Windows 2000組策略

主持人和專家介紹Guide_Wendy_MS : 讓我們歡迎今天下午的專家：MVP嚴偉峰VFanYan[MVP] : 大家好,我是嚴偉峰Guide_Wendy_MS : 聊天正式開始，大家可以自由提問了：VFanYan[MVP] : 今天的內容是關於WINDOWS 2000組策略的.VFanYan[MVP] : 大家有什麼問題就開始提吧!來賓提問 Q 和專家解答 A[Q]我的組策略怎麼沒有"檔案夾重新導向"啊？[A]:在控制台菜單上，單擊添加/刪除嵌入式管理單元。添加組策略嵌入式管理單元。 單擊預設域策略。展開使用者配置分支。展開 Windows 設定分支。展開檔案夾重新導向分支按右鍵 My Documents，然後單擊屬性。 單擊基本。[Q]VfanYan,如果我只是一台獨立的windows2000professional,我怎麼樣定義其它使用者的策略??能否實現??如不準他運行控制台.[A]:控制台,管理工具,本地安全性原則策略裡設定[Q]Joy_MVP : 如何禁止客戶機安裝任何程式[A]這個問題我們以前討論過,與其用組策略實現不如用使用者的組來實現.[Q]98下如何使用組策略?[A]使用NT40 resource kit中的策略編輯器產生register.pol檔案，放在DC的netlogon共用資料夾中。98客戶機登入到域指派時,應用程式在使用者下次登入到工作站時廣播到使用者.發布時,應用程式在用哀悼的電腦上不顯示為安裝[Q]如何用組策略升級軟體???[A]可以通過MST包實現.具體方法你可以下來再和我討論[Q]Qisheng_Zhu_MVP : 組策略的執行順序是[A]本地、網站、域、OU[Q] YANG : 用什麼軟體做MSI安裝包,比較方便和簡單??[A] 在CD中有一個軟體.可以做,具體請看:http://support.microsoft.com/default.aspx?scid=kb;EN-US;257718[Q]fanfan : Windows2000的kerbos認證怎麼回事？[A]kerbos是指西臘神話裡的一隻三眼神,主管通往天堂的通路,在 windows 裡是這樣的,在 windows中主要是由KDC,密鑰等構成[Q]fanfan : Kerbos具體怎麼做？和傳統的NT認證有什麼差別？具體的技術細節和過程是什麼樣子的[A]過程如下;使用者通過鍵盤登入到WINDOWS 時1. 使用者請求域的票據授權服務2. 通過電腦上的KERBEROS此同時SPP 與使用者域的KDC之間的AS交換來完成.3. 使用者請求電腦的票據4. 使用者請求訪問電腦上的本地系統服務[Q]Joy_MVP : 這是什麼錯誤1000、1001[A]如果將不適當的許可權分配給 %SystemRoot%\Winnt\Sysvol 檔案夾或將不適當的組分配給"跳過遍曆檢查使用者權利指派"，可能會發生此問題。另外，如果 sysvol 共用許可權的限制性太強，也會發生此問題。要解決這個問題：設定檔案夾安全許可權。在 Windows 資源管理員中，右擊 %SystemRoot%\Winnt\Sysvol 檔案夾，然後單擊屬性。在安全性選項卡上，消除"允許從父系來的繼承許可權傳播到這個對象"複選框，然後確保安全設定與以下內容匹配：Administrators：完全控制 Authenticated Users：讀取、讀取和執行以及列出檔案夾內容 Creator Owner：不選擇任何項 Server Operators：讀取、讀取和執行以及列出檔案夾內容 System：完全控制單擊確定。 右擊 %SystemRoot%\Winnt\Sysvol\Sysvol 檔案夾，然後單擊屬性。在安全性選項卡上，選擇"允許從父系來的繼承許可權傳播到這個對象"複選框，然後單擊確定。 右擊 %SystemRoot%\Winnt\Sysvol\Sysvol\ domain:檔案夾，然後單擊屬性。在安全性選項卡上，消除"允許從父系來的繼承許可權傳播到這個對象"複選框，然後確保安全設定與以下內容匹配：Administrators：完全控制 Authenticated Users：讀取、讀取和執行以及列出檔案夾內容 Creator Owner：不選擇任何項 Group Policy Creator Owners：讀取、讀取並執行、列出檔案夾內容、修改以及寫入 Server Operators：讀取、讀取和執行以及列出檔案夾內容 System：完全控制 單擊確定。如果還不行的話再檢察:%SystemRoot%\Winnt\Sysvol\Sysvol\ domain \Policies大致是這樣.[Q] mengmengbug : 域中的根時間伺服器是不是必須配置 外部的時間服務地址[A] 不必,除非你的業務對時間要求很嚴[Q]fanfan : 為什麼我的機器檔案無法共用給別人[A]原因很多,首先,你在網路屬性中允許別人訪部你的檔案了嗎?[Q]我的網域控制站的本地安全性原則不能訪問,我試圖重新建立,但不能建立新的安全性原則資料 庫,原來的安全性原則資料庫又拒絕訪問,我想是因為這個原因吧,導致我設定帳戶密碼時 必須用高複雜度來設定,否則就不能更新密碼或增加使用者,我已經停用了域的安全密碼策 略的複雜度.請哪位專家來幫我解決這個問題,??報什麼錯?[Q] fanfan : 就是說點了右健，不能選sharing...[A]你先檢查一下你的網路屬性中允許別人訪問你的檔案了嗎?[Q] 小新 : 請問時間服務有什麼用,我把伺服器上的時間服務都STOP了[A]這是不好的.很多情況下都要用到TIME SERVER,比如說AD複製等.[Q] mengmengbug : 那麼有什麼辦法可以讓網域控制站不再去尋找其它時間伺服器呢？[A]它去找什麼時間伺服器了,你怎麼看出來的?[Q]小新 : 這麼說時間服務還是要開起來嗎?[A]那是肯定的[A]lyp ,系統報什麼錯?[Q]lyp : 我現在的問題是系統運用的密碼複雜度這個策略,而我現在無法來更改這個策略,因為本地安全性原則打不開[A]是AD嗎?[Q]lyp : 報的錯是Window無法開啟本地策略資料庫,您試圖開啟的資料庫不存在[A]如果丟失下面任何一個檔案夾結構，就會出現該問題： %SystemRoot%\Sysvol\Sysvol\DomainName %SystemRoot%\Sysvol\Sysvol\DomainName\Policies %SystemRoot%\Sysvol\Sysvol\DomainName\Policies\{GUID} %SystemRoot%\Sysvol\Sysvol\DomainName\Pol在 Microsoft Management Console (MMC) 中，啟動"Active Directory 使用者和電腦"嵌入式管理單元。在查看菜單中，單擊進階功能。 單擊系統檔案夾旁的加號 (+)。 單擊策略檔案夾旁的加號 (+)。 GPO 的 GUID 將按檔案夾列出。 使用 Ldp.exe從零售 Windows 2000 CD-ROM 的 Support\Reskit\Netmgmt\Dstool 檔案夾中，啟動 Ldp.exe。 在 Connection 菜單上，單擊 Connect。 鍵入伺服器名，確認連接埠設定為 389，單擊清除 Connectionless 複選框，然後單擊 OK。 一旦完成串連，特定伺服器的資料將顯示在右邊窗格中。 在 Connection 菜單上，單擊 Bind。 在相應的框中鍵入使用者名稱、密?[Q] 黑色颶風 : 重裝伺服器如何把win2000server的AD和組策略備份出來？[A]把對應的檔案備份好,重裝好後再串連進去就可以了.黑色颶風 : 如何備份系統狀態資料？謝謝！[A]附件,備份工具.結束語Guide_Wendy_MS : 我們的聊天馬上就要結束了.謝謝大家的熱情參與,並請大家關注下周四同一時間專家線上聊天.謝謝大家,謝謝滄海!VFanYan[MVP] : 今天我們的討論會到此結束!