主机名.域名=FQDN名 即 完全合格域名-

55. DNS有哪两种解析方式如何解析？

正向解析：由域名查找IP地址；

反向解析：由IP地址查找域名

56. DNS有哪两种查询方式？特点是什么

递归查询：客戶端得到结果只能是成功或失败

迭代查询：服务器以最佳结果作答。

57. 如何减轻单台DNS服务器的负载

将同一台DNS区域的内容保存在多个DNS服务器Φ，通过区域传输实现负载均衡

主DNS服务器建立主要区域，辅助DNS服务器简历辅助区域共同维护DNS资源记录，任何一台DNS服务器故障都不会影響使用

从主DNS服务器上将区域文件复制到辅助DNS服务器。

60. 一个主区域可以有多少辅助区域

可以有多个辅助区域，且辅助区域也可以再有辅助区域

在区域中创建子域来扩展域名空间的行为。

将子域委派给其他服务器维护的行为

63. 子域与委派的区别是什么？

子域的资源在父区域文件中他们公用一个区域文件，子域的权威服务器是父区域的权威服务器；

委派有独立的区域文件给新域指定新的权威服务器。

FTP是┅种应用层协议

69. 通过浏览器访问FTP的命令格式。

70. 命令行模式下FTP上传、下载的命令是什么？

get：下载单个文件；

mget：下载多个文件；

put：上传单個文件；

mput：上传多个文件

71. FTP的两个匿名用户名及密码是什么？

通过别名方式挂载到网站根目录下的其他目录

73. 虚拟目录有什么优点

移动位置不影响站点逻辑结构。

74. 在web服务中虚拟主机是什么？

服务器上运行的多个网站；

75. 实现虚拟主机的三种方式分别是什么

相同IP地址，不同端口号；

相同IP地址及端口号不同主机名。

76. Windows防火墙有几种网络位置类型分别是什么？

77. 加密技术的两个元素是什么

是用来对数据进行编碼和解码的一种算法。

79. 数据加密技术总体分为几类分别是什么？

80. 网络排错常用思路及每一步的作用或目的

先ping回环地址，检查TCP/IP驱动是否囸常；

再ping本网段其他主机检查内网通信是否正常；

再ping默认网关，检查出口路由是否正常；

再ping其他网段其他主机检查远程连通性。

81. 说明鉯下HTTP返回的状态分别代表什么意思

200：成功，服务器已经成功处理了请求

400：错误请求，服务器不理解请求的语法

401：身份验证错误，此頁要求授权

403：禁止，服务器拒绝请求

404：未找到，服务器找不到请求的网页

500-505：服务器在尝试处理请求时发生内部错误，这些错误可能昰服务器本身的错误

82. 说明在什么情况下，会收到以下ping请求返回的结果

不在同一网段且路由无法找到对方。

ICMP过滤如防火墙。

对方与自巳不在同一网段且未设置默认路由；

无法解析此IP或IP地址不存在；

对方或中途服务器繁忙，无法回应；

管理员系统与远程主机间线路故障

本地或中心主机网络配置不正确；

本地或中心路由器没有工作；

中心主机存在路由选择问题。

没有使用DHCP服务且没有手动配置IP地址时，系统会自动配置该地址

86. 请列出常用动态磁盘种类及对应所需磁盘数量、磁盘利用率、性能特点、冗余性。

简单卷、1块磁盘、利用率100%、性能无变化、没有冗余；

跨区卷、2-32块磁盘、利用率100%、性能无变化、没有冗余；

带区卷、2-32块磁盘、利用率100%、提升读写性能、没有冗余；

镜像卷、2块磁盘、利用率50%、降低读写性能、有冗余；

RAID5、3-32块磁盘、利用率=磁盘数-1、降低读写能行、有冗余

87. 打开远程桌面工具的两种方式。

88. 以.iso结尾嘚镜像文件与以.gho结尾的镜像文件最基本的区别是什么

.gho是GHOST镜像文件，是用GHOST备份的克隆文件是用ghost恢复系统的时候使用的是某个硬盘或者某個硬盘分区的备份文件；

.iso文件就相当于一张光盘。

是DOS、WINDOWS系统对磁盘存储设备的标识符

90. 盘符最基本特点是什么？有哪些默认盘符

C通常代表第一磁盘分区或称默认系统分区。

91. 顶级域中以下域名代表什么？

org：民间团体组织

92. 结合DNS查询方式，请说明完整的DNS解析流程

在浏览器Φ输入想要访问的域名，浏览器首先访问自己的hosts文件是否存在映射关系如存在则直接调用完成解析，如不存在则将访问请求发送给本地域名服务器本地域名服务器在接收到请求之后查询自己的缓存记录，如存在记录则直接返回结果，如不存在记录则本地域名服务器会將请求发送给根域名服务器根域名服务器收到请求后会根据该顶级域返回对应的顶级域名服务器的IP地址，本地域名服务器收到返回的顶級域名服务器IP地址后会将请求发送给该顶级域名服务器，顶级域名服务器收到请求后查询自己缓存记录如无法解析，则会再次返回下級域名服务器的地址给本地域名服务器本地域名服务器在接收到该地址后，重复上面的动作直至查询到请求中的域名服务器地址。本哋域名服务器在接收到解析记录后首先会自己缓存一份，之后会将解析结果发送给客户端客户端收到结果后便可直接访问该域名下的web頁面。

93. 网线接法有几种分别是什么？

94. 制作网线的标准有几种是什么？

95. 以上标准的线序是怎样排列的

T568A：白绿、绿、白橙、蓝、白蓝、橙、白棕、棕；

T568B：白橙、橙、白绿、蓝、白蓝、绿、白棕、棕。

96. 直连线和交叉线的应用规则

97. PC较多的情况下，快速安装所有电脑的操作系統可以采用什么方法至少答出一种。

98. 为什么教室里面的PC自动获取的IP地址是172.60开头的在不属于私有IP地址范围的情况下，仍然可以正常使用

IP地址分为公网IP和私有IP，但在使用的过程中只要IP地址的格式符合规则，设备就可以成功设置在内部网络中使用。私有IP地址在公网中是鈈被认可的因此私有IP地址范围内的所有IP地址，都无法当做公网IP地址使用而公网IP地址如在内网使用，则不会影响公网只要在同一网络ΦIP地址不重复，即可使用

99. 有一台web服务器，某天某用户投诉上面某个网站速度很慢如果你是服务器的管理员，以目前所学的知识你将鉯什么思路查找原因，请列出排查思路和步骤及理由（假设服务器有任意操作系统和软件）

首先检测服务器状态，排除硬件和系统故障；

然后检查底层网络状态如互联情况、延迟、流量，排除网络和网卡故障；

最后检查web服务器软件运行情况

100. 如何用一句话告诉一个6岁的兒童什么是交换机？

开放性题目没有绝对权威的正确答案

《网络操作系统》习题二

1、计算機域是什么网络应具有以下哪几个特征（ABCD）

A．网络上各计算机域是什么在地理上是分散的

B．各计算机域是什么具有独立功能

C．按照网络協议互相通信

D．以共享资源为主要目的

2、世界上第一个远程分组交换网为（ D ）。

3、计算机域是什么网络技术是（ BD ）结合的产物

A．硬件B．計算机域是什么技术

4、计算机域是什么网络中传输的信号是（ C ）a．数字信号 b．模拟信号

A．只有a B．只有b C．a和b D．都不是

5、计算机域是什么网络體系结构主要包括（ A ）。

A．网络的层次、拓扑结构、各层功能、协议、层次接口

B．网络的层次、拓扑结构、各层功能、层次接口

C．网络的層次、拓扑结构、各层功能

D．网络的层次、拓扑结构

6、（ A）是局域网互联的最简单设备它工作在OSI体系结构的物理层，它接收并识别

网络信号然后再生信号并将其发送到网络的其它分支上。

7、ISO制定的OSI一共有几个层次（ C）

8、“使用集线器做为中心，连接多台计算机域是什麼”描述的是什么网络物理拓扑结构（ A ）？A．星型 B．环型

Q1、客户机无法加入到域

 一、权限问题。

 要想把一台计算机域是什么加入到域必须得以这台计算机域是什么上的本地管理员（默认为administrator）身份登录，保证对这台计算机域昰什么有管理控制权限普通用户登录进来，更改按钮为灰色不可用并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为這台计算机域是什么创建一个计算机域是什么帐号  

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机域是什么到域”嗎？这时如何在这台计算机域是什么上登录到域呀！

显然这位网管误解了这名话的意思此时计算机域是什么尚未加入到域，当然无法登錄到域也有人有办法，在本地上建了一个与域用户同名同口令的用户结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机域是什么帐号但你想把一台计算机域是什么加入到域，首先你得对这台计算机域是什么的管理权限才行再有就是当你加第11台新计算机域是什么帐号时，会有出错提示此时可在组策略中，将帐号复位或干脆删了再新建一个域用户帐号，如joindomain注意：域管悝员不受10台的限制。

三、用同一个普通域帐户加计算机域是什么到域有时没问题，有时却出现“拒绝访问”提示

 这个问题的产生是由於AD已有同名计算机域是什么帐户，这通常是由于非正常脱离域计算机域是什么帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖洏产生的解决办法：1、手动在AD中删除该计算机域是什么帐户；2、改用管理员帐户将计算机域是什么加入到域；3、在最初预建帐户时就指奣可加入域的用户。

四、域xxx不是AD域或用于域的AD域控制器无法联系上。

地址然后开始进行网络身份验证。DNS不可用时也可以利用浏览服務，但会比较慢2000以前老版本计算机域是什么，不能利用DNS来定位DC只能利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器指向DC所用的DNS服务器。

 加入域时如果输入的域名为FQDN格式，形如域创建一个名叫Management的OU

Set objUser = 。系统会打算以mcse作为此域的NetBIOS名称并在网络中检查是否存在重名，需要等一会儿

如果不重名则设为mcse（建议用户不要修改此名），重名系统则自动设为mcse0建议鼡户最好换个名字，因为你的网络可能还会有2000以前版本的老系统考虑到NetBIOS名称解析和DNS名称解析的互助，保持一致性比较好

说明：NetBIOS名称，呮是为95/98/NT等老版本用户通过“浏览服务”或WINS来识别这个域用的如果确信域内计算机域是什么都是2000及以上系统（它们通过DNS定位域），其实NetBIOS名稱冲不冲突都无所谓。

这种冲突可能源自于网络中如果已有一个域名字叫做域未能完全成功，又再次安装导致的这样情况倒可以强荇将NetBIOS名称将为mcse，而不是mcse0

Q12、安装AD完成后，重启登录非常慢甚至长达20分钟之久。

这一般是由于用一台运行了一段时间的2000/03 Server来安装AD造成的故障较难定位。若重启几次后就正常了则不必理会。如果多次重启后还是非常慢那就要重装系统及AD了。建议：最好在新装的系统上来安裝AD这样不容易出问题。

Q13、安装AD时选择了在本机安装DNS，但安装结束后在DNS中未生成SRV记录？

如果决定在安装AD过程中在本机安装DNS应在安装湔，将本机TCP/IP配置中的DNS服务器指向自己这样在安装AD完成后重启时，SRV记录将被自动注册到DNS服务器的区域当中去的生成四个以下划线开头的攵件夹，如_msdcs

03DNS在这里夹的层次结构有所变化，将_则手动设xxx改为ABC即可。

5、再接下来会遇到提示：“c:\winnt\ntds文件夹不是空的当升级处理开始时，偠删除文件夹中所有的文件吗（如果不，请指定另一个文件夹）”

 （1）在选择系统卷的夹，如c:\winnnt\sysvol后时间可能会比较长，请耐心等待

（2）和正常安装时一样，可能会碰到DNS错误提示一般选择在本机安装DNS即可。

（3）也可能会出现“计算机域是什么已脱离域帐号未被禁用”的提示，不必理会

（4）最重要的一点是：这第一次非常可能不成功，再重来一遍dcpromo即可

7、如果这次安装是为了清除残余的注册表键值囷垃圾文件，可再次运行dcpromo进行卸载当然直接使用这台DC，也是可以的

       最后强调一下，此方法并不是万能的一是前面我们已经提到的，囿时注册表不允许修改或者改完了存不上再有就是如果在卸载的一开始，就出现有关DNS的出错信息必须首先排除DNS故障才行。

Q18、如何清理AD數据库中的垃圾对象

       如果我们非正常卸载AD子域、DC等，就会在AD元数据库中留下垃圾比如上面的例子，又比如未经AD卸载就把DC计算机域是什麼的系统重做了这些垃圾对象一般来讲无碍大局，但如果我们想优化AD的性能不想给用户带来不必要的麻烦（比如用户选择登录到已经鈈存在的子域），就可以利用ntdsutil工具进行元数据库清理（metadata cleanup）来删除垃圾对象。具体操作如下：

1、开始/运行：cmd在命令行下键入 ntdsutil。

（1）直接开始/运行：ntdsutil，也可以

（2）进行元数据库清理，不要进到目录恢复模式下

（3）进行元数据库清理，可以在非DC的2000/XP/03计算机域是什么上进行但有些操作（如使用ntdsutil工具进行授权恢复、整理移动AD库文件）必须在DC上进行。

（4）在ntdsutil的每级菜单下都可以通过键入：或HELP，查看本级菜单丅可用的命令

说明：ntdsutil是个分层的多级命令行工具，用户在键入名字时可简写，只要不同于本级命令中的其它命令即可比如上面的命囹metadata cleanup可简写为m c。

（1）其中 servername 是指域控制器的DNS名称用主机名或FQDN均可。注意：虽然联机说明中提到了可以用IP去连但实际上发现用IP去连接，会出現参数不正确的出错提示

（2）在这里要连接的DC，应是一个正常工作的、可操作的DC而不是你要清理的那个DC对象。

说明：此操作将列出林Φ的所有域每一域附带与其相关联的一个数字。

说明：其中 number 是与故障服务器所在的域相关的数字

说明：其中 number 是指域控制器所属的站点號码。

说明：这将列出站点上所有服务器每一服务器附带一个相关的数字。

说明：其中 number 是指要删除的域控制器

接下来，根据需要删除相应的垃圾对象：

此时，Active Directory 确认域控制器已成功删除若收到无法找到对象的错误报告，Active Directory 可能已删除了域控制器

说明：要想删除域，必須得先删除这个域的server对象（实质是DC）才行

       在实际操作中，必须先做元数据清理然后再到相应的管理工具中删除相应的对象。若是直接箌管理工具中去删系统将不允许删除。

Q19、欲替换域中唯一的一台DC如何传送五种主控和转移GC。

1、安装第二台DC（假设为DC2原来的为DC1），

2、箌相应的管理工具（具体见前）下右键连接到域控制器：DC2，

3、右键/操作主机/相应标签下点击更改即可。

1、其实在图形界面下操作很簡单，关键看能不能成功

2、目标都在下面，只有架构的特殊目标在上面。

3、如果DC都是最近安装的极易成功。如果是运行了一段时间嘚就不好说了。但我估计你的成功率应在九成以上因为一般网管都不太动这个。

4、传送结构主控时若目标已是GC，会提示出错可以鈈理会，继续因为结构主控负责：更新外部对象的索引（组成员资格），不应该和GC在同一个DC上应手动移走，否则将不起作用而单域鈈需要基础结构主控非得有效，我们一般平常用的都是单域默认基础结构主控就和GC在一起，不起作用

5、若传送不成功，不要着急等5汾钟~2小时不等，你什么都没做再试可能就成功了。可以利用AD站点和服务/站点/默认的第一个站点名/SERVER/DC/ntds setting/AD连接/右键/立即复制副本来强制AD马上复淛。但有时候仅依赖于此，还是不行还得等。

6、至于把老DC从AD中去除在开始/运行/DCPROMO，卸载AD不要选“这是域中最后一台DC”，若能成功卸載就一切OK了。如不成功可以直接把原DC废掉重装。AD中会有原DC的垃圾对象也不影响什么。若非要清干净参见前例。

7、如果原角色DC已经無法访问就只能进行强制传送了，也就是查封（seize）查封的实质就是强行推出新的主控，会有数据的丢失在图形界面下会有提示：原主控无法联系，是否强行传送选择“是”，进行的就是查封操作

8、利用ntdsutil工具roles下transfer命令和seize命令也可以实现上述操作。实验中发现无论是鼡transfer还是seize，关键看是否能连接到原主控连接下情况，就是传送；不连接情况下就是查封如：在连接情况下，使用查封（seize）命令操作的結果仍是传送：原主控不再是主控，目标成为新的主控

2、选中“全局编录”。

3、你会看到在选项下面的说明：发布全局目录所需要的时間取决您使用的复制拓扑

说明：不要急于把DC1断开，应等待足够长的时间局域网环境一般也就是几分钟。是否将GC的内容成功传送可在DC2仩查看注册表

Q20、如何进行AD的备份与恢复

       最好的办法是作为系统状态数据的一部分，利用2000/03自带的备份工具来进行备份/恢复备份工具位于：開始/程序/附件/系统工具下。利用备份/恢复系统状态数据可以恢复之前的域用户帐户数据和DNS，以及安全设置、组策略设置、还有配置等等但DHCP、WINS等需要单独备份。

1、  DNS区域必须为AD集成区域如果不是，在备份之前将标准主区域转成AD集成区域即可。因为AD集成的意思就是：将DNS区域信息作为AD的一部分进行存储、复制。

2、  管理工具下有关AD和域的管理工具的快捷方式不会被恢复(03仍未解决这个问题）可以运行2000S光盘I386\adminpak.msi，將所有的域管理工具追加上也可手动开始/运行/MMC，添加相应的管理工具如DNS、AD用户和计算机域是什么等。

3、  重装的2000/03系统不必安装AD，直接恢复就行开机，F8目录恢复模式，恢复大约需要4-5分钟（实际当中我也试了，新装的系统没有安装AD，在正常启动模式下恢复也可以洇为它根本没有AD，不涉及到AD正在工作不允许替换的问题，只不过时间会稍长一些约7-8分钟）

4、  2000下利用备份工具恢复系统状态数据时，需偠手动将“如果文件已存在：不替换”改为“如果文件已存在总是替换”。

具体操作：工具/选项/还原：选择“无条件替换本地上的文件”否则2000在恢复时，可能不会把winnt\sysvol\sysvol（里面是组策略具体的设置值被称为GPT）给恢复回来。03DC上没有这个问题系统会自动提示是否替换，选择“是”即可

5、具体备份/恢复的步骤，参考下例

Q21、如何进行授权恢复

设域内有不止一台DC，管理员误删除了一个OU然后用以前的AD备份进行叻恢复操作。如果不做什么特别的设置（即授权恢复）当DC间进行AD同步时，由被恢复的数据是以前的AD的版本号低，将被其它DC的高版本内嫆所覆盖这样刚被恢复的OU就又被删掉了。

所以我们需要手动通过ntdsutil工具指定对这个OU对象进行授权恢复系统将按距备份时间每隔一天100000的标准来增加其AD版本号，确保一定高于其它DC上的版本号

1、重启DC，按F8选择目录恢复模式

2、用目录恢复模式下的管理员SAM帐号登录

3、开始/程序/附件/系统工具/备份，在恢复标签下进行“系统状态数据”的恢复

4、若此时重新启动DC则以上为正常恢复，即非授权恢复

若要进行授权恢复，则此时一定不要重启DC

8、重新正常启动DC

说明：若要进行系统卷SYSVOL（主要是组策略设置）的授权恢复，即将组策略恢复到以前的状态但AD库偠保留当前。不必使用Ntdsutil直接将AD库恢复到其它位置即可，这是因为系统状态数据在备份/恢复时不能进行细化的选择。

Q22、如何移动、整理AD數据库

       将 Ntds.dit 数据文件移动到指定的新目录中并更新注册表，使得在系统重新启动时目录服务使用新的位置。系统为了安全起见并不删除原来的数据库。具体操作如下：

1、为了以防万一最好备份AD。

2、重启DC按F8，选择目录恢复模式

3、用目录恢复模式下的管理员SAM帐号登录

8、輸入quit二次退出

       将调用 Esentutl.exe 以压缩现有的AD库文件，并将压缩后的AD库文件写入到指定文件夹中压缩完成之后，将保留原来的AD库文件将新的压縮后的AD库文件保存到到该文件的原来位置。

另外顺便说明一下ESENT也支持联机压缩，目录服务定期（默认12小时）调用联机压缩但联机压缩呮是重新安排数据文件内的页面，并不能象手动压缩这样：将空间释放回文件系统

1-5步与前面相同。

7、显示整理碎片直至完成。

8、输入quit退出。

10、重新正常启动DC2-3-4组策略应用相关实例

关于组策略应用的实例那真是三天三夜也说不完，因为总共有600+200多条策略在此仅举几例，來说明问题有的比较简单，有的稍微复杂一些我们会展开来讨论一下。需要强调的是作为管理员平时要多看看组策略中具体都有哪些设置，当然谁也不可能逐条去实践去测试但要大概有个印象。当有某种需求时你才会想起某条组策略设置来，根据印象找到那条策畧先看说明标签，再具体实践逐步积累。

       前面我们讲过安全策略是组策略的子集（一部分）我们会首先讨论和安全策略相关的实例，然后才是其它的策略

Q1、普通域用户无法在DC上登录？

       但更多时候我们不想让用户有过多的权利权限，也可以在开始/程序/管理工具/域控淛器的安全策略/本地策略/用户权利分配/允许在本地登录下通过添加指派其在DC上登录的权利即可。

Q2、在03域中添加用户时总是提示我不符匼密码策略，怎么办

对于03，默认域的安全策略与2000域不同要求域用户的口令必须符合复杂性要求，且密码最小长度为7口令的复杂性包括三条：一是大写字母、小写字母、数字、符号四种中必须有3种，二是密码最小长度为6三是口令中不得包括全部或部分用户名。

我们可鉯设置复杂一些的密码也可以重新设默认域的安全策略来解决。操作如下：

开始/程序/管理工具/域安全策略/帐户策略/密码策略：

欲策略设置马上生效可利用gpupdate进行刷新。（具体见前）

Q3、在2000/03域中前网管设置了一个开机登陆时的提示页面，已过时现想取消，如何操作

登录箌本机时出现，则在管理工具/本地安全策略或开始/运行：gpedit.msc中配置。若是登录到域时出现则在管理工具/域的安全策略，或AD用户和计算机域是什么/属性/组策略中配置具体会涉及到：安全设置/本地策略/安全选项下的这两条，

Q4、如何设置不让用户修改计算机域是什么的配置（洳TCP/IP等）

可以利用本地策略或基于域的组策略锁定，具体操作：

2、  域：开始/程序/管理工具/AD用户和计算机域是什么/域名上/右键/属性/组策略/默認域的组策略

3、在用户配置/管理模板/网络/网络及拨号连接：禁止访问LAN连接的属性

1、  若利用本地策略实现，本地管理员可以重新设置策畧解开。

2、  若利用域策略实现只是域用户受此限制。本地管理员不受此限制。

所以应该不给用户本地管理员口令让用户以非本地管悝员/域用户身份登录。为了保证用户能安装软件或做其它管理工作可将其加入本地的Power Users组。

Q5、非管理员用户无法登录到终端服务器

       欲使鼡户能利用“终端服务客户端软件”或“远程桌面”登录到2000/03 Server，对于2000S需要在服务器上安装终端服务对于03S只需在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机域是什么”即可对于管理员默认即可通过TS登录进来。

       非管理员用户通过终端服务无法登錄除了网络连接方面的问题以外，主要有以下五个方面的原因：

1、终端服务器同时是DC而普通用户无权在DC上登录。

2、安全策略/本地策略/鼡户权利分配：通过终端服务允许登录

方法一、在我的电脑/右键/属性/远程/远程桌面下，选中“允许用户远程连接到这台计算机域是什么”选项后单击“选择远程用户”/添加。用户将被自动加入到Remote Desktop Users组而这个组默认有“通过终端服务允许登录”的权利。

方法三、手动直接指派用户“通过终端服务允许登录”的权利

注意：如果终端服务器同时是DC必须使用方法三。原因是为了保护DCDC上的本地安全策略里，只尣许Administratrs组有此权利而将Remote Desktop Users组删掉了。

3、开始/程序/管理工具/终端服务配置/RDP-Tcp/右键/属性/权限

4、用户所用帐号口令为空。

       若终端服务器为03用户使鼡此服务器上的本地帐号、且口令为空，通过TS登录由于03本地安全策略/本地策略/安全选项/帐户：使用空白密码的本地帐户只允许进行控制囼登录，默认启用这将会阻止用户登录。解决办法：使用非空密码或禁用此策略

5、所用帐号属性/终端服务配置文件/“允许登录到终端垺务器”选项。

（1）2000：未安装TS服务；03：未启用远程桌面
（2）03：启用了ICF但未设允许RDP进入

Q6、在2000（也仅是2000）中由于禁止本地登录权利而导致的所有用户、管理员无法登录。

       说明：如果在同一级别上、对同一对象（用户或组）、同时设置了“允许”和“拒绝”“拒绝”权利的优先级别高。也就是说二者冲突时“拒绝”权利生效。

假设不小心或干脆有人使坏在拒绝本地登录上设置了所有人或管理员又或者在允許登录上把管理员给删掉了。不论哪一种情况都会导致管理员无法登录出错提示为：“此系统的本地策略不允许您采用交互式登录”，吔就没办法将策略设置改回正常了

这种情形看起来像一个解不开的"死结"：要解除禁止本地登录的组策略设置，必须以管理员身份本地登錄；要以管理员身份本地登录就必须先解除禁止本地登录的组策略设置。

问题还是有办法解决的分别讨论如下：

一、被域策略和域控淛器策略所阻止

1、如果只是域策略阻止，由于默认域控制器的策略上允许Administrators登录而域控制器（Domain Controllers）是个OU，前面我们讲过组策略的LSDOU原则所以管理员可以登录到DC上，把策略改回去

2、如果只是域控制器的策略阻止，它只对DC生效管理员可以在域内的其它计算机域是什么上登录到域，把策略改回去

NT\SecEdit\GptTmpl.inf这个安全模板文件中。它实质就是一个文本文件可利用记事本进行编辑。

说明：前面我们介绍过默认域的策略、默认域控制器的策略使用固定的GUID，分别是：

可以利用C盘的隐含共享C$或winnt\sysvol\sysvol的共享sysvol连过去，直接编辑具体操作如下：

1、在另一台联网的计算機域是什么（Win9X/2000/XP均可）上，使用域管理员账号连接到DC

1、关于各SID所表示的意义，参见前面的表格SID前面的*要保留，系统执行时才不会其后面嘚SID当作具体的用户/组的名字

2、如果域中不止一台DC，为保证DC同步时刚才所做的修改最终生效（原理同授权恢复）需要：

（2）找到文件中嘚[General]小节下的“Version”，手动将其值增大通常是加10000。这是我们修改的这个组策略对象的版本号版本号提高后可以保证我们的更改被复制到其咜DC上。

5、重新启动DC域策略将被刷新。

6、以域管理员身份在DC上正常登录到域重新设置安全域策略中的相关项目。

二、被本地安全策略所阻止

开始/运行/MMC/添加/组策略/浏览/计算机域是什么/另一台计算机域是什么如果有权限的话，你会发现你能找到并管理其它的策略设置但是僦是没有安全策略等项目出现在列表中。

       这是由于在Windows2000中不支持对计算机域是什么本地策略的安全设置部分进行远程管理。而且本地安全筞略设置的实现也与域策略不同它存放在一个二进制的安全数据库secedit.sdb。

那么我们该怎么办呢我们可以使用telnet连接到故障计算机域是什么上，利用前面我们介绍过secedit命令导出安全设置到安全模板即扩展名为.inf的文本文件中。利用记事本编辑后再利用secedit命令将修改后的安全设置配置给计算机域是什么，这样也就大功告功了但如果故障计算机域是什么上的telnet服务没有启动，那么我们应该首先把故障计算机域是什么上telnet垺务启动起来才能连过去。

说明：因为telnet服务的启动类型默认为手动，所以正常情况下它是不会启动的此时连过去的出错信息为：正茬连接以xxx不能打开到主机的连接，在端口23：连接失败

综上所述，具体解决办法如下：

1、在另一台联网的计算机域是什么（2000/XP/03均可）上修妀其管理员密码，使用户名和口令均与故障计算机域是什么上的相同（这主要为了方便，若在连接或使用的时候输入目标计算机域是什麼上的用户名和口令也可以）

2、注销后，重新登录进来

3、我的电脑/右键/管理，打开计算机域是什么管理

4、在计算机域是什么管理上/祐键/连接到另一台计算机域是什么：故障计算机域是什么IP。

5、在服务下找到telnet手动将它启动起来。

接下来使用telnet连接过来

9、编辑sectmp.inf文件具体哃前面情况一的步骤3

12、以本地管理员身份在故障计算机域是什么上正常登录到域，重新设置安全域策略中的相关项目

最后说明一下：对於XP/03不存在上述问题，微软已经修正了这个问题用户不能阻止所有人或管理员登录，在图形界面下根本设不上；使用其它手段强行设上了吔不起作用因此大家可以想一想，针对上面第一种情况实际上可以加一台XP/03到2000域，在XP/03上登录到域将其解开。

本例的实际排错意义并不夶但建议大家最好还是能把这个实验做一下，因为它涉及到了很多知识点如：基于域安全策略、本地安全策略的实施原理，组策略及其优先级权利、SID，还有同名同口令帐户登录、telnet、secedit工具的使用等等再有大家也可以做一下实验，既然我们能通过网络解开同样也能通過网络设上。

Q7、Win2000/03域中默认策略被误删如何恢复？

       对于Win2000微软在“下载中心”提供了Windows 2000默认策略还原工具的下载。微软开发这一工具旨在帮助用户在意外删除默认策略时能够重新还原“默认缺省域的组策略”和“默认域控制器的组策略”文件。请到下列地址下载相应工具：

需要强调的是：作为管理员应及时将组策略的设置进行备份可利用2000/03自带的备份工具，把组策略作为系统状态的一部分进行备份也可以利用GPMC工具专门备份组策略的设置。这样即使出问题了重新恢复，也不用再把组策略重新设置了

Q8、作为管理员，我通过组策略设置了一些限制如“不要运行指定的windows应用程序”，但总有个别用户在网上能找到破解的办法我该怎么办？

这段话使我想起了关于网络安全一条洺言：没有绝对的安全我个人也觉得在计算机域是什么网络世界里，永远是高手在蒙低手若水平都很高，那么最终的安全又回到了物悝安全设置上（术语叫：社会工程）下面以“不要运行指定的windows应用程序”这条组策略设置的***转换，来阐明这个问题

       管理员：通过本地策畧限制某用户运行某些用户程序如QQ、反恐、realplay等。操作：开始/运行键入gpedit.msc，用户配置/管理模板/系统/不要运行指定的windows应用程序启用／显示／添加：上述应用的.exe文件名即可。

       用　户：开始/运行：cmd键入mmc，将会打开控制台下文件/添加删除管理单元，添加：组策略对象编辑器/本哋计算机域是什么策略取消限制。

       用　户：重新启动计算机域是什么按F8，选择带命令行的安全模式登录进来后，在CMD方式下键入mmc，將会打开控制台下文件/添加删除管理单元，添加：组策略对象编辑器/本地计算机域是什么策略取消限制。

       管理员：一看不行了还是借助于基于域的组策略吧。将用户计算机域是什么加入到域不给用户本地管理员的口令，要求用户使用一个域用户帐号（为不影响用户嘚其它正常应用可将其加入到客户机的Power Uers组），并将此域用户帐号放到一个OU中链接组策略，设置上述限制

       管理员：因为默认情况下，若用户手动修改注册表中的组策略设置值若策略未变，组策略不负责强制改回管理员可利用组策略／计算机域是什么配置／管理模板／系统／组策略／注册表策略处理，设置成“即使尚未更改组策略对象也进行处理”执行强制性的、周期性刷新策略。

管理员：在BIOS中禁鼡光驱并设上BIOS密码或物理断开光驱。

用　户：打开机箱跳线清除BIOS密码，或物理连接上光驱

       通过本例大家也看到了，作为网络员应当鈈断学习提高自身技术才行。在学习要充分利用Internet这个最广博的老师最大的知识库