我们有一台 Windows 7 笔记本电脑,它最近加入了我们的 SBS 2003 域。当连接到网络时,一切正常,但是当网络电缆被移除时,我们开始遇到问题。
大多数帐户在大约 40-60 秒的延迟后登录。这对于使用缓存凭据登录是否正常?我期待它会快得多。
更糟糕的是,一些域用户帐户的行为就像他们的凭据没有被缓存一样,尝试登录后出现以下错误:
我读到了其他类似的问题,标题为“目前没有可用于服务登录请求的登录服务器”,从域中删除 PC 然后重新加入有时可以工作,但想知道是否有人可以 a) 在这里解释潜在问题和 b)提出可能永久解决问题的替代解决方案(我们不能让员工在异地使用该设备时被锁定在该设备之外)。
我们有一名工作人员需要访问网络共享根目录中的单个文件夹。他们应该无法访问共享中的所有其他文件和文件夹。
我想如果我只添加“遍历文件夹/执行文件”和“遍历文件夹/列表数据”,用户浏览共享的根目录就足够了;但是,他们被拒绝访问仅具有这些权限的网络共享本身,因此无法深入到他们需要访问的子文件夹。
我的目标是仅授予遍历网络共享根目录所需的绝对最低权限。
理想情况下,我希望其他用户在此共享的根目录中创建的任何新文件夹自动限制对相关用户的访问(因此新文件夹不应继承用户的遍历权限)。
以下是我必须选择的 NTFS 选项:
需要明确一点:我之所以不简单地对其他子文件夹使用显式拒绝权限,是因为我需要工作人员创建的任何新子文件夹来自动继承阻止新用户访问它们的权限。
我以前从未使用过遍历权限,所以很可能在这里犯了一个基本错误。
任何意见,将不胜感激。
我们的 SBS 2003 服务器上的许多应用程序(所有 MS Office 快捷方式 - Word、Excel、PowerPoint、Adobe Reader 以及组策略管理)都无法正确显示许多快捷方式图标。
清除图标缓存并不能解决问题。该问题会影响登录到服务器的任何管理员帐户,因此它不是特定于用户的问题。
以下是快捷方式图标如何显示的示例:
几个月前,我们在卸载 Exchange 2003 时遇到了麻烦(出现错误,导致组件无法完全卸载,因此根据添加/远程程序,从技术上讲,Exchange 仍在服务器上)。在 Exchange 卸载尝试不成功后不久就发现了此问题。
重新安装受影响的应用程序并没有帮助恢复它们的图标。这里发生了两件有趣的事情:一是在 Exchange 卸载尝试失败后安装的任何程序的图标都没有问题。另一个有趣的事情是,不仅第 3 方应用程序存在此问题,而且本机组策略管理控制台快捷方式图标也存在。但是,快速启动栏中的 AD 用户和计算机快捷方式图标不受影响。
任何想法将不胜感激。
我们的用户越来越多地开始让他们的工作站处于登录状态并且无人看管(在午休时间等)。
为了解决这带来的安全威胁,我们通过组策略实施了受密码保护的屏幕保护程序。
DC 服务器运行的是 SBS 2003,工作站现在大多是 Windows 7(还有几台 XP PC)。
弹出的屏幕保护程序可能会让人分心,并且 30 分钟后屏幕完全空白可能会让一些用户感到困惑,所以我希望工作站在 30 分钟后简单地锁定。显示器最终将关闭电源(60 分钟后)。
自动锁定很容易手动设置...
...但我在组策略中看不到这样做的方法。
有谁知道在这个 SBS 2003/Windows 7 环境中可以实现的方法?
我们每周在异地轮换 2 个 TrueCrypt 加密 USB 硬盘驱动器(“ BACKUP 1 ”和“ BACKUP 2 ”),用于我们的数据备份系统。
对于这两个驱动器,物理驱动器没有分配给它的驱动器号(不是必需的);但是,两个已安装的虚拟驱动器都分配有字母“V”。
谁能建议一个脚本来记录外部驱动器的卷标?
我将安排它在每晚运行,因此我可以在任何给定时间查看哪个备份驱动器在现场,从而让我可以查看磁盘轮换是否未按计划完成。
任何想法或建议将不胜感激。
我必须在这里遗漏一些明显的东西。
我们有一个链接到计算机 OU 的 GPO。
当用户登录时,GPO 运行 VB 登录脚本(用户策略)。
我正准备在此 GPO 上启用环回处理以使其生效,但我意识到它已经应用于登录到相关计算机 OU 中的 PC 的所有用户。
AD 中的所有 GPO 目前都没有启用环回处理(我检查了所有这些)。
有谁知道这里可能会发生什么?
我们有一个很棒的 VB 脚本,它添加了多个网络打印机,然后继续选择其中一个作为默认值。
Dim multiPrinter, UNCpath1, UNCpath2, UNCpath3
UNCpath1 = "\\server\printer1"
UNCpath2 = "\\server\printer2"
UNCpath3 = "\\server\printer3"
Set multiPrinter = CreateObject("WScript.Network")
multiPrinter.AddWindowsPrinterConnection UNCpath1
multiPrinter.AddWindowsPrinterConnection UNCpath2
multiPrinter.AddWindowsPrinterConnection UNCpath3
Set WshNetwork = CreateObject("WScript.Network")
PrinterPath = "\\server\printer1"
PrinterDriver = "PrinterDriver"
WshNetwork.AddWindowsPrinterConnection PrinterPath, PrinterDriver
WshNetwork.SetDefaultPrinter "\\server\printer1"
WScript.Quit
这非常有效——唯一的问题是它不会首先删除现有的网络打印机。
这是由批处理文件单独完成的(导致登录时命令提示符窗口在屏幕上闪烁)。
reg delete "hkcu\printers\connections" /f
请有人告诉我如何将批处理文件的功能包含在 VB 脚本中。
这是一个非常基本的问题——但我是 VB 脚本的新手。谢谢。
我们在 Active Directory 中有 2 个域管理员帐户:“Administrator”和“Robocopy”。
Robocopy 是与执行批处理文件的计划任务相关联的服务帐户,该批处理文件运行 Robocopy(在我们的 SBS 2003 文件服务器/域控制器上)。
几年前创建此帐户时,该帐户成为“域管理员”组成员的原因是因为我无法在计划任务中分配非域管理员帐户以在服务器上运行批处理文件。
我现在想尽可能地限制“Robocopy”帐户——包括拒绝它的网络访问,这样它就不能用于登录服务器以外的任何东西。
至少,我希望从“域管理员”组中删除“Robocopy”帐户。
实现这一目标的最佳实践方法是什么?
更新:
可以使用这些默认安全组中的任何一个来实现我想要的吗?
每次员工打开我们的一个数据库应用程序时,我们都会收到一条错误消息,因为 Access 2010 中的默认设置是每次运行宏时都会提示批准:“禁用所有带有通知的宏”。
有什么方法可以通过 SBS 2003 上的组策略在用户登录时为 Access 2010 启用宏?
我们的网络遇到了一个非常不寻常的问题。
有两个站点:总部(1x SBS 2003 服务器和 20x PC:Win7 和 XP 的混合)和通过 VPN 连接的远程站点(1x XP PC,也与总部的 PC 在同一域中)。
我们的域上有大约 10 个安全组,用于为域用户提供对各种网络驱动器的访问权限。在主办公室,一切都按预期工作。
然而,在远程站点,如果某些域用户成为某个特定安全组(称为“_publicprograms”)的成员,他们就会遇到严重的网络问题。如果他们是此安全组的成员,他们将无法查看服务器 (\\server) 上的任何共享,而不是获得更多访问权限(就像在具有此安全组的主站点上发生的那样)。
如果用户随后从“_publicprograms”安全组中删除,从远程站点的 PC 注销,然后再次登录,他们可以再次以正常方式查看和访问服务器上的共享(与安全相关的组和其他,例如连接到服务器的网络打印机)。这个问题是 100% 可重复的。
这很奇怪,因为:
此问题不会发生在具有相同域用户帐户的主站点上,在与远程站点的 PC 位于同一 OU 中的 PC 上
与我们的任何其他安全组相比,此安全组在 AD 中的配置没有明显不同
我什至不会想到安全组成员能够阻止以这种方式在服务器上列出任何(或所有,在这种情况下)共享。我说的不仅仅是用户被拒绝访问共享(可以通过 NTFS 权限来解释),而是无法简单地列出服务器上的共享。
Evan:这是您要求的服务器自己的策略结果集。
或许你能在这里找到线索:
概括:
设置:
政策事件:
当我们网络上的域用户帐户不是任何安全组的成员时,他们可以在大约 2 秒内登录。
但是,当他们是任何安全组的成员时,此登录时间会增加到约 35 秒,并在登录时显示以下消息:
此远程站点 (XP Professional) 只有 1 台 PC,通过 LogMeIn Hamachi VPN 链接连接到 SBS 2003 服务器。
登录后,在访问服务器资源和 Active Directory 集成方面一切正常。
DNS 设置似乎是正确的 - 至少据我所知:
我假设这与驱动器映射有关 - 但不能完全弄清楚它为什么会发生(只是远程站点的问题,而不是主办公室的问题)或者如何让这些用户访问某些资源而不增加半分钟到他们的登录时间。
有谁知道这里可能会发生什么?
如果将两个或更多 GPO 应用于同一个OU(并且它们具有相互矛盾的策略),将应用哪个?
例如,如果有一个 GPO 的计算机策略“在所有驱动器上启用自动播放”在一个 GPO 中设置为“启用”,而在另一个 GPO 中设置为“禁用”,并且它们都应用于同一计算机 OU...会优先吗?
我们有一个批处理文件 ( logon.bat ),它在用户登录时映射驱动器。
此脚本由组策略应用于整个域。
最初,这非常有效,因为我们一直希望应用此脚本。但是,现在我们在远程站点的 PC 通过 VPN 链接访问域。由于驱动器映射脚本和慢速 VPN 链接的结合,这些 PC 可能需要长达 5 分钟才能登录。我通过从“默认域策略”GPO 中删除“logon.bat”进行了实验,远程站点的用户可以更快地登录几分钟。这是完美的——我可以在远程站点为需要网络访问的少数用户手动映射驱动器。
然后我尝试做的是创建两个 OU:“主办公室”(我们要继续使用驱动器映射脚本的地方)和“场外”(用于远程站点,以及属于域的笔记本电脑)加入)。
唯一的问题是,当我从“默认域策略”GPO 中删除对“logon.bat”的引用,并将其添加到应用于“主办公室”的“登录时映射驱动器”GPO 中时,它不再被应用到主办公室。我不能选择性地将驱动器映射仅应用于主站点的用户。
我们不能再继续对这个登录脚本使用全有或全无的方法,因为它会对远程工作的用户产生性能影响。
有谁知道为什么当我尝试让不同的 GPO 处理它时驱动器映射停止工作?
我们网络上的一个域用户最多需要 5 分钟才能登录到一台特定的 PC(其他域用户可以在大约 10 秒内登录,本地帐户只需几秒钟即可在这台 PC 上登录)。
这是一个众所周知的错误 - 但这种不寻常的原因是只有 1 个特定的域用户帐户受到影响,并且仅在一台特定的 PC 上:
这是 Windows XP Professional 的全新安装,几乎没有安装任何软件。唯一的变化是,这是一台通过 Hamachi VPN 网关网络连接到主站点(域控制器所在的站点)的远程计算机。
登录后,登录缓慢的用户也无法在主站点的服务器上浏览网络共享(尽管 ping 中央站点上的主机是成功的)。简单地键入“\\server”不会显示网络共享(对于域用户应该如此),而是 Windows 要求域凭据,就好像本地(而不是域)用户帐户正在尝试访问它一样。
最初我怀疑 DNS 是问题所在,但是当以任一用户身份登录时,DNS 中的所有内容看起来都一样 - 我无法在有问题的用户帐户中找到任何不同的内容:
这绝对不是一个损坏的个人资料——它是在 2 天前创建的(本周首次使用该帐户登录)。此外,我刚刚从头开始删除并重新创建了配置文件 - 问题仍然存在。
两个用户都在 Active Directory 中的同一个 OU 中,所以我看不出这与组策略有什么关系。
我可以以任何其他用户身份登录,一切又恢复正常。这个问题是 100% 可重复的。
任何想法将不胜感激。这让我很难过。
我们的 SBS 2003 服务器上的 DHCP 服务器在同一 LAN 上运行 Hamachi 网关几个小时后自动关闭。
服务器错误地假设 Hamachi 可能开始将 DHCP 分配给 LAN 上的其他客户端。
虽然 Hamachi 网关客户端确实有一个 DHCP 服务器,但它只将 IP 分配给进行入站 VPN 连接的计算机,而不是 LAN 上的 PC。
有谁知道在 SBS 2003 上覆盖此行为的方法?也许是注册表黑客?
我知道服务器在这种情况下禁用其 DHCP 服务器时是出于好意……但是,为了避免不存在的问题,它实际上是在制造一个真正的问题。
我们有一个 Small Business Server 2003 域控制器,其中 Windows 7 工作站加入了域。
我最近注意到,如果我让用户成为他计算机上的本地管理员,他的重定向桌面和映射的网络驱动器在登录时不会连接(登录时出现网络驱动器无法访问且桌面为空白的错误)。
但是,该用户仍然可以浏览到其重定向文件夹所在的主目录,因此他仍然可以访问该位置。
有人对这里发生的事情有任何理论吗?
我们有一个子域 ( https://portal.company.com ),它是不同主机名的别名(在 CNAME 记录中定义)。
此动态 DNS 主机名 ( https://portal.dlinkddns.com ) 解析为我们办公室的公共(动态)IP 地址。在办公室,路由器配置为将端口 443 转发到运行 (Spiceworks) 门户网站的服务器,员工可以从家里访问该门户网站。即使办公室的公共 IP 地址发生变化,子域仍会将员工引导至 Web 门户。一切都很好——除了工作人员在首次连接到该站点时看到的(预期的)SSL 证书错误。
我刚刚购买了 SSL 证书,现在正在服务器上完成证书签名请求。
这引出了我的问题......
完成证书签名请求时,对于“ Common Name (eg server FQDN or YOUR name) ”,我应该输入什么?
我应该输入规范名称 ( https://portal.dlinkddns.com ) 还是别名 ( https://portal.company.com )?服务器本身的 FQDN 是“servername.companyname.local”——所以我不能使用它。
任何建议或想法将不胜感激!
90 分钟(+ 30 分钟随机偏移量)组策略更新间隔究竟何时开始?
是当 PC 启动进入 Windows 时吗?
此外,每次组策略更新时是否应用 30 分钟的随机偏移,还是仅应用一次(在开始时)?
我最近在 Small Business Server 2003 SP2 (x86) 服务器上安装了 WSUS 3.0 SP2。
安装后,WSUS 服务器配置向导应该会自动运行。
相反,WSUS 配置向导无法运行,我收到以下错误消息:
这与这里的其他人似乎遇到过的问题相同——但我已经尝试了他们所有的建议,但没有成功。
所有先决条件都是在 WSUS 之前安装的,重新安装 WSUS 本身没有任何区别。
以下与 WSUS 相关的错误现在显示在事件查看器中:
“ DSS 身份验证 Web 服务不工作”
“ SimpleAuth Web 服务不工作”
“客户端 Web 服务不工作”
“服务器同步 Web 服务不工作”
“ API 远程 Web 服务不工作”
“报告 Web 服务不工作”
“没有客户端计算机曾经联系过服务器”
“自我更新不起作用”
“更新服务服务已启动”
我们欢迎所有的建议!
编辑:
这是我在 WSUS 控制台的“选项”菜单中看到的内容:
我在这里读到不可能在同一台服务器上运行多个 IIS 实例。那么这是否意味着在我的情况下(IIS 已经为不同的目的配置和运行)WSUS 和使用 IIS 的其他服务之间可能存在冲突,或者它们可以使用相同的 IIS 实例一起运行?我不确定会发生什么......