【文章內容簡介】 cleanup提示符下輸入connections命令，按回車進入connections命令執(zhí)行環(huán)境。然后再在server connections提示符下輸入“？”（5） 在server connections提示符下輸入connect to server lycbdc2命令，綁定連接到要清除元數(shù)據(jù)的那臺降級了的域控制器（6） 再在server connections提示符下輸入quit，退回到上級的metadata cleanup命令環(huán)境，正式對lycbdc2服務器上的元數(shù)據(jù)進行清除工作。注意：對象的定位是遵循從大到小規(guī)則的，先查找清理對象所在的站點，再在站點中找到對應的域，最終在域中找到對應的服務器（7） 在metadata cleanup提示符下輸入Select operation target命令，進入Select operation target命令操作環(huán)境。（8） 在Select operation target中輸入 list sites命令，查看當前網絡中的所有站點，看要清理的對象在哪個站點上（9） 在Select operation target輸入listdomain in site命令，查看各站點中所有的域（10） 在Select operation target提示符下輸入select domain 0命令，鎖定對應的域（11） 在Select operation target輸入list server for domain insite命令，查看上次鎖定的域 中的所有控制器序號（12） 在Select operation target提示符下輸入select server 1命令，鎖定要清理的服務器（13） 在Select operation target提示符下輸入quit命令，退出Select operation target定位命令環(huán)境，因為要清理元數(shù)據(jù)的服務器已最終鎖定（14） 在metadata cleanup提示符下輸入remove selected server命令，對鎖定的服務器執(zhí)行正式的元數(shù)據(jù)清理工作。（15） 在“Active Directory用戶和計算機”管理單元控制臺的Domain Controllers容器下刪除該域控制器。在SP2版本中，這里的刪除 不是那么簡單，不能像以前版本那樣直接刪除。在彈出框中要選擇：“這臺域控制器永遠為脫機并且不能再用Active Directory安裝向導（DCPROMO）將其降級”單選項。第7章 DNS和DHCP服務器安裝、配置與管理 存根區(qū)域與輔助區(qū)域不同同時創(chuàng)建相同的區(qū)域名 顧要區(qū)域和輔助區(qū)域有類似之處，都要從對應區(qū)域的主要區(qū)域的DNS服務器上復制數(shù)據(jù)。不同之處在于，輔助區(qū)域復制區(qū)域中的所有記錄，但存根區(qū)域只復制區(qū)域的SOA（起始授權機構）記錄、NS（名稱服務器）記錄和解析NS記錄的A記錄（主機地址記錄） 區(qū)域創(chuàng)建原則l 可以劃分主DNS服務器和輔助DNS服務器，也可以不劃分，全部作為主DNS服務器（但不可能全部是輔助DNS服務器）。每臺DNS服務器一開始都是把自己當作主DNS服務器的，直到創(chuàng)建了輔助區(qū)域l 對于某個特定的區(qū)域（如正向查找區(qū)域和反射查找區(qū)域）來說，主DNS服務器上通常只要創(chuàng)建主要區(qū)域，而不創(chuàng)建輔助區(qū)域，除非所創(chuàng)建的輔助區(qū)域要從另一臺主DNS服務器上復制數(shù)據(jù)，否則主、輔DNS服務器和主、輔區(qū)域都在同一臺機器上就沒有意義了。在輔助DNS服務器上，不要創(chuàng)建主要區(qū)域，否則就不是輔助DNS服務器而是主DNS服務器了l 雖然在同一臺DNS服務器的正向查找區(qū)域和反射查找區(qū)域中可以創(chuàng)建不同類型的區(qū)域（如主要區(qū)域、輔助區(qū)域、存根區(qū)域），但是通常是在一臺DNS服務器上只創(chuàng)建同一類區(qū)域。這樣更容易劃分主DNS服務器和輔助DNS服務器l 在正、反向查找區(qū)域中都可以分別創(chuàng)建主要區(qū)域或輔助區(qū)域（要根據(jù)以上服務器角色原則來創(chuàng)建），也就是說，可以同時在正向查找區(qū)域和反射查找區(qū)域創(chuàng)建主要區(qū)域或輔助區(qū)域l 不能在同一臺計算機上同時創(chuàng)建相同區(qū)域的輔助區(qū)域和存根區(qū)域，但存根區(qū)域同樣可以在正向查找和反射查找區(qū)域中分別創(chuàng)建l 每個區(qū)域名只能有一條正向或反向查找區(qū)域，不能有相同 區(qū)域的多個同類型的查找區(qū)域。但是在區(qū)域下面還可以創(chuàng)建子區(qū)域（也就是子域）的各類區(qū)域。4. 當DNS服務器與域控制器在同一臺機器上時，要選：Active Directory中存儲區(qū)域5. “只允許安全動態(tài)更新的方式”只有在選擇了，Active Directory中存儲區(qū)域 復選項后才支持的，對于不是在域控制器上的DNS服務器是不可選該項動態(tài)更新方式的；允許非安全的動態(tài)更新，存在安全風險，特別是在廣域網中。如果在這種公開網絡環(huán)境下，通常選擇不允許動態(tài)更新。但在局域網中，如果DNS服務器不是安裝在域控制器之上，則只能選擇第二種同時支持非安全和安全動態(tài)更新方式。6. 內網的DNS服務器地址旋轉在“轉發(fā)器：選項卡中。7. 常見的DNS資源記錄如下：l 主貢（A）記錄：用于將計算機的完整DNS域名映射到計算機所使用的IP地址。是一種正向解析記錄。l 別名（CNAME）記錄：用于將計算機的DNS域名映射到一個看似無關的別名（相當于每個人的“小名”）。一是簡化名稱輸入，二是起到屏蔽真實名稱，增加安全性的作用l 郵件交換器（MX）記錄：用于將計算機的DNS域名映射為交換或轉發(fā)郵件的計算機（郵件服務器）的名稱。l 名稱服務器（NS）服務：用于指示區(qū)域中有哪些DNS服務器l 指針（PTR）記錄：用于將計算機的IP地址映射到計算機的DNS域名。是一種反射解析記錄l 起始授權機構（SOA）記錄：指示區(qū)域中是主DNS服務器l 服務位置（SRV）記錄：用于將計算機的DNS域名映射到指定的DNS主機列表，該DNS主機提供諸如Active Directory域名控制器之類的特定服務8. 在DNS中，@代表當前區(qū)域第8單 域網絡加入和域用戶管理1. 域網絡加入典型故障排除1） 在客記機加入域時找不到網絡路徑或者活動目錄缺少DNS記錄引起此原因有如下幾點：l 客戶機的TCP/IP協(xié)議配置中沒有把主要DNS服務器IP地址指向域網絡DNS服務器的IP地址l 域網絡中沒有工作正常的DNS服務器。可以在DNS服務器上運行netdiag/fix命令（，在源程序光盤中）修復一下l DNS服務器上沒有域控制器的SRV記錄，或者是錯誤的。查看DNS服務器上有沒有這個記錄。Active Directory在下列文件夾下創(chuàng)建其SRV記錄：_msdcs/dc/_sites/defaultfirstsitename/_tcp _msdcs/dc_tcpl 客戶機上沒有啟用TCP/IP NetBIOS Helper服務 2） 加入域時出現(xiàn)找不到域控制器的錯誤原因：l 計算機中的防火墻，特別是Windows防火墻阻止通信 l DNS服務器配置不正確在DC中運行netdiag/fix后再測試這個問題是否存在。完成以下兩個方面的目標：216。 DNS測試。，如果有問題更新相應條目 216。 域控制器測試。如果主域上緩存在本地計算機中的域GUID不同于域控制器上保存的域GUID,Netdiag將嘗試更新本地計算機上的域GUID。l 輸入的是域的NetBIOS名稱，而在客戶機上沒有啟動前面說到的TCP/IP NetBIOS Helper服務，也可能出現(xiàn)這種故障 l 如果網絡中安裝了像ISA之類的防火墻，而在沒安裝ISA之前加入域是沒問題的，則是因為在ISA中沒有配置網絡規(guī)則。最好是先安裝ISA然后再配置域3） 加入域時提示“依存服務不存在，或已被標記為刪除”服務Net Logon服務沒有開啟，到Hkey_local_MACHINE\SYSTEM\CurrentControlSet\Netlogon下查看設置Net Logon服務依存服務的鍵項DependOnService（這里除了Workstaion外應該無其它項）2. Windows安全系統(tǒng)按照以下原理使用SID：l 在“安全描述”（security descriptor）部分標識了對象和主要組的擁有者l 在“訪問控制條目”（Access control entrie）部分標識了誰被允許訪問、誰被禁止訪問、誰的訪問將被審計這樣的信任樹l 在“訪問令牌”（Access token）部分標識了用戶和用戶所隸屬的組3. whoami命令查看當前用戶的SID信息格式：l Whoami{/upn|/fqdn|/logonid}:這是用來查看當前用戶的UPN（user principal,用戶主體名稱）、FQDN（fully qualified,完全合格的域名）或LOGONID(登錄ID)，不是本節(jié)所要查詢的SIDl Whoami[{/user|/groups|/priv}][/fo format]:這是我們所需要的，可用來查看當前用戶或當前用戶所屬組的SID、安全屬性、組類型信息l Whoami /all [/fo format]:這也可以用來查看用戶和組的SID，因為這種語法格式可以查看當前用戶名、所屬組，以及它們的SID和當前用戶訪問信息的特權等所有信息參數(shù)說明：l /user:查看當前用戶賬戶信息和SIDl /groups:查看當前用戶賬戶所屬賬戶類型、屬性和SIDl /all：查看當前用戶名、所屬組、SID，以及當前用戶訪問令牌的特權l(xiāng) /fo format:指定要顯示的輸出格式，有table(表格)、list（列表）、csv（類似 execl的表格）。4．PSTOOLS工具包后，解壓后釋放到系統(tǒng)安裝目錄下的system32目錄下。語法格式：psgetsid[\\puter1 [,puter2[,…]|@file][u username [p password]]][account|SID]4. ，然后把它安裝到windows系統(tǒng)的system32目錄下然后通過運行 regsvr32 ，此方法不支持組賬戶和計算機賬戶SID的查看5. 默認域用戶賬戶6．默認域組賬戶默認用戶賬戶描述Administrator賬戶Administrator賬戶具有對域的完全控制權，可在必要時為域用戶指派用戶權利和訪問控制權限。該賬戶只用于需要管理憑據(jù)的任務。推薦為此賬戶設置強密碼Administrator賬戶是Active Directory中 Administrators、 Domain Admins、 Enterprise Admins、 Group Policy Creator Owners 和Schema Admins組默認成員。雖然無法從Administrator組中刪除 Administrator賬戶，但是可以重命名或禁用些賬戶。但當Administrator賬戶被禁用時，仍然可以在安全模式下訪問域控制器。眾所周知，Windows的許多版本都包括Administrator賬戶，所以重命名或禁用些賬戶會使惡意用戶獲得訪問它的權限變得更加困難Guest賬戶Guest賬戶由該域中的臨時用戶使用，如賬戶被禁用（但末被刪除）的用戶也可以使用Guest用戶。Guest賬戶默認是沒有密碼的，但可以為它設置密碼，以降低安全風險。一般現(xiàn)在都是禁用該賬戶，也可以像設置任意用戶賬戶一樣來設置Guest賬戶的權利和權限。在默認情況下，Guest賬戶設置是內置Guest組和Domain Guest全局組的成員，它允許用戶登錄到域HelpAssistant賬戶（同“遠程協(xié)助”會話一起安裝）該賬戶可用于建立“遠程協(xié)助”會話，只具有對計算機的受限訪問權限。當請求“遠程協(xié)助”會話時，系統(tǒng)將自動創(chuàng)建該賬戶，在沒有遠程協(xié)助請求等待響應時，系統(tǒng)又將自動刪除該賬戶 Builtin容器中的主要默認域組賬戶及其應用說明組描述應用說明Account Operators該組默認沒有成員，加入該組成員可以創(chuàng)建、修改和刪除位于Users或puters容器中的用戶、組和計算機的賬戶以及該域中除domain controllers外的組織單位。但該組的成員無權修改administrators或domain admins組，也無權修改這些組的成員賬戶。該組的成員可本地登錄到該域的域控制器中，并可將其關閉可以把委派非管理員組成員賬戶，非域控制器OU創(chuàng)建、修改和刪除等管理工作的用戶或組賬戶加入到該 組中，減輕管理員的管理負擔，同時又提供了最終的安全保障AdministratorsDomain admins組、enterprise admins組和administrator用戶賬戶是該組的成員。該組成員具有對域中所有域控制器的完全控制權限，包括修改文件夾和文件的所有者權限可以擔當域網絡中的一切管理工作，但通常是把一些基礎性的管理工作委派給其他非管理用戶，如上面的account operators組成員Backup operators該組默認沒有成員，加入該組的成員可備份和還原該域控制器上的所有文件，不論其各自對這些文件的權限如何。Backup operators還可以本地登錄到域控制器并關閉域控制器把擔當公司網絡備份與恢復兼職管理員加入到此組中，使他（她）們具有備份與還原域控制器的權利，減輕管理員的工作負擔GuestsDomain guests組，用于匿名訪問iis的內置賬戶iusr賬戶和匿名訪問windows media services的內置賬戶wmus賬戶，guest賬戶默認都是該組成員該組成員沒有配置默認的用戶權利，可配置最低、僅滿足最基本應用需求的用戶權利給該組成員，主要匿名訪問Network configuration operators該組中沒有默認的成員，加入該組的成員可以更改TCP/IP設置并續(xù)訂和發(fā)布該域中域控制器上的TCP/IP地址許多讀者反映，并不能用戶沒