2014年4月17日 星期四

AD 大量建置帳號

摘錄自http://www.dotblogs.com.tw/kaoht/archive/2011/11/27/59633.aspx

導入AD的第二步

建立公司使用者帳號
公司目前有900左右員工,使用電腦人數約310位左右
我自行開立帳號密碼一個約5分鐘那310位就要我將近26小時間建立帳號,這樣我應該甚麼事情都不用做了
目前MS公司有5種建立大量帳號方式,我採用CSVDE方式建立.
下列人員範例

objectClass,sAMAccountName,dn
user,Petergr," CN=Peter Graham,OU=Newport,DC=cp,dc=com"
user,Janiebo," CN=Janie Bourne,OU=Newport,DC=cp,dc=com"
user,Edgardu," CN=Edgar Dunn,OU=Newport,DC=cp,dc=com"
user,Belindaha," CN=Belinda Hart,OU=Newport,DC=cp,dc=com"
user,Mayja," CN=May Jamieson,OU=Newport,DC=cp,dc=com"
user,Leroyot," CN=Leroy Ota,OU=Newport,DC=cp,dc=com"
 
將上列的檔案複製後建立adduser.csv檔案,放到AD主機上我放在c:\CSVDE\中
 
開啟命令提示字元
 
csvde.exe -i -f "c:\CSVDE\CSVDE_adduser.csv"
 
// 匯入後 intAccValue = 514  表示帳號無啟動
 
自動將上列帳號建立完成,但是建立帳號後,此帳號還是無法請用因為沒有密碼.
 
 //再將下面用記事本存成XXX.vbs 但OU要改
strContainer = "OU=CSVOU ,"  //"OU=XXXX, OU=ZZZZ,"
 
將下列檔案複製後變成AccountControl.vbs
 
Option Explicit
Dim objOU, objUser, objRootDSE
Dim strContainer, strLastUser, strDNSDomain, intCounter, intAccValue
Set objRootDSE = GetObject("LDAP://RootDSE")
strDNSDomain = objRootDSE.Get("DefaultNamingContext")
strContainer = "OU=CSVOU ,"
intAccValue = 544
strContainer = strContainer & strDNSDomain
set objOU =GetObject("LDAP://" & strContainer )
intCounter = 0
      For each objUser in objOU
          If objUser.class="user" then
          objUser.SetPassword "P@ssw0rd"
          objUser.SetInfo
          objUser.Put "userAccountControl", intAccValue
          objUser.SetInfo
          intCounter = intCounter +1
          strLastUser = objUser.Get ("name")
          End if
       next
WScript.Echo intCounter & " Users change pwd next logon.  Value " _
& intAccValue
WScript.Quit
' End of User Account example VBScript
 
放到AD主機上執行後所有人的密碼,都會此用"P@ssw0rd"為預設密碼
 
這樣我大量建立帳號號時間只花了10分鐘將所以帳號密碼設定完成.
 
以上參數請依自己公司狀況調整,請不要照抄使用.
張貼者: 沒有留言:

CSVDE指令 教學

摘錄自http://rritw.com/a/bianchengyuyan/C__/20131008/430545.html

用CSVDE命令導入導出AD配置

//用Excel表把屬性作出存成csv,來然後再用csvde匯入
csvde -i -f c:\xxx.csv


範例 C:\Users\Administrator>csvde -i -f c:\cuser_160315.csv -j c:\
若不在目錄下檔案路徑記得要打, -j c:\ 是把錯誤或匯入資訊log匯出




CSVDE 全稱为 Comma Separated Value Data Exchange。CSV(comma-separated value)文件實際上只是一個將數據以逗號分隔的文本文件。CSVDE可以在不影響當前配置的情況下導出AD配置信息,也可以將AD配置導入到一個新安 裝的AD中。將AD配置導入到正在使用的域中將會直接影響整個系統,因此最好僅在測試環境中進行導入實驗。

一、導出

導出所有AD配置:

csvde -f output.csv

-r: 按LDAP字段過滤

僅一個條件時:
csvde -f users.csv -r "objectCategory=person"
多個條件相“與”:
輸出屬於user對象類型,並且類別为person的所有項目:
csvde -f users.csv -r "(&(objectClass=user)(objectCategory=person))"
多個條件相“或”:
輸出userAccountControl值为514或者546或者66050的所有項目:
csvde -f accountControl.csv -r "(|(useraccountcontrol=514)(useraccountcontrol=546)(useraccountcontrol=66050))"
{!}INFO:關於userAccountControl,請参考lesca博客《UserAccountControl基本屬性、功能對照、常見功能組合》一文。

-d: 按DN中的字段過滤

關於DN的介紹請参考lesca博客的《什麼是DN(Distinguished Names)》一文。下面舉幾個例子:
csvde -d "OU=TEST,DC=lesca,DC=bit" -f example.csv

csvde -d "CN=Users,DC=lesca,DC=bit" -f example.csv

-L: 指定LDAP輸出字段

csvde -f example.csv -l "DN, objectClass, givenName, sn, name"

綜合舉例:

csvde -d "OU=Test,dc=lesca,dc=bit" -m -n -f example.csv -r objectClass=user -l "name, objectCategory, DN"
以下幾個参數值的注意:
  • -m 用於排除諸如ObjectGUID, objectSID, pwdLastSet, samAccountType之類的屬性
  • -n 禁止輸出二進制值

二、導入

導入CSV到AD的指令很簡單:
CSVDE -i -k -f test.csv
用Excel可以方便地生成CSV文件,具體操作方法可以見参考鏈接[1]和[3]。本節我們主要討論CSV文件的結構。CSV至少需要三個字段:objectClass, sAMAccountName, DN。下表列出了這些必填字段的用途:
必填屬性
屬性 功能
objectClass 對象類型,通常为user
sAMAccountName Domain\LogonName中的LogonName
DN Distinguished Names(了解更多
除此以外,導入用戶時還可以增加一些額外信息,下面罗列了其他常用可選屬性的功能:
可選屬性
屬性 功能
userAccountControl 用戶账戶控制(了解更多
userPrincipalName UPN,如lesca@lesca.bit
givenName
SN
initials 姓名縮寫
CN 和DN中的CN字段相同(自動設置)
name 和CN相同(自動設置)
description 描述
title 職位名稱
department 部門
displayName 顯示名稱
c 國家代碼,如CN表示中國
co 國家,如China(自動設置)
st
l 城市
company 公司名稱
mail 用戶電子郵件
streetAddress 公司街道地址
postalCode 郵政編碼
physicalDeliveryOfficeName 辦公地點
telephoneNumber 固定電話號碼
mobile 移動電話號碼
facsimileTelephoneNumber 傳真號碼
ipPhone IP電話
wWWHomePage 網站主頁

三、CSVDE的不足

  • 無法創建账戶密碼
  • 無法創建OU
張貼者: 沒有留言:

2014年4月10日 星期四

AD 改電腦名稱 DNS 會出現的問題

摘錄自 http://blog.miniasp.com/post/2010/01/12/Rename-Computer-after-upgrade-DC-may-fail-DNS-operation.aspx

我有兩台網域主控站(DC),我將 dc1 所有 FSMO 角色與 Global Catalog 都移轉至 dc2 之後,然後將 dc1 降級,但卻發現 dc2 上面的 DNS 卻會殘留許多 dc1 的 SRV 紀錄,也就是 dc1 在降級時在 dc2 的 DNS 的紀錄並沒有正確同步,導致即便再將 dc1 再次升級成 DC 後,在 dc1 的 DNS 無法正確設定,而錯就錯在之前曾經將 dc1 的電腦名稱修改過,而且是在已經成為網域主控站的時候修改的。
如下圖是我在 dc1 降級後,從 dc2 的 DNS 服務看到的結果,dc1 的 SRV 紀錄並未被移除:

追查到最後的我終於發現在 dc1 的 DNS 無法正常運作的原因!
由於我是在 Hyper-V 下架設 AD 環境,當初我在將 dc1 升級成 DC 後發現電腦名稱忘了改(是一串亂碼那種),然後我就「大膽的」修改電腦名稱,當時畫面是有提醒成員電腦可能會短暫查詢不到 DNS 而出問題題,由於是測試環境就不疑有雷的按下「確定」,然後 AD 也一直都很正常的運作中!(也許是還沒出問題罷了)
直到我將 dc1 給降級,才發現一切都開始變的不穩定,而我重新將 dc1 升級成 DC 後也不見改善,重要的是 dc1 的 DNS 服務運作不正常,在伺服器管理員中出現紅色的警告符號,說 DNS 尚未設定之類的錯誤訊息。
然後我進入 dc1 的 DNS 服務並一個節點一個節點的打開,終於發現在 domain.local\_msdcs 下面的 NS 紀錄竟然放的是修改電腦名稱之前的「伺服器完整網域名稱」,所以才導致 DNS 無法正確設定!
 
當我將「伺服器完整網域名稱」改正之後,重新啟動 DNS 服務,就一切風平浪靜了!
我覺得這應該是 Windows Server 2008 R2 (含前版) 的 Bug,但避開這個 Bug 最有效的方式就是:
  1. 記得在作業系統安裝完成之後就設定好電腦名稱
  2. 不要在升級為網域主控站之後才修改電腦名稱
  3. 修改了完電腦名稱後必須再次查看 DNS 紀錄是否有漏改的地方(這問題以後的版本或許會解決)
張貼者: 沒有留言:

Win7 IDE轉ACHI 不用重灌

摘錄自 http://blog.xuite.net/yh96301/blog/81388614-SATA%E7%A1%AC%E7%A2%9F%E7%94%B1IDE%E6%94%B9%E7%82%BAAHCI%E6%A8%A1%E5%BC%8F

 

SATA硬碟由IDE改為AHCI模式

使用SATA硬碟,已經以IDE模式安裝完成的Windows 7桌上型電腦,電腦開機以後直接按鍵盤的「Delete」鍵進入BIOS,將硬碟由IDE改為AHCI模式〈AHCIAdvanced Host Controller Interface進階主機控制器介面,它是Intel所主導的一項技術,可以發揮SATA硬碟的潛在加速功能,大約可增加30%的硬碟讀寫速度,適用於ASAT2以上的硬碟〉,重新開機以後卻出現「停止 0X0000007B INACCESSABLE_BOOT_DEVICE」的錯誤,Windows 7無法順利開啟,應該要如何設定,才能將SATA硬碟的模式更改為AHCI模式呢,以加速硬碟的存取速度呢?說明如下:
1.開啟Windows 7以後,點選「開始」,在「搜尋程式及檔案」的欄位輸入「regedit」,按鍵盤的「Enter」開啟登錄編輯程式。


2.開啟的登錄編輯程式如下圖所示,準備修改登錄檔案〈修改登錄檔案請注意!勿任意修改,如果修改錯誤,可能會造成電腦無法開機〉。

3.展開「HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services」。

4.選擇「msahci」的「Start」檔案,檔案的數值資料目前設定為「3」,如下圖所示。

5.對著「Start」按滑鼠右鍵,點選「修改」。

6.將「數值資料」改為「0」,點選「確定」。

7.關閉「登錄編輯程式」,結束登錄檔案的修改。

8.點選「開始\重新啟動」,重新開啟Window 7

9.開機後,按鍵盤的「Delete」按鍵進入BIOS設定,按鍵盤的方向鍵,選擇「Adcanced」的「Integrated Peripherals」,準備更改硬碟的設定。更多的BIOS設定詳見:設定SATA硬碟為AHCIIDE模式設定BIOS的開機順序為光碟優先

10.按鍵盤向下方向鍵選擇「onboard ASTA Mode」,再按鍵盤的「Enter」鍵,確認選取。

11.如下圖所示,SATA硬碟目前的設定為Native IDE模式。

12.按鍵盤的向下方向鍵,選擇AHCI模式,按鍵盤的「Enter」鍵確認選取。

13.如下圖所示,SATA硬碟已經更改為AHCI模式。按鍵盤的「F10」鍵,再按鍵盤的「Enter」鍵,確認BIOS的更改,重新啟動電腦。

14.Windows 7重新啟動以後,點選「開始」,對著「電腦」按滑鼠右鍵,點選「管理」。

15.選擇「裝置管理員」。

16.開啟「IDE ATA/ATAPI控制器」,顯示硬碟已經更改為AHCI模式。
張貼者: 沒有留言:

2014年1月28日 星期二

用 NLite 製作含驅動程式的系統安裝光碟

摘錄至 Dr.j

NLite:製作含驅動程式的系統安裝光碟

Dr.J Dr.J 發表於 2009年10月22日 14:00
81eeb381e3e9df79ba87914d9d8bca4417603b4f 因為隨身碟、光碟實在太方便,現在大多數的電腦早就已經不搭配1.44吋磁碟機了。最麻煩的就是在裝機時還得要透過它來安裝SATA驅動程式才行。其實是 有辦法可以將各種驅動程式加到Windows XP的安裝光碟中的,網路上就有不少人提供整合SP3的光碟供網友下載。製作整合包並不是件難事,透過nLite這款免費工具就可以辦得到。
nLite的功能相當強大,除了加入Windows沒有內建的驅動程式、整合SP更新套件以外,還可以設定安裝參數,安裝多台電腦時相當方便。 而SATA的驅動程式在主機板隨附的光碟中都可以找到,或者到主機板廠商網站,下載有SATA、AHCI等關鍵字的驅動程式都可使用。
不過,Dr.J還是要再次提醒大家,雖然Windows XP快要隨著Windows 7的到來而走向淘汰,但是還是要使用正版軟體,或者可以嘗試挑戰Ubuntu之類的開放授權系統。

Step 1

到網址「www.nliteos.com/download.html」下載nLite 1.49版,小心別點到一旁的廣告。

Step 2

nLite有內建中文介面,支援Windows 2000、XP與Server 2003等版本。

Step 3

接著會要你選擇兩個位置,一個是Windows安裝光碟所在的位置,另外一個是整合驅動程式後的儲存資料夾。選完以後程式就會自動將光碟內容轉入資料夾中。

Step 4

nLite可以用來整合SP、Service Pack、Windows更新和驅動程式,記得要勾選最後一項「可開機ISO映像檔」, 燒錄光碟比較方便。

Step 5

主機板驅動程式中的AHCI就是安裝時所需的驅動程式,如果是執行檔的話就先解壓縮, 透過程式選擇加入後, 記得勾選「正規的PNP驅動程式」。

Step 6

接著程式就會自動進行整合工作,將整合完畢的ISO檔案燒錄在光碟上就可以正常安裝。

張貼者: 沒有留言:

2013年12月13日 星期五

Windows2003共享問題

Windows2003網路芳鄰免密碼

Windows2003, 網路芳鄰, 免密碼, 設定
前言:
這幾天裝了一台Windows 2003 Standard Edition,在設定2003網路芳鄰的時候,發現到,其他台電腦在網路芳鄰中,只能看到這台2003Server,想要點擊進入的時候,被要求輸入帳 號密碼,當然,這在WindowsXP也可能發生,但是XP內建了傻瓜精靈,所以很簡單就可以解決這個問題,於是稍微搜尋了一下關於網路芳鄰免密碼的相關 文章,經過試驗,解決方法如下:(以下文章轉自google並稍微修改)




Windows2003 網路芳鄰 - 允許免密碼登入

說明:
在Windows2003的預設狀態下,其他人僅能在網路芳鄰中看到這台電腦,並無法在免輸入密碼的狀態下,取得存取該電腦的網路芳鄰資源

錯誤訊息如下:
"無法存取 XXX電腦,您可能沒有使用這個網路資源的權限,請聯絡這個伺服器的系統管理員,了解您是否有存取權限"

解決方法:
1.進入 [系統管理工具] ---> [本機安全性原則]  ---> [安全性選項] 找到 "帳戶:限制使用空白密碼的本機帳戶僅能登入到主控台「已啟用」"
調整為「已停用

若是要允許"匿名存取",也就是說網路芳鄰的分享資源不需特別設定使用者的存取權限讓Everyone都可以存取,設定方法如下:

2.進入 [系統管理工具] ---> [本機安全性原則]  ---> [安全性選項] 找到 "網路存取:讓Everyone權限套用到匿名使用者「已停用」"
調整為「啟用

2.1 進入 [系統管理工具] ---> [本機安全性原則]  ---> [安全性選項] 找到 "帳戶: Guest帳戶狀態",如為「已停用」,請調整為「啟用」 // 此設定打開 就可以無須透過帳號密碼存取

3.點選[開始]->[執行] 輸入 gpupdate [Enter],如此用剛剛所調整的設定即刻生效.
張貼者: 沒有留言:
標籤:

2013年10月31日 星期四

取自 作者: Jas "實作解決svchost狂吃CPU資源"

實作解決svchost狂吃CPU資源

作者: Jas / 發表於 2007-04-17


我的家用筆電是七八年前買的Compaq,Intell P4-1G的CPU上跑的是Win2K的老舊系統,然而,使用起來的感覺,卻經常比目前公司使用的Intell P4-2.8G CPU + XP快且順暢得多。
由於公司電腦使用單純,幾乎可確定沒有中毒或被駭的可能,然而為求慎重起見,還是仔細檢查了一下。一開始發現是svchost.exe在作祟,正常 開機操作使用情況下,開機後每隔一小段時間就跳出來狂吃CPU資源,風扇聲大作而執行中的應用軟體則龜速進展。每次svchost發作,吃個 70%~80%是很稀鬆平常的事,有時過份起來甚至可以吃到97%以上,甚至滿百,幾乎是瀕臨當機無法做正事。
由於XP內建的工作管理員所提供的效能資訊極有限,所以到微軟官網下載了Process Explorer for Windows v10.21來檢查svchost.exe到底都在忙什麼。下載解壓並執行Process Explorer之後,視窗上可一目瞭然發現原來是Windwos Update讓它忙得不可開交,每隔一段時間就Automatic Updates來狂吃CPU資源。
這種現象當然不是XP正常運作時會出現的,所以需要動點手腳幫已經後天失調的相關設定重新調校一下,步驟分為三大項整理如下:
(一)確認兩項系統服務。
(1)Automatic Updates
  1. 依序選取左下的「開始」->「執行」,輸入「services.msc」並按「確定」。(這個步驟主要是叫出服務視窗)
  2. 找到「Automatic Updates」這項服務,連點二下滑鼠左鍵開啟內容設定。
  3. 點選「登入」這個頁籤,先確認目前登入身分為「本機系統帳戶(L)」,而且不勾選底下的「允許服務與桌面互動(W)」。接著再確認「Automatic Updates」這項服務已在目前的「硬體設定檔」中被啟用,若未啟用,則按下「啟用」鍵。
(2)Background Intelligent Transfer Service (BITS)
  1. 在相同服務視窗找到「Background Intelligent Transfer Service」這項服務,連點二下滑鼠左鍵開啟內容設定。
  2. 點選「登入」這個頁籤,先確認目前登入身分為「本機系統帳戶(L)」,而且不勾選底下的「允許服務與桌面互動(W)」。接著再確認「Background Intelligent Transfer Service」這項服務已在目前的「硬體設定檔」中被啟用,若未啟用,則按下「啟用」鍵。
(二)修復 Windwos Update 執行元件。
  1. 依序選取左下的「開始」->「執行」,輸入「REGSVR32 WUAPI.DLL」並按「確定」。接著視窗會跳出「DllRegisterServer 在 WUAPI.DLL 成功」的訊息,按「確定」完成動作並關閉視窗。接著,依照上述步驟逐一執行以下Windwos Update 元件:
  2. REGSVR32 WUAUENG.DLL
  3. REGSVR32 WUAUENG1.DLL
  4. REGSVR32 ATL.DLL
  5. REGSVR32 WUCLTUI.DLL
  6. REGSVR32 WUPS.DLL
  7. REGSVR32 WUPS2.DLL
  8. REGSVR32 WUWEB.DLL
(三)清除舊有 Windows Update 暫存目錄。
  1. 依序選取左下的「開始」->「執行」,輸入「cmd」並按「確定」以開啟命令提示視窗。
  2. 在命令提示視窗裡的命令提示字元右方輸入指令「net stop WuAuServ」暫停Automatic Updates服務。
  3. 依序選取左下的「開始」->「執行」,輸入「%windir%」並按「確定」以開啟系統資料夾。
  4. 在系統資料夾裡找到「SoftwareDistribution」這個目錄,並且把它更名為「SDbak」。
  5. 依序選取左下的「開始」->「執行」,輸入「cmd」並按「確定」以開啟命令提示視窗。
  6. 在命令提示視窗裡的命令提示字元右方輸入指令「net start WuAuServ」重新啟動Automatic Updates服務。
這樣整過一次骨之後,svchost.exe就沒再出來亂了,果然是欠修理。
張貼者: 沒有留言:
標籤:
訂閱: 意見 (Atom)