徐火军博客

Windows Sysinternals Suite 是一套由微软官方免费提供的系统工具集，其中包含了大量超级实的优秀绿色小软件，譬如Desktops (虚拟桌面)、Process Explorer (进程浏览器)、Autoruns(系统启动项管理)等等，每一款都非常实用，绝对值得你了解、收藏并学习使用它们。 这些小工具原本是为了解决工程师们平常在工作上遇到的各种问题而开发的，之后他们将这些工具集

1. 用户需求与面临的问题    当前用户已有MS Active Directory Server（简称：AD）作为统一用户管理平台。AD对多个应用的用户验证和用户的基本信息进行维护，其中包括对用户的新增、重名、删除、信息修改与用户组的维护。     IBM Lotus Domino 平台是业界流行的办公自动化(简称：OA)，为企业快速建立其符合企业要求和管理思路的办公自动化软件系统。在Domino 平台也内含符合国际标准的用户目录系统，提供企业级用户目录与认证服务。     AD是已存在的统一用户目录系统

<br />前几天，有一个朋友打电话给我，反应他们公司出现一个问题，所有新建Exchange Server 2007用户的邮箱都不能访问，然后在邮箱数据库下面却发现邮箱的确存在，并无异常，邮件系统日志也无异常。后来建议他检查一下AD有无明显异常，尤其是RID主机，AD时钟同步与复制有无异常，最近是否做过什么操作。经回顾，之前出现过exchange证书过期，重新创建过exchange证书。AD检查也无明显的异常，日志中存中证书相关错误信息。证书重新生存之后并无明显错误，问题后来找到了，原因是重新生成证书之后两

<br />在AD的规划与设计的过程中，在完成林的设计之后接下来就是要对域进行规划与设计，域的规划与设计也是非常重要，在AD里面流行14个字来概括林与域之间的关系，即“林是安全的边界，域是管理的边界”，可见的域的设计重要性。<br />一、选择单域还是多域？<br />AD域的设计至少有一个域，如果有多个林，每个林至少一个域，单一域具有以下几个优点：1.单一域是成本最低廉的选择，额外域会增加软硬件及系统管理的成本；2.单一域比较容易管理，管理费用及相关的成本会随着域的增加而提高，发生严重故障时，单一域较易进

对于一个大型企业或跨国企业来说，在基础架构的规划问题上往往面临一个问题，如何规划森林的架构，林的规划是AD规划的第一步，是根基。在进行森林的规划的时候，需要做到以下几个动作：一、采用单林还是多林架构？在对企业基础架构规划与设计的开始，单林是作为一个预设值来进行规划的，然后依照商务需求再增添额外林。对于非常庞大企业、子公司及分支机构非常多的企业来说，目录十分庞大，复制可能造成问题。虽然可以使用域来分割目录资料并控制与数据中心域的信息复制，但实际上复制的时候仍需要复写整个森林，这些内容包括设定数据、结构描述和通

大家都知道，在2000和2003时代，当我们从AD中删除某个对象时，其实AD并非将此对象直接删除，而是将此对象标记为墓碑对象。并且，墓碑对象会在活动目录中再保存60天时间，这个时间即墓碑生存时间。此墓碑生存时间可由管理员使用Adsiedit.msc进行修改，我们只需要找到Configuration/Services/Windows NT/Directory Service下的tombstoneLifetime属性进行更改即可。Windows Server 2008 时代活动目录对象保护在Windows Se

  情况一：主域控完全当机，不可能回来了，在额域控上使用seize 强制夺取过来。  情况二：主域控和额域控都是好的，想更新主控服务器，在额域控上使用transfer转移角色（GUI界面操作也可）  注意，情况一的主域控（如果运气好回来了）要重装系统，且在额域控上要删除主域控的信息（后面有介绍）  首先的了解的知识（基本知识）：FSMO中文翻译成操作主控，在说明FSMO的作用以前，先给大家介绍两个概念:　　单主复制:所谓的单主复制就是指从一个地方向其它地方进行复制，这个主要是用于以前的NT4域，我们知道，在

问：对于企业是AD的规划是单林单域好还是多林多域好？答： 对AD的规划外资企业与非外资企业规划的区别是非常大的，在外资企业当中（含跨国外企与港台企）一般至少有两个以上的林，国外一个林，国内一个林，一个或一个以上域，有些外企则把中国划分多个区域，每个区域为一个子域，数据中心部署父域（父域一般很少或不建立其它账户）及重要子域的额外域，外企对AD的安全性要求非常高（顺便提到两个概念：林是安全的边界，域是管理的边界，外企这样规划是有一定道理）。而国内企业为了减小管理的复杂度多数为一个域一个林，通过站点来管理各分支机

<br />类型：错误<br /><br />来源：Userenv<br /><br />类别： 无 <br /><br />事件 ID：1058<br /><br />用户：NT AUTHORITY/SYSTEM<br /><br />计算机：SERVER<br /><br />描述：Windows 无法访问组策略对象的 gpt.ini 文件 <br />CN={31B2F340-016D-11D2-945F-00C04FB984F9},CN=Policies,CN=System,DC=lcds,DC=l

<br />微软的产品发展太快了，windows server 2008 R2 SP1都推出来了，但是目前还是有不少企业的AD还是停留在windows 2000、windows 2003时代，更有甚者还是windows server NT 4.0。这就意味着许多系统工程师还要熟悉windows NT到windows 08 R2之间各个产品的AD的一些特点，只有熟悉这些产品，才能保障有实力为客户进行基础架构升级。windows server nt 4.0 AD升级到windows server 2008 R2

活动目录中的对象由使用组织单位 (OU) 进行组织。OU 的设计具有两项主要因素：目录对象管理的委派以及组策略对象 (GPO) 的应用。OU 设计应该反映出在网域中管理对象的方式。 变更 OU 设计并不困难，但是因为必须小心地操控访问控制列表，所以可能会较为复杂。一旦建立委派和组

站台设计是将实体网域对应到 Active Directory 内建构的逻辑站台的对应作业。Active Directory 内的站台是一个或多个具有良好联机的 TCP/IP 子网的逻辑集合。藉由设定站台间复写的排程，可以用站台来控制目录复制。站台也可以将客户端系统导向至 Acti

问：现时我客户做了域的升级，从03的域环境升级至08环境，两个域是独立关系，使用ADMT对用户进行迁移，现在的问题是我们有文件服务器，而且该文件服务器是旧域的主DC，我们如何才可以保留文件服务器的用户权限的前提下，从A域更换至B域呢？谢谢。 回答：根据您的描述，您是的环境是这样的：一个老域是2003为server的；现在有一个新域时以2008为基础的；但是现在您用ADMT之类的工具把2003中的账

域控制器部署在虚拟化环境，应该需要注意有许多问题，但有一个小问题往往被大家忽视，但却非常重要。域控制器部署在ESX/ESXI环境里面，最好要配置NTP时钟服务器，而且这个时钟服务器最好不是ESXI里面的虚拟主机。配置时间服务器的方式有两种，第一种是在ESX/ESXI上面给整个虚拟机环境配置一个NTP时间服务器，即使配置了时钟服务器，我们还是要非常注意PDC的时间变化；其实更好的是第二种做法，给域管

windows 基础架构活动目录被许多IT人认为很简单，没有什么技术含量，恰好是这个简单的技术，却让许多IT管理员为之头疼，出现一大堆错误。今天在这里介绍两个低级错误。第一个故障现象：一个公司当初由于成本的原因只部署了1台域控制器，现在再增加1台域控制器，部署第2台域控制器过程很简单，部署完成之后也未发现什么错误，但经过测试发现关闭最早的1台域控制器之后，Exchange无法正常工作，当前域控制器

Windows server 2012将于10月26日正式发布，windows server 2012虽然在活动目录上的改进不如windows server 2008那么多，但是还是有明显关键地方改进：一、虚拟化方面的改进：在过去我们实施虚拟化AD的时候，不能对DC进行克隆，而是需要新建虚拟机，再进行添加额外域控制器。但是在windows server 2012方面已经有了较大的改进，只需要你当前

环境DC：dc.a.com在这里我就只用了一台DC做演示。如果你的环境中有多台DC，操作和本文章类似。操作步骤一、1.  先来解决第一个常见问题，假设只是SYSVOL和NETLOGOGN共享丢失，但是文件夹结构尚在。这个问题比较好解决。为了模拟故障，我手动将SYSVOL共享取消了。如图1和22.  打开注册表编辑器，找到如下键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentC

它是一个单独的命令行，即导入一个 CSV 文件并使用其中的信息创建数十甚至数百个新的 Active Directory 用户： Import-CSV 'C:\provision1.csv' |ForEach-Object {New-QADUser -organizationalUnit 'company.pri/Singers' -name ($_.'First Name' + '.' + $_.

在许多IT企业由于管理不善，AD用户账号出现大量过期或不在使用中的账户，如何有效导出这些用户账户最后一次登录时间，经过IT部确认之后再删除这些用户，而不是直接删除XX天前未登录的用户（比如有些账户不一定需要登录，但却非常重要，比如一些邮箱账户或资源账户），微软提供了CSDEV工具

以下内容是用来修改用户CN的方法，你也可以用来修改别的属性。建议先在实验环境中使用： 为了满足您修改commonName值的需求，我们认为只有MoveHere方法才能做到这一点。基于此，我找到了一个比较合适的VBS脚本并进行了一点修改。您可以按照我以下的实验步骤尝试一下。

在企业环境中，往往有许多因素需要修改AD登录账号名称，通过表现在：（1）AD账号与邮箱集成号两套账户变成一套，改AD登录账号；（2）AD与OA集成，改AD账户；（3）应用系统的整合，也可能会出现此种需求。下文为AD账号批量重命名方法：环境描述：域：ICSTeam.COM，

前天，在厦门去拜访一个客户，客户IT主管向我反应一个问题windows 7使用windows server 2003 AD组策略统一桌面黑屏，开始还以为是配置问题，但仔细看了一下组策略没有任何问题。客户端是XP的计算机也没有问题，唯独有windows 7客户端登陆会出现问题，而且有时还出现windows 7无法产生用户配置文件，只有使用临时配置文件登陆？是什么原因造成此问题，后来与微软的工程师沟通解决了第1个问题，这是由于windows 7一个bug造成，需要打上补丁才可以，微软KB http://sup

ON ERROR RESUME NEXT                               Set up some variables and constantsDim ChoiceDim Drive, DriveCollection, DriveObjDim EnvLogonServer, EnvOpSystem, EnvWinDir, EnvTempDir, EstNumOfM

本文以图片的方式概述从 Windows Server 2003迁移到 Windows Server 2008全过程。本文假设案例如下：原 Domain Control情况如下：计算机名： DC2003.itpro.local（FQDN）IP地址： 192.168.255.1/24 （DNS:192.168.255.1）操作系统： Windows Server 2003 Enterp

　如果按常规的方法装好一台2003系统后（这里指的不含WEB版），想把它添加到一个已有2000域里面担当额外的域控或子域控。前提是要准备一些工作的。如果在2003上强制加入2000域，就算你有正确的帐号，那么还是出现以下警告，“由于以下原因，操作失败: Active Directory 安装向导不能继续，因为林没有为安装 Windows Server 2003 准备好。使用 Adprep 命令

  我们公司有很多OU在AD里,在我将电脑加入域的时候发现电脑会进入到BUILTIN的computer容器,那如何自动的进入某个OU呢,我看了一下我现在site和subnet都是正确的。谢谢你的回复,有没有办法让电脑自动去某个OU,因为整个域中会有很多电脑,我不可能去帮每个电脑创建帐号.回答：你可以事先在相应的ou中建立相应的计算机账户，这样客户端在加入域的时候，发现在ad数据库中已经有自

DCDiag.exe 有何功能？此命令行工具可以分析林中一个或所有域控制器的状态，并报告任何问题以帮助进行疑难解答。DCDiag.exe 由各种测试组成，这些测试可以单独运行，也可以作为套件的一部分来验证域控制器的健全性。工具要求• 除非是下面声明的情况，否则，DCDiag 中的所有命令可以在 Windows XP Professional 和 Windows Server 2003 家族

公司的域运行到现在,已经超过了3年,在使用的过程中,不断往里面添加用户账户和计算机账户,中途经常发生电脑系统坏掉,重装系统的事情,最要命的是电脑命名规则该了好几次,所以,在计算机这个容器里面,同一台电脑可能会拥有1条以上的记录(旧命名规则和新命名规则都有记录),当然只有1条是有效的;让人同样困扰的还有用户账户,有人离职后,他的登陆账户可能会转给新来的同事,也可能就此废弃,无人使用.这些没有使用的电

关于域的重命名也是很多网络管理人员近几年遇到的比较多的一个现象，往往是由于公司内部或外部的一些原因而导致公司的名称发生变化，那么公司的域名也要发生相应的变化，但是由于域构架的特殊性，所以对域进行重命名可不像对修改计算机的主机名这么简单，那么接下来我将为大家详细说一下域的重命名的操作流程。　　先给大家罗列一下实验环境:　　原域域名:demo.com　　域控制器:server.demo

概览: 将新的服务管理器与 ADDS 结合使用 在 Server Core 上运行域服务 只读域控制器 更改密码、备份和审计 Windows Server 2008 中的服务器管理器对于 Active Directory，我首先要讨论的两项改进并不是 Active Directory 域服务 (ADDS) 中的更改；而是 Win

 前天晚上，个人以前所在公司同事打过来电话，反应客户端有些电脑登录到域环境时间用时非常久，登录时一直停留在用户文件配置的过程中。但登入之后其他都很正常。开始我怀疑是不是客户端出现问题，后来被否决。接下来让客户端PING一下机房的任何一台服务器发现也是十分正常，无任何网络重大延迟和丢包。既然客户端和网络连接没有问题会不会是服务器问题呢，让以前同事去检查服务器，结果给出的几个错误日志都不是导致这个问题

  怎么可以查到AD里面长时间没有登录的帐号 因为以前许多原因,建立了一些帐号. 现在想清理一下,想将长时间没有用的帐号删除掉.请问可以用什么工具或者方法, 查到AD里面长时间没有登录的帐号呢?谢谢!

Active Directory 数据库Active Directory 是一个事务处理数据库系统，它使用日志文件来支持回滚语法，从而确保将事务提交到数据库中。与 Active Directory 关联的文件包括：Ntds.dit — 数据库。Edbxxxxx.log — 事务日志。Edb.chk — 检查点文件。Res1.log 和 Res2.log — 预留的日志文件。

  例子是这样的： 　　 一个森林里有两个树，mm.com和cc.com，分别有dc www.mm.com和vdc.cc.com， cc.com域的控制器崩溃，不想恢复，要彻底删除这个域，由于vdc.cc.com已经格式化或由于某些原因不能正常工作，我们就要手动在森林里删掉cc.com这个域（树），否则网络邻居的目录中、活动目录域与信任关系、活动目录站点和服务、以及文件夹或文件的安全标签的添加

AGDLP原则。我想看看关于AGDLP的文档，可惜一时找不到，可否提供，谢谢！　 回答：根据您的描述，我对这个问题的理解是：您希望获得AGDLP的相关说明文档。什么是AGDLP?============== AGDLP是微软所推荐的、在多域森林中使用的、高效的安全组管理方法。其中， A：User Account (用户账号)G：Global Group (全局安全组)

enable ndsi diagnostics log:    hklm/system/currentcontrolset/services/ntds/diagnostics    取值范围：0-3    可在事件查看器目录服务中查看，3为上限,日志量相当大，应注意调整日志文件大小。    2、dcdiag    dcdiag /v（详细输出） /c(开启所有项的测试) /a（

CSVDE逗号分隔值数据交换工具（即 CSVDE）允许您使用 CSV 源文件将新对象导入到 Active Directory 中；此外，该工具还提供了将现有对象导出到 CSV 文件的功能。CSVDE 不能用于修改现有对象；在导入模式下使用此工具时，您只能创建全新的对象。使用 CSVDE 导出现有对象的列表相当简单。将 Active Directory 对象导出到名为 ad.

      轻型目录访问协议LDAP是一种用来查询与更新AD的目录服务通信协议,Windows Server域利用"LDAP命名路径"来表示对象在AD内的位置,以便利用它来访问在AD内的对象.LDAP名称路径包括以下内容:DN(可分辨名称),它是对象在AD内的完整路径,例如下图所示CN=总经办_黄云,OU=GMOFFICE,OU=XXXX(GMOFFICE上一层OU),DC=ABC

本指南引入了活动目录服务批量管理，您可以使用LDAP Data Interchange Format（LDIF，LDAP数据交换格式）工具实现这一操作，也可以使用VBScript开发系统编写简单程序实现这一操作。使用这些工具，您可以导入、导出及修改诸如用户、通讯录、组、服务器、打印机及共享文件夹的对象。 使用LDIFDE工具完成批量操作。将Reskit域中Marketing组织单元（OU）

    在公司，有个部门反映底下员工经常看电影，听音乐，固要求将所有计算机的声卡禁用。检查注册表发现，WINDOWS存在一sysaudio服务，如下图：其中start值默认为3（即处于手动模式），将值修改为4（即禁用）后，重启计算机，设备管理中的核心声音设备就会出现叹号（如下图），使声卡不工作，达到了禁用声卡的目的。        所以我们可以使用组策略修改注册表，或者使用