Demo AD Site and Subnet (Note)

Demo AD Site and Subnet (Note)

1.首先更改Default-First-Site-Name名字,這裡使用SiteA(圖1)
2.在site節點新增site,這裡共新增2個兩 (圖2)
3.在subnet新增subnet, 要新增所有subnet, 這裡新增172.16.0.0/16 與10.1.0.0/16 (圖3,4)
4.在10.1.0.0 subnet上添加額外DC (注要指向DNS Server)  (圖5,6,7)
   4.1 因為我另一台準備成為DC的主機為R2,在使用dcpromo時出現failure,查看原因為schema問題(http://support.microsoft.com/kb/917385/zh-cn) , 然後在schema master的主機上執行extend ,然後再以正常手法安裝DC,成功安裝(圖8,9,10,11)
5.安裝完成後,一定要檢查DNS設定, 例如name servers, Zone Transfers還有SRV,GC記錄

(圖1)

(圖2)

(圖3,4)

(圖5,6,7,)

(圖8,9,10)

下圖為在schema master的主機上執行

Read More

Demo GPO Local Policy (audit Policy) and software 限制

Demo GPO Local Policy (audit Policy) and software 限制


1.設用戶登入audit (圖1)
2.設管理用戶audit (圖1)
Note:管理用戶包括A user account or group is created, changed, or deleted, A user account is renamed, disabled, or enabled, A password is set or changed.
3.限制軟件訪問 , 測試calc 和 regeidt (圖2,3)
4.使用regeidt 默認enable remote desktop 
Computer Configuration > Administrative Templates > Network > Network Connections > Windows Firewall > Domain Profile > Windows Firewall: Allow Remote  Exception (圖4)

Computer Configuration > Administrative Templates > Windows Components > Terminal Services > Allow users to connect remotely using Terminal Services (圖5)


MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server


圖1

圖2

軟件限制,首給自己留後路,在enforcement上要configure all user.

圖3

圖4

圖5

Read More

Demo GPO domain 用戶密碼機制

Demo GPO domain 用戶密碼機制 

1.密碼長度為7
2.最長使用期限60天
3.必須符合複雑性
4.密碼最短使用0天
5.打錯5次密碼會lock用戶
6.半小時後自動unlock用戶
7.強制密碼記錄為5




執行gpupdate /force 然後檢查setting, 查看一次

Read More

AD 安裝後确認 (Note)

AD 安裝後确認 (Note)

1. 查看 Internet Protocol (TCP/IP) propertire --> 檢查DNS是否正確 (若是127.0.0.1 的話,最好重指定到本機IP)

2. 查看DNS , 如下圖會出現 _msdcs.domainname (_msdcs.fucktheit.local) 和 domain (fucktheit.local) 兩個folder, 上4 下6. (其中 _msdcs.fucktheit.local 區域是因為在AD安裝時順便安裝DNS所產生,它是專供其他DC來注冊用的)

2.檢查SRV 記錄 ( _gc, _kerberos, _kpasswd, _ldap ) , 圖中因為已有一台DC2 join進了domain

3.檢查 Default-First-Site-Name, 默認會有_gc, _kerberos, _ldap

4.ping 自己的DC, DNS Server Name. 查看DNS是否工作正常.

5.使用net share 查看是否有將該share的文件share出來.

6.完善password保存, 尤其還原模式管理員密碼.

7.在evnet view會出現dicectory service, DNS Service, File Replication Service. 如果出現erro就會仔細檢查

8.當需要排錯時,以下方法可以有幫助:
   8.1  ipconfig /registerdns (重新手動登記,必須在dns設定允許)

 8.2重新啓動net logon service

Read More

WSUS Notes (筆記)

WSUS Notes (筆記)

Ref:
Step-by-Step Guide to Migrating from Software Update Services to Windows Server Update Services 2.0
Deploying Microsoft Windows Server Update Services 2.0
Updating Windows Vista Beta 2 Computers

1.安裝WSUS所必須軟件(本試在windowsServer2003)
The following software is required for running WSUS on Windows Server 2003:
·  Microsoft Internet Information Services (IIS) 6.0. For instruction about how to install IIS, see Install and Configure IIS.
·  Background Intelligent Transfer Service (BITS) 2.0; go to the Download Center at http://go.microsoft.com/fwlink/?LinkId=47251.
·  Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003; go to the Download Center at http://go.microsoft.com/fwlink/?LinkId=35326.
An alternative is to go to Windows Update at http://go.microsoft.com/fwlink/?linkid=47370 and scan for Critical Updates and Service Packs. Install Microsoft .NET Framework 1.1 Service Pack 1 for Windows Server 2003.

2.安裝時使用默認選項(使用http 80 port)

3.安裝完成後,在client使用GPO. 

Note: 當Enable client-side targeting 沒有指定時,在WSUS將顯示為Unassigned Computer, 可先在WSUS建立NEW COMPUTER GROUP 然後在這項上指定.

在Specify intranet microsoft update service location 上只要打上http://servername:port 就可以


4.WSUS  Server部份,在all computer new group for test如下圖

 在option上做一些基本設置,要求client使用GPO

一般環境使用synchronize from microsoft update 就可以, 使用autonomous mode就可以,如果想選用replica mode可以在這裡設置.


如果在測試時遇到問題可以使用ClientDiag.exe(需要自己另外下載), 來做troubleshoot.如下圖

5.最後就是對update後對應用的是否有影響的測試, 長期做戰.... 
使用monitor tool 來對系統的cpu , bandwidth , memory , application 來監控是否有影響
還有要留意event log的情況.

Read More

記住這8句話，你至少成熟5歲！(轉載)

1.

如果你不喜歡現在的工作，要麼辭職不幹，要麼就閉嘴不言。

初出茅廬，往往眼高手低，心高氣傲，大事做不了，小事不願做。

不要養成挑三揀四的習慣。

不要雨天煩打傘，不帶傘又怕淋雨，處處表現出不滿的情緒。

記住，不做則已，要做就要做好。 ­

2.

每個人都有孤獨的時候。

要學會忍受孤獨，這樣才會成熟起來。

年輕人嘻嘻哈哈、打打鬧鬧慣了，到了一個陌生的環境，面對形形色色的人和事，一下子不知所措起來，有時連一個可以傾心說話的地方也沒有。

這時，千萬別浮躁，學會靜心，學會忍受孤獨。

在孤獨中思考，在思考中成熟，在成熟中昇華。

不要因為寂寞而亂了方寸，而去做無聊無益的事情，白白浪費了寶貴的時間。 ­

3.

不要像玻璃那樣脆弱。

有的人眼睛總盯著自己，所以長不高看不遠；總是喜歡怨天尤人，也使別人無比厭煩。

沒有苦中苦，哪來甜中甜？

不要像玻璃那樣脆弱，而應像水晶一樣透明，太陽一樣輝煌，鑽石一樣堅強。

既然睜開眼睛享受風的清涼，就不要埋怨風中細小的沙粒。 ­

4.

管住自己的嘴巴。

不要談論自己，更不要議論別人。

談論自己往往會自大虛偽，在名不副實中失去自己。

議論別人往往陷入雞毛蒜皮的是非口舌中糾纏不清。

每天下班後和你的那些同事朋友喝酒聊天可不是件好事，因為，這中間往往會把議論同事、朋友當做話題。

背後議論人總是不好的，尤其是議論別人的短處，這些會降低你的人格。 ­

5.

機會從不會“失掉”，你失掉了，自有別人會得到。

不要凡事在天，守株待兔，更不要寄希望于“機會”。

機會只不過是相對于充分準備而又善於創造機會的人而言的。

也許，你正為失去一個機會而懊悔、埋怨的時候，機會正被你對面那個同樣的“倒楣鬼”給抓住了。

沒有機會，就要創造機會，有了機會，就要巧妙地抓住。 ­

6.

若電話老是不響，你該打出去。

很多時候，電話會給你帶來意想不到的收穫，它不是花瓶，僅僅成為一種擺設。

交了新朋友，別忘了老朋友，朋友多了路好走。

交際的一大訣竅就是主動。

好的人緣好的口碑，往往助你的事業更上一個臺階。 ­

7.

千萬不要因為自己已經到了結婚年齡而草率結婚。

想結婚，就要找一個能和你心心相印、相輔相攜的伴侶。

不要因為放縱和遊戲而戀愛，不要因為戀愛而影響工作和事業，更不要因一樁草率而失敗的婚姻而使人生受阻。

感情用事往往會因小失大。 ­

8.

寫出你一生要做的事情，把單子放在皮夾裏，經常拿出來看。

人生要有目標，要有計劃，要有提醒，要有緊迫感。

一個又一個小目標串起來，就成了你一生的大目標。

生活富足了，環境改善了，不要忘了皮夾裏那張看似薄薄的單子。

轉載: LINK

Read More

看懂這四個故事,你多活十年( 轉載)

•  第一課

一個男人在他妻子洗完澡後準備進浴室洗澡。這時，門鈴響了妻子迅速用浴巾裹住自己沖到門口當她打開門時，鄰居鮑勃站在那兒。在她開口前，鮑勃說，“你如果把浴巾拿掉，我給你800美元想了一會兒，這個女人拿掉浴巾赤裸地站在鮑勃面前。幾秒鐘後，鮑勃遞給她800美元然後離開了。女人重新裹好浴巾回到屋裏。當她踏進浴室時，丈夫問她，“是誰呀？”“是鄰居鮑勃。”她回答。“哦，”丈夫說，“他有沒有提到還欠我800美元？

《故事寓意：及時與同舟共濟的股東分享重要資訊，將會避免不必要的曝光。》

• 第二課

一個銷售員、一個辦事員和他們的經理步行去午餐時發現了一盞古代油燈。他們摩擦油燈，一個精靈跳了出來。精靈說：“我能滿足你們每人一個願望。”“我先！我先！”辦事員說，“我想去巴哈馬群島，開著快艇，與世隔絕。”倏！她飛走了。“該我了！該我了！”銷售員說，“我想去夏威夷，躺在沙灘上，有私人女按摩師，免費續杯的冰鎮果汁朗姆酒，還有一生中的最愛。”倏！他飛走了。“OK, 該你了。”精靈對經理說。經理回答：“我要那兩個蠢貨午飯後馬上回來工作！

《故事寓意：永遠讓你的老闆開口先。》

• 第三課

一隻鷹坐在高高的樹上休息，無所事事。一隻小兔子看見鷹並且問它，“我能象你一樣坐著什麼都不幹嗎？鷹回答：“行啊，為啥不行。於是，兔子坐在鷹下面的地上休息。突然，一隻狐狸出現了，它撲到兔子身上把它吃掉了。

《故事寓意：要想坐著無所事事，你必須坐在非常、非常高的位置。》

• 第四課

一隻小鳥飛去南方過冬。天實在太冷了。它凍僵了，掉在一片田野上。它躺在那兒時，一頭母牛走過來在它身上拉了一堆屎。凍僵的小鳥躺在糞堆裏，開始感覺到了溫暖。牛糞確實使它暖和過來了。它躺在溫暖的牛糞中，異常高興，並開始唱起歌來。一隻過路的貓聽到鳥叫趕過來看個究竟。順著聲音，它發現了牛糞下的小鳥，並迅速把它拖出來吃掉了。

《故事寓意：(1) 並不是每個在你身上拉屎的都是你的敵人。

                          (2) 並不是每個把你拖出糞堆的都是你的朋友。

                          (3) 當你深陷糞堆中的時候，最好閉上你的鳥嘴。》

•  外一篇 

國王有七個女兒，這七位美麗的公主是國王的驕傲。她們那一頭烏黑亮麗的長髮遠近皆知。 所以國王送給她們每人一百個漂亮的髮夾。有一天早上，大公主醒來，一如往常地用髮夾整理她的秀髮，卻發現少了一個髮夾，於是她偷偷地到了二公主的房裏，拿走了一個髮夾。 二公主發現少了一個髮夾，便到三公主房裏拿走一個髮夾； 三公主發現少了一個髮夾，也偷偷地拿走四公主的一個髮夾； 四公主如法炮製拿走了五公主的髮夾； 五公主一樣拿走六公主的髮夾；   六公主只好拿走七公主的髮夾。 於是，七公主的髮夾只剩下九十九個。隔天，鄰國英俊的王子忽然來到皇宮， 他對國王說：「昨天我養的百靈鳥叼回了一個髮夾，我想這一定是屬於公主們的，而這也真是一種奇妙的緣分，不曉得是哪位公主掉了髮夾？」 公主們聽到了這件事，都在心裏想說：「是我掉的，是我掉的。」 可是頭上明明完整的別著一百個髮夾，所以都懊惱得很，卻說不出。 只有七公主走出來說：「我掉了一個髮夾。」話才說完，一頭漂亮的長髮因為少了一個髮夾，全部披散了下來，王子不由得看呆了。 故事的結局，想當然的是王子與公主從此一起過著幸福快樂的日子。

為什麼一有缺憾就拼命去補足？ 一百個髮夾，就像是完美圓滿的人生，少了一個髮夾， 這個圓滿就有了缺憾； 但正因缺憾，未來就有了無限的轉機，無限的可能性，何嘗不是一件值得高興的事！ 人生不可免的缺憾，你怎樣面對呢？

逃避不一定躲得過

面對不一定最難受

孤單不一定不快樂

得到不一定能長久

失去不一定不再有

轉身不一定最軟弱

別急著說別無選擇

別以為世上只有對與錯

許多事情的答案都不是只有一個

所以 我們永遠有路可以走

你能找個理由難過 你也一定能找到快樂的理由

懂得放心的人找到輕鬆

懂得遺忘的人找到自由

懂得關懷的人找到朋友

天冷不是冷,心寒才是寒,願你的心都是暖暖的

人的長大伴隨著一些失落,人的成熟附帶著一些傷痕

好在有希望這東西,你總還可以去等；

好在人與人之間，距離產生美感；

好在生命裏,快樂比痛苦多；

好在這個世界,還有很多美麗；

好在當你成熟的時候，你還不算一無所有！

看到了，悟到了，保證你多活十年！！！！！

轉載: LINK

Read More

AD domain / forest trusting (域與林信任)

AD domain / forest trusting (域與林信任)

A domain trust B domain
A domain call trusting domain(信任域) , B domain call trusted domain(受信任域)
B domain 可以login A domain使用 A domain的資料 , 同時trust分為 one-way trust 和 two-way trust. 當垮域訪問時, 負責驗證服務是LSA( Local Security Authority), 驗證用戶身份可以有NLTM和Kerberos.

Read More

Microsoft Ntbackup 使用簡介

Microsoft Ntbackup 使用簡介

ntbackup 是windows 內置的備份軟件, 簡單介紹其5種備份

1.正常備份(normal backup)
2.副本備份(copy backup)
3.增量備份(incremental backup)
4.差異備份(differental backup)
5.每日備份(dialy backup)

首先知道下圖"Folder is ready for archiving" , 當建立新文件時系統會在該文的的properties -> advanced -> folder is ready for archiving上打上標記, 又或者當文件有改動後亦會標上標記 (normal backup 和 incremental backup後會除去標記)

增量備份(incremental backup)應用
假設星期一做normal , 星期二至星期日都使用incremental , 那麼當想還原該期六的資料時應該使用: 星期一的normal + 星期二至星期五的incremental

差異備份(differental backup)應用
假設星期一做normal, 星期二至星期日都使用differental,那麼當想還原該期六的資料時應該使用:
星期一的normal + 星期五的differental

最後當做完備份後記著要看report

Read More

DFS 筆記 安裝 (Part1)

DFS 筆記 安裝 (Part1)

安裝條件:
1. 要擴展 Sechma , 當AD內 DC Controler都做了replication後 使用adprep.exe /forestprep , adprep.exe在R2安裝CD的Cmpnents\R2\Adprep. 
2. 使用windows server 2003 R2或以的版本
3. 留意防毒軟件兼容
4. 還是要用NTFS

安裝DFS, windows components: "microsoft .net framework2.0" 和 distributed files system

NOTE: DFS Replication service 不支持SYSVOL的複制, SYSVOL的複制還是由FRS(File Replication Service)來做, 同一台計算機內他們可以共存

Read More

升斗之歌 : 開心快活人

坐在一個六歲小好孩角度去看世界

Read More

實用的fileacl語法

使用fileacl可以有效地查詢修改NTFS文件PERMISSION

產成cmd文件儲存舊NTFS文件的permissoin,用cmd文件還原文件原有permission

C:\fileacl>fileacl C:\MYAPPS /BATCHREAL /SUB /FILES /FORCE > C:\permrest.cmd

查看文件的Permission 及 owner
C:\fileacl>fileacl C:\FILEACL /LINE /SUB /FILES /FORCE >TESTTTT.TXT

詳細可以去官網上看

Read More

文件管理工具EasyFilePrint

偶然發現一個好用管理文件工具 EasyFilePrint,使用他可以很快列出你想知的Folder或者邏輯Drive 所存在的文件,使用簡單易明!!當然你喜歡的話可以使用dir >> list.txt,但就是沒這麼美觀~

Interface:

Result:

感興趣可以去紅淚網看看

Read More

偉大航道

歌詞真的寫得很好 ,好好品賞,各位!!

Read More

微軟live spaces 要關門了!

今天食中午時,同事突然說:"微軟的live spaces要close了!"
我還有點懷疑, 晚上回家一看, 對微軟這間公司又多了一分失望~

簡單來說現在只有三個方案:
一是轉移原有的Live Spaces網站至WordPress.com，或是下載部落格的備份檔案，要不然就是乾脆刪除整個部落格。

Read More

文書小幫手DeskPins & Alt-Tab Task Switcher powertoy for Windows XP

因為工作上原因往往要開上好幾個文檔,在windows的介面內不停地穿插文件
做一些文書上的copy and paste又或者打上好一段的分字......
到最後就要做一次audit,看看自己有沒有做漏做錯.

而我經常使用到的有兩個小軟件DeskPins和Alt-Tab Task Switcher powertoy for Windows XP

DeskPins可以將你的文件介面固定顯示在最前,可以不讓其他文件的介面擋住.

Alt-Tab Task Switcher powertoy for Windows XP可以很好地做切換,有圖有真面,你可以清晰地知道自己切換到哪裡.

哪裡可以找到這些小工具, please ask goole, 你只要在google打上軟件名字就可以.

Read More

莫生氣

人生就像一場戲 因為有緣才相聚
相扶到者不容易 是否更該去珍惜
為了小事發睥氣 回頭想想又何必
別人生氣我不氣 氣出病來無人替
我若氣死誰如意 況且傷神又費力
鄰居親朋不要比 兒孫瑣事由他去
吃苦享樂在一起 神仙羡慕好伴侶

Read More

NOTE: Group Nesting 使用法則

A=account , G=Global group, U=universal group, DL = Domain Local, P=permission

A, G, DL, P
A, G, G, DL, P
A, G, U, DL, P
A, G, G, U, DL, P

Read More

NOTE: Group組類型簡介

前兩天朋友突然問我,在AD裡面universeral 與 Domail Local有怎麼分別?
仔細想想,我理解也比較模糊,找了一些資料,做一下筆記

對system admin來說group(組)的應用必不可少
例如最常見到將同一部門的人設為一個group,然後只在這個group設定permission

在AD由group scope分為三個: Domain Local, Global, Universal
Universal group(通用組): 成員可以是整個forest任一user、任一universal group、任一global group,可以在任一domain設定universal permission.

Global group(全局組):成員只能夠為所屬domain內的任一user和任一global group,在該domain內設定group permission.

Domain local group(本地組):成員是任一個domain內的user、任一domain global group、任一domain universal group和同一domain內的domain local group. domain local group只能訪問同一個域內的source.

上面將組加入組的做法叫做"group nesting",可以很好地減少system admin重覆操作

文章轉載請注明出處

Read More