浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)AD 域常見(jiàn)問(wèn)題Q1、客戶(hù)機(jī)無(wú)法加入到域？一、權(quán)限問(wèn)題。要想把一臺(tái)計(jì)算機(jī)加入到域，必須得以這臺(tái)計(jì)算機(jī)上的本地管理員（默認(rèn)為administrator）身份登錄，保證對(duì)這臺(tái)計(jì)算

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

AD 域常見(jiàn)問(wèn)題

Q1、客戶(hù)機(jī)無(wú)法加入到域？

一、權(quán)限問(wèn)題。

要想把一臺(tái)計(jì)算機(jī)加入到域，必須得以這臺(tái)計(jì)算機(jī)上的本地管理員（默認(rèn)為administrator）身份登錄，保證對(duì)這臺(tái)計(jì)算機(jī)有管理控制權(quán)限。普通用戶(hù)登錄進(jìn)來(lái)，更改按鈕為灰色不可用。并按照提示輸入一個(gè)域用戶(hù)帳號(hào)或域管理員帳號(hào)，保證能在域內(nèi)為這臺(tái)計(jì)算機(jī)創(chuàng)建一個(gè)計(jì)算機(jī)帳號(hào)。

二、不是說(shuō)“在2000/03域中，默認(rèn)一個(gè)普通的域用戶(hù)（AuthenticatedUsers）即可加10臺(tái)計(jì)算機(jī)到域。”嗎？這時(shí)如何在這臺(tái)計(jì)算機(jī)上登錄到域呀！

顯然這位網(wǎng)管誤解了這名話的意思，此時(shí)計(jì)算機(jī)尚未加入到域，當(dāng)然無(wú)法登錄到域。也有人有辦法，在本地上建了一個(gè)與域用戶(hù)同名同口令的用戶(hù)，結(jié)果可想而知。這句話的意思是普通的域用戶(hù)就有能力在域中創(chuàng)建10個(gè)新的計(jì)算機(jī)帳號(hào)，但你想把一臺(tái)計(jì)算機(jī)加入到域，首先你得對(duì)這臺(tái)計(jì)算機(jī)的管理權(quán)限才行。再有就是當(dāng)你加第11臺(tái)新計(jì)算機(jī)帳號(hào)時(shí)，會(huì)有出錯(cuò)提示，此時(shí)可在組策略中，將帳號(hào)復(fù)位，或干脆刪了再新建一個(gè)域用戶(hù)帳號(hào)，如joindomain。注意：域管理員不受10臺(tái)的限制。

三、用同一個(gè)普通域帳戶(hù)加計(jì)算機(jī)到域，有時(shí)沒(méi)問(wèn)題，有時(shí)卻出現(xiàn)“拒絕訪問(wèn)”提示。

這個(gè)問(wèn)題的產(chǎn)生是由于AD 已有同名計(jì)算機(jī)帳戶(hù)，這通常是由于非正常脫離域，計(jì)算機(jī)帳戶(hù)沒(méi)有被自動(dòng)禁用或手動(dòng)刪除，而普通域帳戶(hù)無(wú)權(quán)覆蓋而產(chǎn)生的。解決辦法：1、手動(dòng)在AD 中刪除該計(jì)算機(jī)帳戶(hù)；2、改用管理員帳戶(hù)將計(jì)算機(jī)加入到域；3、在最初預(yù)建帳戶(hù)時(shí)就指明可加入域的用戶(hù)。

四、域xxx 不是AD 域，或用于域的AD 域控制器無(wú)法聯(lián)系上。

在2000/03域中，2000及以上客戶(hù)機(jī)主要靠DNS 來(lái)查找域控制器，獲得DC 的IP 地址，然

后開(kāi)始進(jìn)行網(wǎng)絡(luò)身份驗(yàn)證。DNS不可用時(shí)，也可以利用瀏覽服務(wù)，但會(huì)比較慢。2000以前老版本計(jì)算機(jī)，不能利用DNS 來(lái)定位DC，只能利用瀏覽服務(wù)、WINS、lmhosts文件來(lái)定位DC。所以加入域時(shí)，為了能找到DC，應(yīng)首先將客戶(hù)機(jī)TCP/IP配置中所配的DNS 服務(wù)器，指向DC 所用的DNS 服務(wù)器。加入域時(shí)，如果輸入的域名為FQDN 格式，形如mcse.com，必須利用DNS 中的SRV 記錄來(lái)找到DC，如果客戶(hù)機(jī)的DNS 指的不對(duì)，就無(wú)法加入到域，出錯(cuò)提示為“域xxx 不是AD 域，或用于域的AD 域控制器無(wú)法聯(lián)系上?！?000及以上版本的計(jì)算機(jī)跨子網(wǎng)（路由）加入域時(shí)，也就是說(shuō)，加入域的計(jì)算機(jī)是2000及以上，且與DC 不在同一子網(wǎng)時(shí)，應(yīng)該用此方法。

加入域時(shí)，如果輸入的域名為NetBIOS 格式，如mcse，也可以利用瀏覽服務(wù)（廣播方式）直

接找到DC，但瀏覽服務(wù)不是一個(gè)完善的服務(wù)，經(jīng)常會(huì)不好使。而且這樣雖然也可以把計(jì)算機(jī)加入到域，但在加入域和以后登錄時(shí)，需要等待較長(zhǎng)的時(shí)間，所以不推薦。再者，由于客戶(hù)機(jī)的DNS 指的不對(duì)，則它無(wú)法利用2000DNS 的動(dòng)態(tài)更新動(dòng)能，也就是說(shuō)無(wú)法在DNS 區(qū)域中自動(dòng)生成關(guān)于這臺(tái)計(jì)算機(jī)的A 記錄和PTR 記錄。那么同一域另一子網(wǎng)的2000及以上計(jì)算機(jī)就無(wú)法利用DNS 找到它，這本應(yīng)該是可以的。

上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

若客戶(hù)機(jī)的DNS 配置沒(méi)問(wèn)題，接下來(lái)可使用nslookup 命令確認(rèn)一下客戶(hù)機(jī)能否通過(guò)DNS 查

找到DC（具體見(jiàn)前）。能找到的話，再ping 一下DC 看是否通。

Q2、用戶(hù)無(wú)法登錄到域？

一、用戶(hù)名、口令、域

確保輸入正確的用戶(hù)名和口令，注意用戶(hù)名不區(qū)分大小寫(xiě)，口令是區(qū)分大小寫(xiě)的?？匆幌掠?/p>

登錄的域是否還存在（比如子域被非正常刪除了，域中唯一的DC 未聯(lián)機(jī)）。

二、DNS

客戶(hù)機(jī)所配的DNS 是否指向DC 所用的DNS 服務(wù)器，討論同前。

三、計(jì)算機(jī)帳號(hào)

基于安全性的考慮，管理員會(huì)將暫時(shí)不用的計(jì)算機(jī)帳號(hào)禁用（如財(cái)務(wù)主管渡假去了），出錯(cuò)

提示為“無(wú)法與域連接……，域控制器不可用……，找不到計(jì)算機(jī)帳戶(hù)……”，而不是直接提示“計(jì)算機(jī)帳號(hào)已被禁用”?？傻紸D 用戶(hù)和計(jì)算機(jī)中，將計(jì)算機(jī)帳號(hào)啟用即可。

對(duì)于Windows 2000/XP/03，默認(rèn)計(jì)算機(jī)帳戶(hù)密碼的更換周期為30天。如果由于某種原因

該計(jì)算機(jī)帳戶(hù)的密碼與LSA 機(jī)密不同步，登錄時(shí)就會(huì)出現(xiàn)出錯(cuò)提示：“計(jì)算機(jī)帳戶(hù)丟失……”或“此工作站和主域間的信任關(guān)系失敗”。解決辦法：重設(shè)計(jì)算機(jī)帳戶(hù)，或?qū)⒃撚?jì)算機(jī)重新加入到域。

四、默認(rèn)普通域用戶(hù)無(wú)權(quán)在DC 上登錄

見(jiàn)下一小節(jié)的Q1。

五、跨域登錄中的問(wèn)題

在2000及以上計(jì)算機(jī)上登錄到域的過(guò)程是這樣的：域成員計(jì)算機(jī)根據(jù)本機(jī)DNS 配置去找DNS 服務(wù)器，DNS 根據(jù)SRV 記錄告訴它DC 是誰(shuí)，客戶(hù)機(jī)聯(lián)系DC，驗(yàn)證后登錄。

如果是在林中跨域登錄，是首先查詢(xún)DNS 服務(wù)器，問(wèn)林的GC 是誰(shuí)。所以要保證林內(nèi)有可用的GC。如果是要登錄到其它有信任關(guān)系的域（不一定是本林的），要保證DNS 能找到對(duì)方的域。

Q3、如何解決本地或域管理員密碼丟失？

本地管理員密碼丟失，可通過(guò)刪除sam 文件（2000SP3以前）或通過(guò)NTpassword 軟件來(lái)解決。但要解決域管理員密碼丟失，它們就無(wú)能為力了,這時(shí)就需要用到“鳳凰萬(wàn)能啟動(dòng)盤(pán)”中的ERD Commander 2002了，接下來(lái)我們將詳細(xì)討論使用此盤(pán)解決管理員密碼丟失問(wèn)題。

1、上網(wǎng)搜索“鳳凰啟動(dòng)盤(pán)”或“鳳凰萬(wàn)能啟動(dòng)盤(pán)”，大約178M；

2、下載后解壓縮，將其內(nèi)容刻錄成光盤(pán)；

3、用此光盤(pán)啟動(dòng)計(jì)算機(jī)，顯示XP 安裝界面，StartERD Commander 2002環(huán)境；

上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

4、出現(xiàn)選擇菜單，選擇第一項(xiàng)：ERDCommander 2002；

5、出現(xiàn)類(lèi)似XP 的啟動(dòng)界面

6、進(jìn)入選擇系統(tǒng)安裝的路徑，一般會(huì)自動(dòng)測(cè)出操作系統(tǒng)、版本及是否域控制器；

7、出現(xiàn)類(lèi)似的XP 桌面：選擇Start/AdministrativeTools/Locksmith；

8、進(jìn)入ERD Commander 2002locksmith 向?qū)Ы缑?，下一步?/p>

9、選擇Administrator，重設(shè)其密碼；（此時(shí)切不可手動(dòng)重新啟動(dòng)計(jì)算機(jī)，否則此修改將無(wú)效）

10、選擇Start/Logoff，點(diǎn)OK；

11、稍候片刻，點(diǎn)reboot 后重新啟動(dòng)計(jì)算機(jī)

鳳凰啟動(dòng)盤(pán)中的ERD Commander 2002功能強(qiáng)大，不僅可破解本地管理員密碼，包括NT/2000/XP/03的各個(gè)版本。還可以破解NT/2000/03域管理員密碼，均已實(shí)驗(yàn)證明。

由于可自動(dòng)識(shí)別操作系統(tǒng)和版本，及是否DC，所以用戶(hù)在操作時(shí)，重設(shè)密碼的方法都是一樣的。對(duì)于03，重設(shè)密碼時(shí)要注意符合密碼策略中要求的符合復(fù)雜性要求，且密碼最小長(zhǎng)度為7，否則重設(shè)的密碼會(huì)無(wú)效。

Q4、無(wú)法使用域內(nèi)的共享打印機(jī)？

現(xiàn)象：計(jì)算機(jī)重啟或注銷(xiāo)，再登錄進(jìn)來(lái)，無(wú)法使用以前安裝的域內(nèi)的共享網(wǎng)絡(luò)打印機(jī)，

為用戶(hù)重新安裝打印機(jī)，當(dāng)時(shí)可以打印，但不久問(wèn)題又會(huì)出現(xiàn)。用戶(hù)反映說(shuō)有時(shí)能打印，有時(shí)就是不能打印。

其原因在于用戶(hù)沒(méi)有登錄到域（很多用戶(hù)即使計(jì)算機(jī)加入到了域，也經(jīng)常習(xí)慣性地選擇登錄

到本地機(jī)），沒(méi)有域用戶(hù)身份，當(dāng)然無(wú)權(quán)訪問(wèn)域內(nèi)的資源。而且關(guān)鍵是Windows 系統(tǒng)在這里有個(gè)小毛病，它并不象你訪問(wèn)共享文件夾那樣，由于沒(méi)有身份而提示你輸入用戶(hù)名和密碼來(lái)進(jìn)行驗(yàn)證，而是直接提示你“拒絕訪問(wèn)，無(wú)法連接”、“當(dāng)前打印機(jī)安裝有問(wèn)題”，“RPC服務(wù)不可用”等等（在不同的操作系統(tǒng)或應(yīng)用程序中提示會(huì)所不同）。

解決辦法有3種，最好還是用方法1。：

1、要求用戶(hù)將其域用戶(hù)帳號(hào)加入到本地管理員組，以后每次都以域用戶(hù)帳號(hào)登錄。

說(shuō)明：這本身就是微軟推薦的一種辦法。因?yàn)槿绻贿@樣，普通用戶(hù)以本地管理員身份登錄時(shí)，控制本機(jī)沒(méi)問(wèn)題，但訪問(wèn)域資源時(shí)需要輸入域用戶(hù)名和口令；而用戶(hù)若以域用戶(hù)身份登錄，又沒(méi)有本機(jī)管理特權(quán)。比如說(shuō)：無(wú)法關(guān)機(jī)，無(wú)法修改網(wǎng)絡(luò)等配置，無(wú)法安裝軟件、驅(qū)動(dòng)等。這樣做了以后，用戶(hù)以域用戶(hù)身份登錄，同時(shí)他又是本地管理員。

2、在打印服務(wù)器上啟用Guest 用戶(hù)，保證everyone 有打印權(quán)限。但這樣做不安全，所以不推薦。上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

3、在客戶(hù)機(jī)上每次要使用打印機(jī)前，在開(kāi)始—運(yùn)行：PrintServer，這時(shí)會(huì)提示你輸入用戶(hù)名和密碼。通過(guò)驗(yàn)證后，再去使用打印機(jī)。很顯然這樣方法比較麻煩。

Q5、無(wú)法訪問(wèn)域內(nèi)的共享資源？

上例中我們提到過(guò)客戶(hù)機(jī)如果加入到了域，但用戶(hù)選擇登錄到本地機(jī)。當(dāng)訪問(wèn)域內(nèi)共享資源

時(shí)，會(huì)提示輸入用戶(hù)名和口令。若不出現(xiàn)提示，直接出現(xiàn)拒絕訪問(wèn)。一般是由于目標(biāo)計(jì)算機(jī)上啟用了guest，而guest 用戶(hù)沒(méi)有權(quán)限造成的。

接下來(lái)的討論實(shí)質(zhì)和域的關(guān)系不大，但確實(shí)是我們?cè)L問(wèn)網(wǎng)絡(luò)共享資源中經(jīng)常會(huì)碰到的問(wèn)題：

基于UNC 路徑的IP 形式來(lái)訪問(wèn)時(shí)的故障，如在開(kāi)始/運(yùn)行：.63.243.1。

前提：在網(wǎng)卡、協(xié)議、連接沒(méi)問(wèn)題的情況下。即可在ping 通的前提下，若.63.243.1不通，排錯(cuò)可從下面幾個(gè)方面來(lái)考慮。

1、目標(biāo)機(jī)的“Microsoft網(wǎng)絡(luò)的文件和打印機(jī)共享”服務(wù)的問(wèn)題。

提示：“.63.243.1文件名、目錄名或卷標(biāo)語(yǔ)法不正確”。

檢查：服務(wù)是否安裝、是否選中，或重裝一下。

操作：網(wǎng)上鄰居/右鍵/屬性/本地連接/右鍵/屬性

2、由于訪問(wèn)相關(guān)的net logon、server、workstation服務(wù)務(wù)未正常啟動(dòng)的影響。

提示：

（1）若目標(biāo)機(jī)（為域成員）上的net logon 服務(wù)停了：“試圖登錄，但網(wǎng)絡(luò)登錄服務(wù)未啟動(dòng)”。

（2）若目標(biāo)機(jī)上的server 服務(wù)停了：“.63.243.1文件名、目錄名或卷標(biāo)語(yǔ)法不正確。”

（3）若本機(jī)的worstation 服務(wù)停了：“.63.243.1網(wǎng)絡(luò)未連接或啟動(dòng)”。連其它計(jì)算機(jī)，也是一樣的提示。

檢查：相應(yīng)服務(wù)是否已經(jīng)正常啟動(dòng)。

操作：我的電腦/右鍵/管理/服務(wù)和應(yīng)用程序/服務(wù)下

3、由于本機(jī)與其它計(jì)算機(jī)重名（指NetBIOS 名稱(chēng)）的影響

提示：訪問(wèn)任何計(jì)算機(jī)均提示：“找不到網(wǎng)絡(luò)路徑”。

檢查：重啟一下，看是否有“網(wǎng)絡(luò)中存在重名”的提示。可能上次開(kāi)機(jī)時(shí)沒(méi)注意給忽略了。操作：我的電腦/屬性/網(wǎng)絡(luò)標(biāo)識(shí)/屬性/計(jì)算機(jī)名下，修改計(jì)算機(jī)名。

4、XP/03由于默認(rèn)安全策略：“帳戶(hù)：使用空白密碼的本地帳戶(hù)只允許進(jìn)行控制臺(tái)登錄”的影響上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

提示：.63.243.1無(wú)法訪問(wèn)。您可能沒(méi)有權(quán)限使用網(wǎng)絡(luò)資源。請(qǐng)與這臺(tái)服務(wù)器的管理員聯(lián)系以查明您是否有訪問(wèn)權(quán)限。登錄失?。河脩?hù)帳戶(hù)限制?？赡艿脑虬ú辉试S空密碼，登錄時(shí)間限制，或強(qiáng)制的策略限制。

檢查：改用非空密碼的帳戶(hù)試試，或查看XP/03目標(biāo)機(jī)上的本地策略。

操作：開(kāi)始/運(yùn)行：gpedit.msc。計(jì)算機(jī)配置/Winodws設(shè)置/安全設(shè)置/本地策略/安全選項(xiàng)下，由默認(rèn)值“啟用”改為“禁用”。

注意：域帳號(hào)訪問(wèn)不受此策略限制。

5、網(wǎng)絡(luò)共享訪問(wèn)被篩選器的設(shè)置所阻止

提示：找不到網(wǎng)絡(luò)路徑

檢查：TCP/IP篩選、IPSEC、RRAS篩選器是否被啟用，且TCP 端口139和445被禁用。

操作：

（1）網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級(jí)—選項(xiàng)—TCP/IP篩選

（2）網(wǎng)上鄰居/屬性/本地連接/屬性：TCP/IP—高級(jí)—選項(xiàng)—IP安全機(jī)制

（3）開(kāi)始/程序/管理/路由和遠(yuǎn)程訪問(wèn)/IP路由選擇/常規(guī)/接口/右鍵屬性/常規(guī)：輸入/輸出篩選器。說(shuō)明：

（1）RRAS篩選器只在2000/03Server 版中才有，IPSEC只有在2000的上述位置才有。

（2）若你就想設(shè)置篩選器，基于端口控制，不讓別人訪問(wèn)你的網(wǎng)絡(luò)共享資源，需要同時(shí)禁止TCP：139和445口。

（3）由于此種原因產(chǎn)生的訪問(wèn)故障，一般是由于實(shí)驗(yàn)后忘了復(fù)原，或別人故意和你開(kāi)玩笑。

Q6、在AD 域中，如何批量添加域用戶(hù)帳號(hào)？

作為網(wǎng)管，有時(shí)我們需要批量地向AD 域中添加用戶(hù)帳戶(hù)，這些用戶(hù)帳戶(hù)既有一些相同的屬性，又有一些不同屬性。如果逐個(gè)添加、設(shè)置的話，十分地麻煩。一般來(lái)說(shuō)，如果不超過(guò)10個(gè)，我們可利用AD 用戶(hù)帳戶(hù)復(fù)制來(lái)實(shí)現(xiàn)。如果再多的話，我們就應(yīng)該考慮使用csvde.exe 或ldifde.exe 來(lái)減輕我們的工作量了。最后簡(jiǎn)單介紹一下利用腳本（可利用循環(huán)功能）批量創(chuàng)建用戶(hù)帳號(hào)

一、AD用戶(hù)帳戶(hù)復(fù)制

1、在“AD域和計(jì)算機(jī)”中建一個(gè)作為樣板的用戶(hù)，如S1。

2、設(shè)置相關(guān)需要的選項(xiàng)，如所屬的用戶(hù)組、登錄時(shí)間、用戶(hù)下次登錄時(shí)需更改密碼等。

上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

3、在S1上/右鍵/復(fù)制，輸入名字和口令。

說(shuō)明：

1、

2、只有AD 域用戶(hù)帳戶(hù)才可以復(fù)制，對(duì)于本地用戶(hù)帳戶(hù)無(wú)此功能。帳戶(hù)復(fù)制可將在樣板用戶(hù)帳戶(hù)設(shè)置的大多數(shù)屬性帶過(guò)來(lái)。具體如下：

二、比較csvde 與ldifde

三、以csvde.exe 為例說(shuō)明：域用戶(hù)帳戶(hù)的導(dǎo)出/導(dǎo)入

操作步驟如下：

1、

2、

3、

4、在“AD域和計(jì)算機(jī)”中建一個(gè)用戶(hù)，如S1。設(shè)置相關(guān)需要的選項(xiàng)，如所屬的用戶(hù)組、登錄時(shí)間、用戶(hù)下次登錄時(shí)需更改密碼等。在DC 上，開(kāi)始/運(yùn)行：cmd鍵入：csvde–fdemo.csv

說(shuō)明：

（1）不要試圖將這個(gè)文件導(dǎo)回，來(lái)驗(yàn)證是否好使。因?yàn)檫@個(gè)文件中的好多字段在導(dǎo)入時(shí)是不允許用的，如：ObjectGUID、objectSID、pwdLastSet和samAccountType 等屬性。我們導(dǎo)出這個(gè)文件目的只是為了查看相應(yīng)的字段名是什么，其值應(yīng)該怎么寫(xiě)，出錯(cuò)信息如下：

（2）可通過(guò)-d–r參數(shù)指定導(dǎo)出范圍和對(duì)象類(lèi)型。例如：

-d “ou=test,dc=mcse,dc=com”或-d “cn=users,dc=mcse,dc=com”

-r “”

1、以上面的文件為參考基礎(chǔ)，創(chuàng)建自己的my.csv，并利用復(fù)制、粘貼、修改得到多條記錄。例如：dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName

"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,S1@mcse.com

"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,S2@mcse.com

………………，其它可用字段，我試了一下，見(jiàn)下表（不全）：

6、導(dǎo)入到AD，鍵入csvde –i–fmy.csv –jc:

說(shuō)明：-j用于設(shè)置日志文件位置，默認(rèn)為當(dāng)前路徑。此選項(xiàng)可幫助用戶(hù)在導(dǎo)入不成功時(shí)排錯(cuò)。上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

有一點(diǎn)大家必須明確的是：我們?cè)谶@里做AD 域用戶(hù)帳戶(hù)復(fù)制、做AD 域用戶(hù)帳戶(hù)的導(dǎo)出/導(dǎo)入，并不能代替“AD備份和恢復(fù)”。我們只是在批量創(chuàng)建用戶(hù)帳號(hào)，帳號(hào)的SID 都是重新生成的，權(quán)利權(quán)限都得重新設(shè)才行。（當(dāng)然我們可以把導(dǎo)入的用戶(hù)，通過(guò)memberof 字段設(shè)到一些用戶(hù)組中去，使它有權(quán)利權(quán)限。但這與利用“AD備份和恢復(fù)”到原狀，完全是兩回事）。

四、利用腳本創(chuàng)建批量用戶(hù)帳戶(hù)

1、利用腳本創(chuàng)建用戶(hù)帳號(hào)（用戶(hù)可參考下例）。

Set objDomain =GetObject("LDAP://dc=fabrikam,dc=com")

Set objOU =objDomain.Create("organizationalUnit","ou=Management")

objOU.SetInfo

說(shuō)明：在fabrikam.com 域創(chuàng)建一個(gè)名叫Management 的OU。

Set objOU =GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")

Set objUser =objOU.Create("User","cn=AckermanPila")

objUser.Put "sAMAccountName", "AckermanPila"

objUser.SetInfo

objUser.SetPassword "i5A2sj*!"

objUser.AccountDisabled =FALSE

objUser.SetInfo

說(shuō)明：在Management OU 下創(chuàng)建一個(gè)名叫AckermanPila 的用戶(hù)，口令為i5A2sj*!，啟用。

Set objOU =GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")

Set objGroup =objOU.Create("Group","cn=atl-users")

objGroup.Put "sAMAccountName", "atl-users"

objGroup.SetInfo

objGroup.Add objUser.ADSPath

objGroup.SetInfo

說(shuō)明：在Management OU 下創(chuàng)建一個(gè)名叫atl-users 的用戶(hù)組，將用戶(hù)AckermanPila 加入到這個(gè)組中。

上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

Wscript.echo "Script ended successfully"

說(shuō)明：顯示“腳本成功結(jié)束”信息

2、利用腳本中的循環(huán)功能實(shí)現(xiàn)批量創(chuàng)建用戶(hù)帳號(hào)

Set objRootDSE =GetObject("LDAP://rootDSE")

Set objContainer =GetObject("LDAP://cn=Users,"&_

objRootDSE.Get("defaultNamingContext

"))

For i =1To 1000

Set objUser =objContainer.Create("User","cn=UserNo"&i)

objUser.Put "sAMAccountName", "UserNo" &i

objUser.SetInfo

objUser.SetPassword "i5A2sj*!"

objUser.AccountDisabled =FALSE

objUser.SetInfo

Next

WScript.Echo "1000Users created."

說(shuō)明：在當(dāng)前域的Users 容器中創(chuàng)建UserNo1到UserNo1000，共1000個(gè)用戶(hù)帳戶(hù)

Q7、我的計(jì)算機(jī)不知道怎么回事，系統(tǒng)時(shí)間總是被改快1小時(shí)？

加入域的計(jì)算機(jī)，沒(méi)有自己的時(shí)間。這是因?yàn)闀r(shí)間參數(shù)，在AD 復(fù)制中是一個(gè)極為重要的因素。如：決定多主控復(fù)制時(shí)，誰(shuí)的修改最終生效。所以整個(gè)域的時(shí)間，都由域的PDC 仿真主控來(lái)控制，整個(gè)林的時(shí)間都由林根域上的PDC 仿真主控來(lái)控制。

說(shuō)明：如果整個(gè)林的時(shí)間都快1小時(shí)，對(duì)你AD 的正常工作沒(méi)有任何影響。

解決：修改林根域的PDC 仿真主控計(jì)算機(jī)的時(shí)間。實(shí)際工作中，要先查看域內(nèi)計(jì)算機(jī)的時(shí)區(qū)

設(shè)置是否正確。

Q8、建立AD 域，需要有什么樣的權(quán)限才行？

1、若是創(chuàng)建林內(nèi)的第一個(gè)域，即林根域，只要有目標(biāo)計(jì)算機(jī)上的本地管理員權(quán)限即可。

上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

2、作為已有域的附加DC，需要該域的域管理員（DomainAdmins）權(quán)限。

3、安裝子域的DC，或新樹(shù)的DC，都涉及到林結(jié)構(gòu)的改變，需要林管理員（EnterpriseAdmins）權(quán)限才行。

Q9、如何在2000域中添加一臺(tái)03的DC？

03和2000比，功能更強(qiáng)大了，在域和AD 的體系結(jié)構(gòu)上也有了一些變化（參見(jiàn)前面：域、林

功能級(jí)別）。但微軟的產(chǎn)品十分講究向前兼容，我們可以實(shí)現(xiàn)在一個(gè)2000域中加入03DC、加入03DNS，并且DC 間的AD 復(fù)制，DNS間的區(qū)域傳輸，都好像沒(méi)有版本差異一樣。

但要注意：直接就在03計(jì)算機(jī)上安裝AD 是不行的，會(huì)收到出錯(cuò)提示“ActiveDirectory 版

本不同”。我們需要做一些準(zhǔn)備工作，在2000DC（SP2及更高）上運(yùn)行03光盤(pán)/I386/adprep，具體第一步：adprep/forestprep進(jìn)行林準(zhǔn)備，第二步adprep /domainprep進(jìn)行域準(zhǔn)備。

順便說(shuō)一下：03可以作為2000域的附加DC，2000也可以作為03域的附加DC，而直接在2000上安裝AD 即可，不需要準(zhǔn)備。

Q10、創(chuàng)建AD 域時(shí)，由于沒(méi)有NTFS 分區(qū)，導(dǎo)致AD 安裝失?。?/p>

在2000/03成員或獨(dú)立服務(wù)上上運(yùn)行dcpromo 命令，安裝AD，將其提升為DC，其上必須有一個(gè)NTFS 5.0分區(qū)，用來(lái)保存AD 的sysvol 文件夾。

注意：2000的NTFS 分區(qū)是NTFS 5.0，NT4的是NTFS 4.0，NT4必須安裝SP4后，才可訪問(wèn)2000的NTFS 分區(qū)。

如果C 是引導(dǎo)分區(qū)，即系統(tǒng)夾winnt 或windows 所在分區(qū)，采用FAT32分區(qū)，系統(tǒng)會(huì)自動(dòng)查找下一個(gè)可用的NTFS 分區(qū)來(lái)存放系統(tǒng)卷，如d:sysvol。如果找不到NTFS 分區(qū)，就會(huì)出錯(cuò)，導(dǎo)致AD 安裝失敗。這時(shí)可利用convert 命令將某個(gè)FAT32分區(qū)轉(zhuǎn)成NTFS 分區(qū)，這個(gè)轉(zhuǎn)換會(huì)保持?jǐn)?shù)據(jù)的完好。但要注意這個(gè)轉(zhuǎn)換是單向不可逆，想回復(fù)到FAT 分區(qū)，除非重新格式化該分區(qū)。

以轉(zhuǎn)換D 盤(pán)為例，具體操作如下：

1、開(kāi)始/運(yùn)行：convertd:/fs:ntfs

2、提示是否轉(zhuǎn)換，鍵入y 確認(rèn)轉(zhuǎn)換。

說(shuō)明：這時(shí)并沒(méi)有真正開(kāi)始轉(zhuǎn)換，如果后悔，可以到注冊(cè)表HLM當(dāng)前控制控制會(huì)話管理

BootExecute下，刪除其值Convert d:/fs:ntfs。

3、重新啟動(dòng)計(jì)算機(jī)，將在登錄界面出現(xiàn)前，真正實(shí)施FAT 到NTFS 的轉(zhuǎn)換。

Q11、安裝AD 域時(shí)，出現(xiàn)NetBIOS 名稱(chēng)沖突？

上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203

浦軟翔鷹企業(yè)級(jí)安全服務(wù)平臺(tái)

在安裝AD 時(shí)，安裝選項(xiàng)會(huì)要求輸入：新域的DNS 全名，在這里應(yīng)該輸入新域的完全有效域

名FQDN，形如：mcse.com。系統(tǒng)會(huì)打算以mcse 作為此域的NetBIOS 名稱(chēng)，并在網(wǎng)絡(luò)中檢查是否存在重名，需要等一會(huì)兒。

如果不重名則設(shè)為mcse（建議用戶(hù)不要修改此名），重名系統(tǒng)則自動(dòng)設(shè)為mcse0，建議用戶(hù)最好換個(gè)名字，因?yàn)槟愕木W(wǎng)絡(luò)可能還會(huì)有2000以前版本的老系統(tǒng)，考慮到NetBIOS 名稱(chēng)解析和DNS 名稱(chēng)解析的互助，保持一致性比較好。

說(shuō)明：NetBIOS名稱(chēng)，只是為95/98/NT等老版本用戶(hù)通過(guò)“瀏覽服務(wù)”或WINS 來(lái)識(shí)別這個(gè)域用的，如果確信域內(nèi)計(jì)算機(jī)都是2000及以上系統(tǒng)（它們通過(guò)DNS 定位域），其實(shí)NetBIOS 名稱(chēng)沖不沖突，都無(wú)所謂。

這種沖突可能源自于網(wǎng)絡(luò)中如果已有一個(gè)域，名字叫做mcse.org，DNS名雖然不沖突，但是NetBIOS 名稱(chēng)沖突。也可能是你安裝了一個(gè)mcse.com 域未能完全成功，又再次安裝導(dǎo)致的，這樣情況倒可以強(qiáng)行將NetBIOS 名稱(chēng)將為mcse，而不是mcse0。

Q12、安裝AD 完成后，重啟登錄非常慢，甚至長(zhǎng)達(dá)20分鐘之久。

這一般是由于用一臺(tái)運(yùn)行了一段時(shí)間的2000/03Server 來(lái)安裝AD 造成的，故障較難定位。若重啟幾次后就正常了，則不必理會(huì)。如果多次重啟后還是非常慢，那就要重裝系統(tǒng)及AD 了。建議：最好在新裝的系統(tǒng)上來(lái)安裝AD，這樣不容易出問(wèn)題。

Q13、安裝AD 時(shí)，選擇了在本機(jī)安裝DNS，但安裝結(jié)束后，在DNS 中未生成SRV 記錄？

如果決定在安裝AD 過(guò)程中在本機(jī)安裝DNS，應(yīng)在安裝前，將本機(jī)TCP/IP配置中的DNS 服務(wù)器指向自己，這樣在安裝AD 完成后重啟時(shí)，SRV記錄將被自動(dòng)注冊(cè)到DNS 服務(wù)器的區(qū)域當(dāng)中去的，生成四個(gè)以下劃線開(kāi)頭的文件夾，如_msdcs。

03DNS 在這里夾的層次結(jié)構(gòu)有所變化，將_msdcs.域名夾提升了一級(jí)，直接放到了查找區(qū)域下，但本質(zhì)沒(méi)變。

如果安裝前忘了將DNS 指向自己，也可以后補(bǔ)上。然后到計(jì)算機(jī)管理/服務(wù)下，重啟Net Logon 服務(wù)即可。這樣可以把啟動(dòng)時(shí)未能注冊(cè)到DNS 服務(wù)器的SRV 記錄（緩存在windowssystem32?che中）寫(xiě)入DNS。如果仍然不行的話，那只好重啟DC 了。

Q14、安裝子域失敗。

在保證權(quán)限（需要林管理員權(quán)限，不要誤以為是父域管理員權(quán)限）、DNS沒(méi)問(wèn)題的情況下，

最常見(jiàn)的安裝子域失敗的原因就是域命名主控失效，出錯(cuò)提示為：“由于以下原因，操作失敗：AD無(wú)法與域命名主機(jī)xxx 聯(lián)系。指定的服務(wù)器無(wú)法運(yùn)行指定的操作?！?/p>

說(shuō)明：域命名主控要正常工作，它本身要求GC 必須可用。這是由于：為了保證域的名字在林中唯一，域命名主機(jī)需要查詢(xún)GC。若是2000林，GC 必須和域命名主機(jī)在同一臺(tái)計(jì)算機(jī)上才行。若是2003林，不要求GC 必須和域命名主機(jī)非得在同一臺(tái)計(jì)算機(jī)上。

上海浦東軟件園信息技術(shù)股份有限公司

Shanghai Pudong Software Park Information Technology Co., Ltd

地址：上海市浦東新區(qū)亮秀路112號(hào)C1座3層網(wǎng)址：http://spcube.spsp-it.com/

電話：50802510傳真：50802517郵編：

201203