS Client”服务,再次尝试问题解决。原来即使是在DNS服务器上进行域名解析,也不是直接查找的DNS数据库啊!总结经验:在局域网部署过程中,网络节点变化比较频繁,建议关掉网络计算机上的本地DNS缓存服务,待局域网正常运作之后,网络节点变化较少,再根据DNS服务器响应DNS请求的负荷来考虑是否有必要打开该服务。

 常见问题3:加入到域的计算机,在域控制器上打开“计算机管理”,部分项无法管理

答:打开“计算机管理”后,发现“本地用户和组”打,除了可以查看“共享文件夹”下的内容外,其它项目都不能正常查看。在经历了上面2道磨难后,又遇到这种问题,是不是倍受打击呢?其实对于稍微“马虎”一点的管理员,一般都不会碰到这个问题。无奈我配置域管理的目的是为了便于分发安全策略,不得不“精细化管理”,从组策略到服务到共享到防火墙统统折腾了一遍……还是很有收获的!在无数次的“gpupdate”之后,摸索到一些既不影响“计算机管理”,又能一定程度提高安全性的方法。

(1)共享:有IPC$即可,其它默认共享都可以关掉。

(2)网络组件:必须安装“Microsoft 网络文件和打印机共享”,且必须打钩。

(3)内置防火墙:需要允许“文件和打印机共享”,且不限制135、137、138、139、445等端口的监听。(当然您可以用更强大的防火墙进行数据筛选,看个人功力了:)

(4)服务:需要启动“Server”、“TCP/IP NetBIOS Helper”、“Remote Registry”服务。

(5)组策略:为了增强网络访问安全性,我在安全选项中启用了“不允许 SAM 帐户的匿名枚举”、“不允许 SAM 帐户和共享的匿名枚举”、“限制对命名管道和共享的匿名访问”等三个选项,事实证明不会影响到“计算机管理”。由于进行了(1)~(4)项配置,只有以其它方式来禁止共享文件夹了。我在“用户权限分配”中将“从网络访问此计算机”设为仅有“Domain Admins”组,又把“拒绝从网络访问此计算机”设为“Domain Users、Users、Power Users、Guests”,不能从域控制器远程打开“计算机管理”了。经过分析,是由于我登陆到域控制器的管理员帐户默认也是“Domain Users”组的成员,将它拿出来,再试还是不行,直到我把Users组从“拒绝从网络访问此计算机”选项中拿出来以后,又可以正常打开了。原因可能是:1.该管理员帐户同时也是Users组成员,在升级为域控制器之后,没办法从Users组中拿出来了,我没有进一步尝试;2.域管理员帐户通过网络访问客户机,会被自动应用到Users组成员中,纯属猜测,没有详细查资料。总而言之,只好放任Users组成员不管了,好在我禁用了客户机的本地帐户,只能登陆到域,变成Domain Users就归我管了,嘿嘿,基本解决了禁止文件夹共享的问题了吧,现在即使是在客户机设置了EveryOne完全访问的共享文件夹,普通用户也拒绝访问。 当然你也可以完全不理会是否打得开“计算机管理”,那就得自己测试一下是否能正确分发组策略了。

常见问题4:Domain Users 无法运行AutoCAD R14等软件的问题。

答:说到域环境下部署应用程序的问题,这涉及到企业软件管理制度、计算机管理制度等方面,可谈的话题十分宽泛,这里仅从不控制软件使用的角度上讲一讲在域环境下部署应用程序的一些思路。
(1)在FAT32目录下安装的软件、绿色软件等等,很多是可以不用部署直接运行的。(不到万不得已不推荐用FAT32)
(2)在组策略上启用“软件限制策略”,按默认即可,大部分软件马上能够正常运行。
(3)按(2)设置后,对于Autocad r14这样的老软件,不妨试一试新版本,Autocad
(2006就可以正常运行,经我测试的Matlab6.5、Protel99se、SolidWorks 2006等都可以正常运行。
(4)还不能运行的软件,用组策略的“软件安装”功能,先把软件制作成MSI安装包,再放到共享点,再配置组策略。制作MSI包的工具在Win2003的安装光盘上有。
(5)软件不能正常运行的原因无非是注册表、文件的访问权限不够,可以以管理员模
式来启动软件,同时用FileMon&RegMon等工具来监视其访问了哪些注册表项和文件,然后在组策略的“注册表”和“文件系统”中一一配置权限即可。一般能够正常启动的软件,基本上也都能正常运行了。

xp 系统盘DIY之(三)ezboot 与 .gho文件的启动

在ezboot的菜单栏 有设置相应菜单的启动文件 如下:

自动安装GhostXP_SP3到C盘      run ghostxp.img
运行Windows PE 微型系统          run pe.bin——这个文件可以从别人做好的GHOST光盘中提取
深山红叶 DOS工具(增强版)         run dos.img
效率源大容量磁盘修复程序          run xly2007.img
微软内存检测工具(支持DDR2)    run memtest.img
将硬盘瞬间分四个区 (慎用!)     run ghosthd4.img
手动运行GHOST V11.0.2.1573   run ghost_manual.img
运行PM8.05繁体中文分区工具     run pm805.img
清除Windows登陆密码(汉化)       run password.img
重新启动计算机                              reboot
从硬盘启动计算机                         boot 80
——在实际使用中,注意你放在EBOOT目录下的文件名与对应的命令文件名一致!

这些img文件 可以用网上直接下载到。

打开安装根目录EasyBoot,里面有名为disk1resource两个文件夹和一些文件,
而我们自己要用的文件文件(img文件和ghost镜像文件)是存放disk1和它的次级文件夹ezboot内,如下所示:

EasyBoot
     |____disk1      ghost镜
像文件放这里
            |
            |___ezboot  img文件、制作好的背景图片放这里,覆盖原有的即可。

重要说明:disk1文件夹中应该有MOUSE和GHOST这两个程序。MOUSE是鼠标程序(有了这个,进入ghost11的时候,可用鼠标操作)GHOST则是运行ghost 11和在ghost环境下恢复系统镜像时所必需的。其他

最后就是制作成iso 了

xp 系统盘DIY之(四)懒人修改版

1、用EZBOOT修改启动界面

2、网上找系统盘的iso 里面有个名为*.GHO的文件,用提示工具取出来,在左侧层层点选,打开windows\system32目录,将这里的文件按名称排序,先后找到三个文件oeminfo.ini、oemlogo.bmp、setup.jpg或者SETUP.BMP。选中后点右键“提取” ,放到别处某个临时的文件夹下面进行修改。如果是在空白处点右键,会出现“添加”项目,就可以把改好的文件重新放回到这里。oeminfo.ini文件内就是电脑公司名称和“技术支持信息”,可以用记事本打开,只要修改等号后面的文本内容就可以。后两个文件都是图片,oemlogo是电脑制造商的LOGO,注意不要弄太大的图片,而setup.jpg则是安装过程中的背景画面,分辨率800×600,内容自己随便弄吧,添加点广告也行…… 别忘了改完后再把这三个文件“添加”到GHO文件中原来的位置哦。(也可以自己封装一个.gho)

3、找到菜单的img,bin (xp用ghostxp.img 来启动*.gho网上有下)等启动文件,在EZBOOT中设成相应的文件名,把ghost.exe 和你备份好的*.gho复制到disk1下把启动文件img,bin等复制到ezboot下面,

ing文件名       对应的菜单条命令
 GHOSTXP.IMG  run ghostxp.img(注:从哪提取出来的ghost镜,就用哪的img文件吧,而且名字也不要改,否则将无法引导)
 DOS 工具集合  run dostools.ima
 PQ 8.05 繁体版  run pm805T.img
 DM 9.57 万用版  run dm957.ima
 手动运行 Ghost11  run ghost11.img
 硬盘检测修复程序 run xly2007.img
 微软内存检测工具  run windiag.img
 一键清除CMOS密码  run CMOS.img
 windows用户密码破解  run password.img
 从硬盘启动计算机  boot 80

4、化成iso ,刻录成光盘就OK了

系统盘DIY之(二)系统封装

 1、更改 IDE 控制器及电源
    在设备管理器中更新驱动
    从列表或指定位置安装
    不要搜索,我要自己选择要安装的驱动程序
    IDE更改为“标准双通道 PCI IDE 控制器”,电源更改为“Standard PC”

2、提取检测电源需要的相关文件
    WIN2000在SP4.CAB/WINDOWS XP SP2在SP2.CAB/WINDOWS 2003在SP1.CAB中
    halacpi.dll
    halapic.dll
    halmps.dll
    halaacpi.dll
    halmacpi.dll
    hal.dll     →并更名为halstnd.dll
    ntkrnlmp.exe
    ntkrnlpa.exe
    ntkrpamp.exe
    ntoskrnl.exe   →并更名为ntkrnlup.exe
    将上述文件拷贝到系统SYSTEM32目录

3、添加inf文件
    将以下代码保存为dtecthal.inf并拷贝到\WINDOWS\INF\,2000为\WINNT\INF\

[Version]
signature=”$Windows NT$”
DriverVer=07/01/2001
[hal]
MPS_MP        = halmps.dll
MPS_UP        = halapic.dll
E_ISA_UP      = halstnd.dll
ACPIPIC_UP    = halacpi.dll
ACPIAPIC_UP    = halaacpi.dll
ACPIAPIC_MP    = halmacpi.dll

[ACPIOptions]
ACPIEnable = 2
ACPIBiosDate = 01,01,1999

4、引导
    修改boot.ini,加上 /DETECTHAL参数,使系统启动时检测电源
    注意将原boot.ini备份,并在部署后还原

[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=”Microsoft Windows XP Professional” /noexecute=optin /fastdetect /detecthal
C:\GHLDR=一键GHOST v11.0 Build 070707

5、NTLDR
    引导文件,将LONGHORN版本的NTLDR放到C盘下
    注意将原NTLDR备份,并在部署后还原

6、封装
    将sysprep.exe,setupcl.exe,及配置好的sysprep.inf放到c:\sysprep
    运行sysprep,“使用最小化安装”、关机模式“退出”,点击“重新封装”
    等待大约5-10秒,完成。

7、删除注册表中本地连接、电源相关

    搜索“本地连接”,删除上级节点,可避免安装到其他机器出现“本地连接2”

    删除电源相关的注册表键:
    HKLM\SYSTEM\CurrentControlSet\Enum\ACPI_HAL
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\ACPI_HAL
    HKLM\SYSTEM\CurrentControlSet001\Enum\ACPI_HAL
    HKLM\SYSTEM\CurrentControlSet001\Enum\Root\ACPI_HAL
    如果有002和003也删除,删除时先右点权限,赋予完全控制权限,否则无法删除。

    注意删除电源的注册表必须在封装后操作,否则运行sysprep时会死机。

    另外封装后切勿运行windows优化大师,运行后死机。

8、设置好部署需要调用的文件,如注册组件时运行的程序,可写在注册表runonce。
      系统启动菜单的时间是在注册组件前恢复为默认的30秒的
      所以也可以在这里更改回原来的boot.ini及ntldr

9、卸载驱动
    很多文章讲求顺序,但是实际中并没发现不按顺序会怎样。
    卸载显示器、显卡、声卡、网卡、USB。都不卸载也不会有问题。
    所谓的“幽灵硬件”就是指系统中母机残留的硬件信息,不要紧的。

10、最后的检查及清理
      清除windows下的lastgood (最后一次正确的配置)
      清除windows下的Prefetch (程序缓存)
      \Local Settings\Application Data\IconCache.db 看是不是又出来了,有就删除
      windows及C盘,点左面的“隐藏此文件夹内容”,文件夹选项中恢复默认
      任务栏属性,清除开始菜单及最近文档的列表

如果要备份DllCache,使用相关工具在任何时候运行都可以。

以上是手动封装的过程,中间无需重启。

如果是工具辅助封装,基本可做到完全自动化。
封装工具已知的有ASR、MSDP,YLMF,创辉,自由天空,PreTooler,Dprep等工具

封装到此为止,可以重启制作GHO镜像了。

系统盘DIY之(一) 封装前的准备工具

一、封装前的准备工具 

1、封装工具  ASR、S&R&S,MSDP,YLMF,创辉,自由天空,PreTooler

2、Dllcache备份恢复工具  

3、系统封装用驱动包   很多人喜欢提取别人做好的系统中的驱动,这不失为一种便捷的方法。根据自己喜欢,想用哪个的驱动就用哪个的驱动。我

4、部署安装时的背景图,640*480_setup.bmp

5、OEMLOGO信息的修改

6、压缩文件打包制作工具 7-ZIP绿色版(附件2)及7Z文件自动安装制作工具(附件3)
  ——有几个用处:
    一是将安装设置在D盘的程序文件及目录文件打包;
    二是压缩C盘程序文件夹

7、首次进入桌面运行的程序:驱动删除工具、分辨率设置工具等

8、注册组件时运行的程序:DX更新程序、CPU双核补丁等

9、可以在DOS下运行GHOST的带PE系统的启动光盘 

.lck 是什么文件 vmware 无法打开系统

vmware 老是提示已打开…原来是因为 目录下的 .lck 文件  ,删除就可以了…,.lck 是想当于是一个快照文件

2

域安全策略 计算机的策略的执行顺序

计算机的策略大体上分为四类,他们分别是本地策略,域策略,站点策略以及ou策略。起作用的先后顺序为local policy(本地)——〉site policy(站点)——〉domain policy(域)——〉ou policy。 一台处于工作组模式的计算机只会执行本地安全策略,而dc(domain controller)则至少要执行本地安全策略,域安全策略,域控制器安全策略三个策略,换言之,处于域模式的计算机要执行多条策略,那么就要有相应的措施保证策略不冲突。默认情况下,当多条策略之间不产生冲突的时候,多条策略之间是merge的关系,即和并执行;但当产生冲突的时候,后执行的策略会替代先执行的策略。 域控制器安全策略属于ou策略的一种。而域控制器安全策略仅仅作用在domain controller 这个组织单元(ou)上,他并不与域安全策略冲突,当他们和并执行时,在你所说的第一种情况下(“域控制器安全策略”中的“重命名管理员帐号名称”更改为新用户,而“域安全策略”设置为“未定义”),计算机的管理员帐户遵照将本地安全策略执行,而域控制器安全策略中的管理员帐户则改为新用户。第二种情况下(“域安全策略”中设置新用户,而“域控制器安全策略”设置为“未定义”)本地安全策略将与域安全策略冲突,根据上述解释,由于域安全策略后于本地安全策略执行,且域控制器安全策略为“未定义”所以将执行域安全策略,所有所有域中计算机管理员将更名为新用户。

喝酒脸红

喝酒有两种酶跟处理乙醇有关:

乙醇脱氢酶 (alcoho l dehydrogenase和乙醛脱氢酶(aldehyde dehydrogenase)。

如果一个人体内有高含量的这两种酶,他就是一个很能喝的人。喝酒后的表现主要为大量出汗。因为如果两个酶都高活性,酒精迅速变成乙酸进入TCA循环而发热,所以大量发热而出汗。这样的人不多,在人群中大概10万分之一左右。
如果一个人体内只有较多的乙醇脱氢酶 而没有乙醛脱氢酶,他就是一个容易喝酒脸红的人。前一种酶负责将乙醇转化成乙醛,体内乙醛具有让面部毛细血管扩张的功能,造成脸红。停止喝酒1-2个小时后红色就会渐渐腿去,这是靠肝脏里的P450慢慢将乙醛转化成乙酸,然后进入TCA循环而被代谢。
如果一个人体内两种酶都缺乏,他就不会脸红。这种人是靠体液来稀释酒精,所以个头越大感觉越能喝酒。往往在喝酒初期没有反应,而当酒精浓度超过0.1%时表现出昏迷。这种人很容易被酒精伤肝。
前两种人可以连续几餐喝酒,而最后一种人最好隔一两天才喝一次,因其酒精在体内积累时间长,容易伤害肝脏。

常见的垃圾食品

  1. 煎炸类食品 :含致癌物质;破坏维生素;使蛋白质变性。
  2. 腌制类食品 :导致高血压,肾脏负担过重;导致鼻咽癌;影响粘膜系统,对肠胃有害;易得溃疡和发炎。
  3. 加工类肉食品(肉干、肉松、香肠等):含强致癌物亚硝酸盐和大量防腐剂,加重肝脏负担。
  4. 饼干类食品(不含低温烘烤和全麦饼干):食用香精色素过多,对肝脏功能造成负担;严重破坏维生素,热量过多、营养成分低。
  5. 碳酸饮料:含磷酸碳酸,会带走体内大量的钙;含糖量过高,喝后有饱胀感,影响正餐。
  6. 方便面和膨化食品分过高,含防腐剂、香精(伤肝脏);只有热量,没有营养。
  7. 罐头类食品(包括类和水果类):破坏维生素,使蛋白质变性;热量过多,营养成分低。
  8. 话梅蜜饯类食品(果脯:含强致癌物亚硝酸盐;盐分过高,含防腐剂和香精。
  9. 冷冻甜品类食品(冰淇淋、冰棒和各种雪糕):含奶油极易引起肥胖;含糖量过高影响正餐。
  10. 烧烤类食品:含大量强致癌物三苯四丙吡,导致蛋白质炭化变性,加重肾脏、肝脏负担。