主持人和专家介绍
Guide_Wendy_MS : 让我们欢迎今天下午的专家:MVP严伟峰
VFanYan[MVP] : 大家好,我是严伟峰
Guide_Wendy_MS : 聊天正式开始,大家可以自由提问了:
VFanYan[MVP] : 今天的内容是关于WINDOWS 2000组策略的.
VFanYan[MVP] : 大家有什么问题就开始提吧!
来宾提问 Q 和专家解答 A
[Q]我的组策略怎么没有"文件夹重定向"啊?
[A]:在控制台菜单上,单击添加/删除管理单元。添加组策略管理单元。 单击默认域策略。展开用户配置分支。展开 Windows 设置分支。展开文件夹重定向分支右键单击 My Documents,然后单击属性。 单击基本。
[Q]VfanYan,如果我只是一台独立的windows2000professional,我怎么样定义其它用户的策略??能否实现??如不准他运行控制面板.
[A]:控制面板,管理工具,本地安全策略策略里设置
[Q]Joy_MVP : 如何禁止客户机安装任何程序
[A]这个问题我们以前讨论过,与其用组策略实现不如用用户的组来实现.
[Q]98下如何使用组策略?
[A]使用NT40 resource kit中的策略编辑器生成register.pol文件,放在DC的netlogon共享文件夹中。98客户机登录到域
指派时,应用程序在用户下次登录到工作站时广播到用户.
发布时,应用程序在用哀悼的计算机上不显示为安装
[Q]如何用组策略升级软件???
[A]可以通过MST包实现.具体方法你可以下来再和我讨论
[Q]Qisheng_Zhu_MVP : 组策略的执行顺序是
[A]本地、站点、域、OU
[Q] YANG : 用什么软件做MSI安装包,比较方便和简单??
[A] 在CD中有一个软件.可以做,具体请看:http://support.microsoft.com/default.aspx?scid=kb;EN-US;257718
[Q]fanfan : Windows2000的kerbos认证怎么回事?
[A]kerbos是指西腊神话里的一只三眼神,主管通往天堂的通路,在 windows 里是这样的,
在 windows中主要是由KDC,密钥等构成
[Q]fanfan : Kerbos具体怎么做?和传统的NT认证有什么差别?具体的技术细节和过程是什么样子的
[A]过程如下;
用户通过键盘登录到WINDOWS 时
1. 用户请求域的票据授权服务
2. 通过计算机上的KERBEROS此同时SPP 与用户域的KDC之间的AS交换来完成.
3. 用户请求计算机的票据
4. 用户请求访问计算机上的本地系统服务
[Q]Joy_MVP : 这是什么错误1000、1001
[A]如果将不适当的权限分配给 %SystemRoot%\Winnt\Sysvol 文件夹或将不适当的组分配给"跳过遍历检查用户权利指派",可能会发生此问题。另外,如果 sysvol 共享权限的限制性太强,也会发生此问题。
要解决这个问题:设置文件夹安全权限。
在 Windows 资源管理器中,右击 %SystemRoot%\Winnt\Sysvol 文件夹,然后单击属性。
在安全性选项卡上,消除"允许从父系来的继承权限传播到这个对象"复选框,然后确保安全设置与以下内容匹配:
Administrators:完全控制 Authenticated Users:读取、读取和执行以及列出文件夹内容 Creator Owner:不选择任何项 Server Operators:读取、读取和执行以及列出文件夹内容 System:完全控制
单击确定。 右击 %SystemRoot%\Winnt\Sysvol\Sysvol 文件夹,然后单击属性。
在安全性选项卡上,选择"允许从父系来的继承权限传播到这个对象"复选框,然后单击确定。 右击 %SystemRoot%\Winnt\Sysvol\Sysvol\ domain:文件夹,然后单击属性。
在安全性选项卡上,消除"允许从父系来的继承权限传播到这个对象"复选框,然后确保安全设置与以下内容匹配:
Administrators:完全控制 Authenticated Users:读取、读取和执行以及列出文件夹内容 Creator Owner:不选择任何项 Group Policy Creator Owners:读取、读取并执行、列出文件夹内容、修改以及写入 Server Operators:读取、读取和执行以及列出文件夹内容 System:完全控制 单击确定。
如果还不行的话再检察:%SystemRoot%\Winnt\Sysvol\Sysvol\ domain \Policies
大致是这样.
[Q] mengmengbug : 域中的根时间服务器是不是必须配置 外部的时间服务地址
[A] 不必,除非你的业务对时间要求很严
[Q]fanfan : 为什么我的机器文件无法共享给别人
[A]原因很多,首先,你在网络属性中允许别人访部你的文件了吗?
[Q]我的域控制器的本地安全策略不能访问,我试图重新创建,但不能创建新的安全策略数据 库,原来的安全策略数据库又拒绝访问,我想是因为这个原因吧,导致我设置帐户密码时 必须用高复杂度来设置,否则就不能更新密码或增加用户,我已经停用了域的安全密码策 略的复杂度.请哪位专家来帮我解决这个问题,??
报什么错?
[Q] fanfan : 就是说点了右健,不能选sharing...
[A]你先检查一下你的网络属性中允许别人访问你的文件了吗?
[Q] 小新 : 请问时间服务有什么用,我把服务器上的时间服务都STOP了
[A]这是不好的.很多情况下都要用到TIME SERVER,比如说AD复制等.
[Q] mengmengbug : 那么有什么办法可以让域控制器不再去寻找其它时间服务器呢?
[A]它去找什么时间服务器了,你怎么看出来的?
[Q]小新 : 这么说时间服务还是要开起来吗?
[A]那是肯定的
[A]lyp ,系统报什么错?
[Q]lyp : 我现在的问题是系统运用的密码复杂度这个策略,而我现在无法来更改这个策略,因为本地安全策略打不开
[A]是AD吗?
[Q]lyp : 报的错是Window无法打开本地策略数据库,您试图打开的数据库不存在
[A]如果丢失下面任何一个文件夹结构,就会出现该问题: %SystemRoot%\Sysvol\Sysvol\DomainName %SystemRoot%\Sysvol\Sysvol\DomainName\Policies %SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID} %SystemRoot%\Sysvol\Sysvol\DomainName\Pol
在 Microsoft Management Console (MMC) 中,启动"Active Directory 用户和计算机"管理单元。在查看菜单中,单击高级功能。 单击系统文件夹旁的加号 (+)。 单击策略文件夹旁的加号 (+)。 GPO 的 GUID 将按文件夹列出。 使用 Ldp.exe
从零售 Windows 2000 CD-ROM 的 Support\Reskit\Netmgmt\Dstool 文件夹中,启动 Ldp.exe。 在 Connection 菜单上,单击 Connect。 键入服务器名,确认端口设置为 389,单击清除 Connectionless 复选框,然后单击 OK。 一旦完成连接,特定服务器的数据将显示在右边窗格中。 在 Connection 菜单上,单击 Bind。 在相应的框中键入用户名、密?
[Q] 黑色飓风 : 重装服务器如何把win2000server的AD和组策略备份出来?
[A]把对应的文件备份好,重装好后再连接进去就可以了.
黑色飓风 : 如何备份系统状态数据?谢谢!
[A]附件,备份工具.
结束语
Guide_Wendy_MS :
我们的聊天马上就要结束了.谢谢大家的热情参与,并请大家关注下周四同一时间专家在线聊天.
谢谢大家,谢谢沧海!
VFanYan[MVP] :
今天我们的讨论会到此结束!