路由人生 操作系统 域控制器(dc)的常见问题

域控制器(dc)的常见问题

常见问题1:新计算机在添加到域的过程中,按提示输入了域帐户和密码后,系统提示“找不到网络路径”。

答:启动计算机的“TCP/IP NetBIOS Helper”服务。很不幸,我做的w2k镜像和ylmf的xp镜像刚好都把该服务设为了手动,为了这个问题我专门硬装了一遍xp,刚装好是可以加入域的,而在我习惯性的“优化”完系统以后,又“找不到网络路径”了,经过逐项排除,终于锁定到这个问题的关键,从发现问题到解决问题花了我2个小时。还是值得的,至少不用理会某些人说的“要在域环境下正常工作就不要使用ghost”之类的话。

 常见问题2:加入到域的计算机,无法在域控制器上打开“计算机管理”。

答:刚把计算机test加入到域,我就迫不及待的登陆到域控制器,想通过AD控制台远程打开该计算机的“计算机管理”,结果又弹出提示“找不到\\yufesky.com的网络路径”,郁闷ing。尝试在域控制器上ping了一下test.yufesky.com,居然提示“Ping request could not find host test.yufesky.com.”,域名解析失败!赶紧检查DNS记录,发现test.yufesky.com主机记录安然的躺在正向搜索区域中,看来不是DNS服务器的问题。猛然想起本地DNS缓存,赶紧关闭“DNS Client”服务,再次尝试问题解决。原来即使是在DNS服务器上进行域名解析,也不是直接查找的DNS数据库啊!总结经验:在局域网部署过程中,网络节点变化比较频繁,建议关掉网络计算机上的本地DNS缓存服务,待局域网正常运作之后,网络节点变化较少,再根据DNS服务器响应DNS请求的负荷来考虑是否有必要打开该服务。

 常见问题3:加入到域的计算机,在域控制器上打开“计算机管理”,部分项无法管理

答:打开“计算机管理”后,发现“本地用户和组”打,除了可以查看“共享文件夹”下的内容外,其它项目都不能正常查看。在经历了上面2道磨难后,又遇到这种问题,是不是倍受打击呢?其实对于稍微“马虎”一点的管理员,一般都不会碰到这个问题。无奈我配置域管理的目的是为了便于分发安全策略,不得不“精细化管理”,从组策略到服务到共享到防火墙统统折腾了一遍……还是很有收获的!在无数次的“gpupdate”之后,摸索到一些既不影响“计算机管理”,又能一定程度提高安全性的方法。

(1)共享:有IPC$即可,其它默认共享都可以关掉。

(2)网络组件:必须安装“Microsoft 网络文件和打印机共享”,且必须打钩。

(3)内置防火墙:需要允许“文件和打印机共享”,且不限制135、137、138、139、445等端口的监听。(当然您可以用更强大的防火墙进行数据筛选,看个人功力了:)

(4)服务:需要启动“Server”、“TCP/IP NetBIOS Helper”、“Remote Registry”服务。

(5)组策略:为了增强网络访问安全性,我在安全选项中启用了“不允许 SAM 帐户的匿名枚举”、“不允许 SAM 帐户和共享的匿名枚举”、“限制对命名管道和共享的匿名访问”等三个选项,事实证明不会影响到“计算机管理”。由于进行了(1)~(4)项配置,只有以其它方式来禁止共享文件夹了。我在“用户权限分配”中将“从网络访问此计算机”设为仅有“Domain Admins”组,又把“拒绝从网络访问此计算机”设为“Domain Users、Users、Power Users、Guests”,不能从域控制器远程打开“计算机管理”了。经过分析,是由于我登陆到域控制器的管理员帐户默认也是“Domain Users”组的成员,将它拿出来,再试还是不行,直到我把Users组从“拒绝从网络访问此计算机”选项中拿出来以后,又可以正常打开了。原因可能是:1.该管理员帐户同时也是Users组成员,在升级为域控制器之后,没办法从Users组中拿出来了,我没有进一步尝试;2.域管理员帐户通过网络访问客户机,会被自动应用到Users组成员中,纯属猜测,没有详细查资料。总而言之,只好放任Users组成员不管了,好在我禁用了客户机的本地帐户,只能登陆到域,变成Domain Users就归我管了,嘿嘿,基本解决了禁止文件夹共享的问题了吧,现在即使是在客户机设置了EveryOne完全访问的共享文件夹,普通用户也拒绝访问。 当然你也可以完全不理会是否打得开“计算机管理”,那就得自己测试一下是否能正确分发组策略了。

常见问题4:Domain Users 无法运行AutoCAD R14等软件的问题。

答:说到域环境下部署应用程序的问题,这涉及到企业软件管理制度、计算机管理制度等方面,可谈的话题十分宽泛,这里仅从不控制软件使用的角度上讲一讲在域环境下部署应用程序的一些思路。
(1)在FAT32目录下安装的软件、绿色软件等等,很多是可以不用部署直接运行的。(不到万不得已不推荐用FAT32)
(2)在组策略上启用“软件限制策略”,按默认即可,大部分软件马上能够正常运行。
(3)按(2)设置后,对于Autocad r14这样的老软件,不妨试一试新版本,Autocad
(2006就可以正常运行,经我测试的Matlab6.5、Protel99se、SolidWorks 2006等都可以正常运行。
(4)还不能运行的软件,用组策略的“软件安装”功能,先把软件制作成MSI安装包,再放到共享点,再配置组策略。制作MSI包的工具在Win2003的安装光盘上有。
(5)软件不能正常运行的原因无非是注册表、文件的访问权限不够,可以以管理员模
式来启动软件,同时用FileMon&RegMon等工具来监视其访问了哪些注册表项和文件,然后在组策略的“注册表”和“文件系统”中一一配置权限即可。一般能够正常启动的软件,基本上也都能正常运行了。

本文来自网络,不代表路由人生立场,转载请注明出处。

作者: myweb

发表评论

联系我们

联系我们

0898-0102021

在线咨询: QQ交谈

邮箱: yufe@yufe.me

关注微信
微信扫一扫关注我们

微信扫一扫关注我们

关注微博
返回顶部