解决Windows域管理的几个经典问题
解决Windows域管理的几个经典问题
& & 近日在为公司配置域管理架构的时候，遇到了一些问题，上网google发现这些问题的提问者众多，堪称“经典”问题。Windows域管理已经不是什么新鲜玩意儿了，可网上各类答案很多驴唇不对马嘴，互相抄来抄去，让提问者不得要领。特撰此文，将我实际解决问题的小小经历记录下来与大家分享，避免大家遇到相同问题的时候走弯路。
&&&&我公司的网络结构采用VLAN划分部门，服务器单独一个VLAN，通过在核心交换机上配置路由和ACL实现各部门之间不可互访，通过访问服务器进行数据交换。服务器是Win2003企业版，不记得用什么光盘装的了，反正网上下的，装完后打过SP2补丁，安装的Win2000域控制器模式（有Win2000的服务器）。
&&&&域名：binhu.local
&&&&主域控制器：192.168.0.6/24&&&&192.168.0.254/24（双网卡）这个网段只有网管部门可访问，本来是调试用的，还没有正式迁移到服务器网段，不过可以和服务器网段建立通信。
&&&&额外域控制器：192.168.2.254/24&&&&&&&服务器网段
&&&&DNS：192.168.2.254
&&&&DHCP&：192.168.2.254&&&&已经通过交换机的UDPHelp把各个VLAN的DHCP网段都做好了，只配置了IP、网关、DNS。
&&&&局域网计算机有Win2k Pro和WinXP Pro，W2k是用自己封装的ghost批量安装的，xp是用的YlmF_GhostXP_SP3_Y1.0，当然都是会随机产生SID啦，全部采用自动获取IP地址，安装后默认设置不变，XP自带防火墙开启，配置如图1。
在客户端可以Ping通服务器IP地址以及binhu.local。总之网络层的互联互通是OK的，下面的问题全都不是由网络配置问题造成的，如果您确定您的网络配置都正确，并且网络结构和我大致相同或比我的还简单，可以继续往下看！
问题1：新计算机在添加到域的过程中，按提示输入了域帐户和密码后，系统提示“找不到网络路径”。
答：启动计算机的“TCP/IP NetBIOS Helper”服务。很不幸，我做的w2k镜像和ylmf的xp镜像刚好都把该服务设为了手动，为了这个问题我专门硬装了一遍xp，刚装好是可以加入域的，而在我习惯性的“优化”完系统以后，又“找不到网络路径”了，经过逐项排除，终于锁定到这个问题的关键，从发现问题到解决问题花了我2个小时。还是值得的，至少不用理会某些人说的“要在域环境下正常工作就不要使用ghost”之类的话。
问题2：加入到域的计算机，无法在域控制器上打开“计算机管理”。
答：刚把计算机test加入到域，我就迫不及待的登陆到域控制器，想通过AD控制台远程打开该计算机的“计算机管理”，结果又弹出提示“找不到\\test.binhu.local 的网络路径”，郁闷ing。尝试在域控制器上ping了一下test.binhu.local，居然提示“Ping request could not find host test.binhu.local.”，域名解析失败！赶紧检查DNS记录，发现test.binhu.local主机记录安然的躺在正向搜索区域中，看来不是DNS服务器的问题。猛然想起本地DNS缓存，赶紧关闭“DNS Client”服务，再次尝试问题解决。原来即使是在DNS服务器上进行域名解析，也不是直接查找的DNS数据库啊！总结经验：在局域网部署过程中，网络节点变化比较频繁，建议关掉网络计算机上的本地DNS缓存服务，待局域网正常运作之后，网络节点变化较少，再根据DNS服务器响应DNS请求的负荷来考虑是否有必要打开该服务。
问题3：加入到域的计算机，在域控制器上打开“计算机管理”，部分项无法管理。
答：打开“计算机管理”后，发现“本地用户和组”打，除了可以查看“共享文件夹”下的内容外，其它项目都不能正常查看。在经历了上面2道磨难后，又遇到这种问题，是不是倍受打击呢？其实对于稍微“马虎”一点的管理员，一般都不会碰到这个问题。无奈我配置域管理的目的是为了便于分发安全策略，不得不“精细化管理”，从组策略到服务到共享到防火墙统统折腾了一遍......还是很有收获的！在无数次的“gpupdate”之后，摸索到一些既不影响“计算机管理”，又能一定程度提高安全性的方法。
（1）共享：有IPC$即可，其它默认共享都可以关掉。
（2）网络组件：必须安装“Microsoft 网络文件和打印机共享”，且必须打钩。
（3）内置防火墙：需要允许“文件和打印机共享”，且不限制135、137、138、139、445等端口的监听。（当然您可以用更强大的防火墙进行数据筛选，看个人功力了:）
（4）服务：需要启动“Server”、“TCP/IP NetBIOS Helper”、“Remote Registry”服务。
（5）组策略：为了增强网络访问安全性，我在安全选项中启用了“不允许 SAM 帐户的匿名枚举”、“不允许 SAM 帐户和共享的匿名枚举”、“限制对命名管道和共享的匿名访问”等三个选项，事实证明不会影响到“计算机管理”。由于进行了(1)~(4)项配置，只有以其它方式来禁止共享文件夹了。我在“用户权限分配”中将“从网络访问此计算机”设为仅有“Domain Admins”组，又把“拒绝从网络访问此计算机”设为“Domain Users、Users、Power Users、Guests”，不能从域控制器远程打开“计算机管理”了。经过分析，是由于我登陆到域控制器的管理员帐户默认也是“Domain Users”组的成员，将它拿出来，再试还是不行，直到我把Users组从“拒绝从网络访问此计算机”选项中拿出来以后，又可以正常打开了。原因可能是：1.该管理员帐户同时也是Users组成员，在升级为域控制器之后，没办法从Users组中拿出来了，我没有进一步尝试；2.域管理员帐户通过网络访问客户机，会被自动应用到Users组成员中，纯属猜测，没有详细查资料。总而言之，只好放任Users组成员不管了，好在我禁用了客户机的本地帐户，只能登陆到域，变成Domain Users就归我管了，嘿嘿，基本解决了禁止文件夹共享的问题了吧，现在即使是在客户机设置了EveryOne完全访问的共享文件夹，普通用户也拒绝访问。
&&&&当然你也可以完全不理会是否打得开“计算机管理”，那就得自己测试一下是否能正确分发组策略了。
问题4：Domain Users 无法运行AutoCAD R14等软件的问题。
答：说到域环境下部署应用程序的问题，这涉及到企业软件管理制度、计算机管理制度等方面，可谈的话题十分宽泛，这里仅从不控制软件使用的角度上讲一讲在域环境下部署应用程序的一些思路。
（1）在FAT32目录下安装的软件、绿色软件等等，很多是可以不用部署直接运行的。（不到万不得已不推荐用FAT32）
（2）在组策略上启用“软件限制策略”，按默认即可，大部分软件马上能够正常运行。
（3）按（2）设置后，对于Autocad r14这样的老软件，不妨试一试新版本，Autocad 2006就可以正常运行，经我测试的Matlab6.5、Protel99se、SolidWorks 2006等都可以正常运行。
（4）还不能运行的软件，用组策略的“软件安装”功能，先把软件制作成MSI安装包，再放到共享点，再配置组策略。制作MSI包的工具在Win2003的安装光盘上有。
（5）软件不能正常运行的原因无非是注册表、文件的访问权限不够，可以以管理员模式来启动软件，同时用FileMon&RegMon等工具来监视其访问了哪些注册表项和文件，然后在组策略的“注册表”和“文件系统”中一一配置权限即可。一般能够正常启动的软件，基本上也都能正常运行了。
如果您对本文中所提到的解决问题的方法感兴趣，并想详细了解具体原理，推荐访问微软的知识库。
发表评论：
TA的最新馆藏Windows服务打开的多种方法(计算机管理/运行命令/控制面板等等)
作者：佚名
字体：[ ] 来源：互联网 时间：01-29 18:04:21
Windows系统中的一些服务。每个服务都有每个服务的作用,接下来小编为您介绍Windows服务打开的多种方法(计算机管理/运行命令/控制面板/services.msc)，感兴趣的朋友可以了解下啊，或许本文对你有所帮助啊
Windows系统中的一些服务。每个服务都有每个服务的作用，比如说打印服务、文件共享服务、主题服务等、计算机日志服务，还有一些系统必须的一些服务这里就不一一的细说了；
计算机管理中打开服务方法
这是最常用的方法，直接在我的电脑图标上右键在弹出的菜单中选择管理弹出如图1-2所示的计算机管理界面。(图1-1我的电脑打开计算机管理方法)在计算机管理界面的左侧找到&服务和应用程序&点击可打开下级栏目中的服务并单击，右侧就会出本地电脑中所有已经注册的服务列表。(图1-2计算机管理服务项中的服务列表)
使用运行命令打开计算机服务管理
单击桌面中的开始菜单，找到并单击运行。(图2-1开始菜单中的运行程序)在出现的运行窗口中输入&services.msc&然后按确定按扭，或者直接回车即可调出本地服务项；(图2-2开始运行SERVICES.msc命令打开计算机服务管理)编者注：需要说明的是：services.msc 大小写都没区别。计算机服务程序文件在那里不管是使用的是运行命令还是计算机管理中打开服务项，其实都是调用的C:\WINDOWS\system32目录下的services.msc程序文件；所以直接可以双击C:\WINDOWS\system32目录下的services.msc同时可以调出计算机服务；编者注：C是我的系统盘，如果系统没有安装在C盘请在系统盘下的WINDOWS\system32目录下查找。(图3系统目录下的SERVICES.MSC服务程序文件)
控制面板中的服务管理程序
一般电脑中都有一个管理工具，而管理工具里就有一个服务的快捷方式，相应不少电脑里都有这个快捷方式，有些电脑可能没有。打开操作系统的控制面板，找到管理工具并双击打开此项。(图4-1控制面板中的管理工具)打开控制面板中的管理工具之后，这里有很多一些程序的快捷方式，找到服务并双击即可打开Windows的服务管理。(图4-2管理工具中的服务快捷方式)
使用搜索services.msc找到系统服务程序文件
一般来说此文件都是在C:\WINDOWS\system32目录下的，但是因为此目录下文件过多，找起来很累，或者此目录下根本就没有此文件的话，可以通过搜索功能搜索&services.mst&搜索到此文件。打开我的电脑，单击搜索按扭，在搜索或部分文件名这里输入&services.msc&，查找范围就C盘(系统盘)，然后单击搜索即可开始搜索。一般等一会儿就可以搜索到相就文件，如果没有搜索到此文件的话，可能是被误删除或者移动了。如果搜索到不是在此目录下的话，建议把此文件复制到WINDOWS\system32目录下。(图5搜索系统中服务程序文件)
Windows服务程序打不开怎么办
如果使用命令无法打开，而又使用其他方法能打开计算机服务的话，那么估计是系统环境变量配置错误。参考资料：如果使用所有方法都无法打开WIndows的服务程序的话，可以通过搜索功能搜索&services.msc&搜索全盘，看看能否搜索到此文件，如果能搜索到的话，可以那么剪贴到C:\WINDOWS\system32目录下，即可打开了。如果查看到C:\WINDOWS\system32目录下的services.msc文件的大小是0kb的话，那么极有可能此文件是被病毒木马或者恶意程序给破坏了。这时可以到安装模式中把此文件删掉，然后从其他电脑复制一个此文件过来即可。参考资料：
Windows服务程序文件下载
以上针对Windows平台的服务打开方法，根据自己喜好打开。
大家感兴趣的内容
12345678910
最近更新的内容的设置，影响系统的一些功能的。如果不熟悉操作，不建议使用。
您的举报已经提交成功，我们将尽快处理，谢谢！
/link?url=9KggY-crK0lSq5U6e5HnKoiWZ3lClh773dfzSTZtwzd_83OJ...
大家还关注2013级计算机专业毕业会考试题_中华文本库
第2页/共5页
15.表结构修改中，修改
可能丢失数据。
16．要冻结列，选择
命令；取消冻结列则选择
取消对所有列的冻结
17. 无符号八位二进制数能表示的最大十进制数为___255__，有符号八位二进制数能表示的最大十进制数为___127__。
18、计算机内部的所有信息以
的形式表示和处理。
19．第一台电子计算机
（名称）诞生于
年的美国宾夕法尼亚大学。
20．按网络结构分类，计算机网络分为
二、单项选择题（80分，2分/小题）
1．Windows2000的整个显示屏幕称为 (
2．在Windwos2000中，可以打开“开始”菜单的组合键是 ( B
B) Ctrl+Esc
C) Ctrl+空格键
D) Ctrl+Tab
3．在Windows2000中，能弹出对话框的操作是 (
A)选择带省略号的菜单项
B)选择带向右三角形箭头的菜单项
C)选择颜色变灰的菜单项
D)运行与对话框对应的应用程序
4．在Windows2000窗口的菜单项中，有些菜单项呈灰色显示，它表示 (
A) 该菜单项已经被使用过
B) 该菜单项已经被删除
C) 该菜单项正在被使用
D) 该菜单项当前不能被使用
5．在桌面上要移动Windows窗口，可以用鼠标拖动该窗口的(
D) “控制”按钮
6．Windows2000的窗口和对话框相比，窗口可以移动和改变大小，而对话框（ B
A) 既下能移动也不能改变大小
B) 可以移动，不能改变大小
C) 仅可以改变大小，不能移动
D) 既能改变大小，也能移动
7．桌面上直接按"F1”键会(
A)弹出“资源管理器”窗口
B)弹出“帮助和支持中心”窗口
C)打开“我的电脑”窗口
D)弹出“控制面板”窗口
8．下列文件名在Windows 2000中不合法的是( A
A)中国：北京
C)｛中国｝
D)中国．北京
9．在Windows 2000中切换各种中文输人法可使用( D )键。
A)Alt+Space
B)Ctrl+Space
C)Ctrl+Alt+Delete
D)Ctrl+Shift
10．TCP/IP协议的含义是（ C
A) 局域网的传输
B) 拨号入网的传输协议
C) 传输控制协议和网际协议
D) OSI协议集
11．在Windows“开始”菜单的“文档”命令项中存放的是（
A) 最近建立的文档
B) 最近打开过的文件夹
C) 最近打开过的文档
D) 最近运行过的程序
12．在Windows2000的“资源管理器”左窗格中，有的文件夹前有“+”或“—”符号，“+”符号意味着这个文件夹（ B
A) 是空文件夹
B) 含有下级文件夹，但还没有展开
C) 含有下级文件夹，并且已经展开
不含下级文件夹
13．计算机网络的主要目的是实现（
（出题教师：张柱英）
第2页/共5页
寻找更多 ""}