WINDOWS 2000管理權限疑問





頁 : [1] 2 3

KEKI
2001-07-12, 04:17 AM
不知這是否是我完全錯誤的設定,請各位大大指正/教導
在WIN2K中DHCP已設好沒問題,而成員也設完成了
除了ADMINISTRATOR/匿名帳號及系統帳號外,新增3個成員隸屬AD,其餘停用
新增的成員用98/ME/WIN2K PRO均能登入使用
但,以往玩NOVELL時以A名稱登入只能看見A的檔案/目錄,以B名稱登入只能看見B的
這似乎很正常,伺服器權限管理也"應該"如此
而我在WIN2K中以A名稱登入卻能看見所有共享出來的檔案/目錄,雖然不能進入(無權)
但這樣一來人數多時,分享的檔案/目錄也多,那麼一進入主機光找目錄不就OVER了嗎
該如何設定才能夠達到:以A名稱登入只看到/使用到 分配給A的資源,而其他不會出現?

常在板上看到WIN2K的LOGIN SCRIP..,那要如何使用?有何作用?

補充:我在WIN2K上的檔案/目錄是當成98/ME上的分享分是使用,當然會去設定誰有存取權
也嘗試過用管理控制台去做,但一樣會一起出現,只是管理控制台比較強(有特殊功能)
而98/ME一直無法以NT網域去登入,只能以WINDOWS登入或MS FOR NET..方式登入
錯誤訊息是:網路上沒有可供驗證密碼或帳號的伺服器
是不是我的WIN2K SERVER根本沒有起來??,但帳號管理是有效的(無法任意登入)
檔案/目錄的使用權限管理也有效(A帳號無權進入B/C帳號的目錄)

還有:DC上的"網域控制站安全性原則"中, 要加入"本機登入"的群組
這要怎麼做,"網域控制站安全性原則"我找不到,我的是SERVER版但不是AD那版,有差嗎
感謝各位大大耐心看完




milwater
2001-07-12, 10:08 AM
最初由 KEKI
不知這是否是我完全錯誤的設定,請各位大大指正/教導
在WIN2K中DHCP已設好沒問題,而成員也設完成了
除了ADMINISTRATOR/匿名帳號及系統帳號外,新增3個成員隸屬AD,其餘停用
新增的成員用98/ME/WIN2K PRO均能登入使用
但,以往玩NOVELL時以A名稱登入只能看見A的檔案/目錄,以B名稱登入只能看見B的
這似乎很正常,伺服器權限管理也"應該"如此
而我在WIN2K中以A名稱登入卻能看見所有共享出來的檔案/目錄,雖然不能進入(無權)
但這樣一來人數多時,分享的檔案/目錄也多,那麼一進入主機光找目錄不就OVER了嗎
該如何設定才能夠達到:以A名稱登入只看到/使用到 分配給A的資源,而其他不會出現?

常在板上看到WIN2K的LOGIN SCRIP..,那要如何使用?有何作用?

補充:我在WIN2K上的檔案/目錄是當成98/ME上的分享分是使用,當然會去設定誰有存取權
也嘗試過用管理控制台去做,但一樣會一起出現,只是管理控制台比較強(有特殊功能)
而98/ME一直無法以NT網域去登入,只能以WINDOWS登入或MS FOR NET..方式登入
錯誤訊息是:網路上沒有可供驗證密碼或帳號的伺服器
是不是我的WIN2K SERVER根本沒有起來??,但帳號管理是有效的(無法任意登入)
檔案/目錄的使用權限管理也有效(A帳號無權進入B/C帳號的目錄)

還有:DC上的"網域控制站安全性原則"中, 要加入"本機登入"的群組
這要怎麼做,"網域控制站安全性原則"我找不到,我的是SERVER版但不是AD那版,有差嗎
感謝各位大大耐心看完

用了Novell第四版以後的user, 轉到Win2K的主機, 常常會有些無所適從的感覺.老實說,Novell的NDS技術真的是比Win2K的AD成熟許多, 所以也別奢望它(win2k)能夠有相當的表現-指權限管理而言.
有點看不懂你的問題,Server到底是Stand-Alone?還是已昇為AD的DC了? 看你一下又有AD群組,一下說有網域, 又一下說是Server版不是AD版, 蠻confuse的 :confused:
對於目錄分享的問題, 我想目前是無解. 即便將AD架起來, GPO堣]沒有這項設定. 不知新一代表XP有沒有改進這點..
另外關於Logon Script, 是用來在使用者登入時所能執行之程式, 可用一般的文字檔編寫,也可以用WSH的方式來作,語法主要是VBScript語法, 有興趣可以去看看參考書藉.
最後, 既然你的Server只是Stand-Alone, 那就沒有所謂的"DC Security Policy",也別費心去找了.
若有架起網域, 要讓Win9X登入網域, 就需將"網路元件/Clinets for M$.."做設定, 指定登入至NT網域,主網路登入的方法也改為"Client for Microsoft Networks", 這樣即可.

KEKI
2001-07-14, 02:06 AM
首先要先向milwater兄說聲抱歉
1.問題說的不清楚
2.信箱掛點所以沒有收到PCZONE的通知信函

WINDOWS 2000不是分成四版嗎,Professional/SERVER/AD SERVER/DA SERVER
PRO相信大家都知道,SERVER和AD SERVER就"不完全"相同了
SERVER版只能當所謂的備分主機,它不包含主控網域的功能,不過因為必須在主控網域主機
掛點時適時的擔起主機功能,所以除了沒有網域主控功能外其他在我的感覺上當一樣
AD SERVER版就是多了主控網域部分的版本,兩者如何分辨?? 簡單,開機時的第一個開機畫面
完全不同,SERVER版只寫WINDOWS 2000 SERVER,
而AD版當然就是寫WINDOWS 2000 AD.. SERVER (AD的全名忘了)
還有:SERVER版"只能"加入網域,是無法自建網域的,AD SERVER版就可以自建網域
不過因為WINDOWS 2000的新功能就是可以"升級"/"降級"伺服器的等級,而此處也是相當多人
弄混的地方,因為多數人簡稱這個動作也是"AD"(Active Directory),升級後常常對別人敘述
就說:AD SERVER,其實應該說:升級成AD SERVER 才不會令人弄混

我的就是SERVER版而已,並沒有"升級"成AD SERVER,而我也犯了相同的錯誤,其實我所說的
新增3個成員隸屬AD 是指隸屬於Administrator的群組 這點語誤相當抱歉
還有關於我所敘述的"網域"也錯了,那叫做"工作群組",又得向您鞠躬啦
XP部分,就我所取得的測試版本而言(SERVER版)也是讓我遭遇相同的情況,不過XP也分了版本
我就不知道如何區分各版本間的不同了

我就是因為指定登入NT網域但卻出現"網路上沒有可供驗證密碼或帳號的伺服器"的錯誤訊息
按確定後依然能用但是這樣98/ME和WINDOWS 2000之間不就變成"平起平坐",沒有所謂的
"誰管誰",有的只是再存取對方資源時受到管制而已,根本不能控管其他資源,
對WINDOWS 2000來說太"大才小用"了,MS知道會傷心的:(

不知這樣是否能讓你幫我診斷 SERVER的錯在哪?,如果還需要其他資訊請留言
我會相當感激的:D
再次感謝milwater兄努力的看完文章將那錯誤的敘述指出(錯誤的文章會看的火大又好笑)
若其他大大有意見歡迎留言,我會盡力描述我的問題

milwater
2001-07-16, 09:12 AM
.. 呃, 文章很長, 的確看得出來您很費心, 只是有些小錯誤稍微提醒您一下.
所謂Win2K分為四版, 分別是Professional,Server,Advanced Server, 與DataCenter Server. 而三個系列的Server版本, 其kernel功能是沒太大差異的, 只是差在Cluster的支援性與對CPU,記憶體等的硬體支援度(Server2顆,AdvancedServer4顆,datacenter8顆).
也就是說. 如果你安裝的是Server版, 事實上也可以昇級到網域控制站, 方法是於命令列輸入指令"dcpromo", 就可昇級成為DC(Domain Controller). 而網域架起後, 就是所謂的AD Server(Advanced Server),所以,只要是Server系列,每一款皆可昇級成為AD Server(Active-Directory Server),而預設安裝是工作群組(WorkGroup)中的獨立伺服器(Stand-alone Server). 我想, 你的問題試著將Server昇級(dcpromo), clients端才可點"登入至NT網域"選項, 就可解決了.
在昇級為AD Server之後, 你會看到更強大的功能.

KEKI
2001-07-17, 07:51 AM
唉!這個錯誤不"小":eek:
雖然各版均可升級但版本差異處是無發因此補上的
不管了,那不是我的重點
其實我是知道能升級但是就是不想升級上去
因為單純的標準狀態就不能完全使用到所有功能
升級上去,老實說 感覺不是很需要
不過依你之言我還是升級上去了
升級後我一直找不到如何將
"網域控制站安全性原則"中,加入"本機登入"的群組
這個方法,煩請指點,若不嫌煩可否另外告知 未加入的後果
升級後98/ME的登入帳號在登入時卻出現 "參數錯誤" 的錯誤訊息
98/ME的登入方式已經改了,照你所說的方法變更的
先聲明,我可什麼都還沒動還沒設定呦,(有啦!DHCP授權,應該不算吧):D

我知道WINDOWS 2000 SERVER的設定管理問題有許多人提出
但那是歸屬哪一區?以免重複問以前就有人問過的問題
順便還可以看看有哪些問題我該注意的
就麻煩幫忙建議囉
在此先謝謝了;)

KEKI
2001-07-17, 08:08 AM
忘記說明
我升級後是變成 "網域主控站"而不是 "成員伺服器"
相信應該對你幫我找問題點有"一點點"幫助:D

milwater
2001-07-17, 09:43 AM
;)
原本Server就不是用來單機"玩"的, 所以感受不出來它的強大性, 當玩久了之後, 你會發現微軟的野心真的很大, 由這玩意兒就可以看得出來, 在此暫且不提.
一般自Server昇級的, 必定是網域控制站(Domain Controller, DC). 與NT的時代不同, win2K並無所謂的PDC,BDC(雖然搞到後來又跑出什麼Schema Master,Domain Naming Master的也差不多, 不過這是官方說法, 暫且不提), 所有的DC都是對等的,皆具有帳號驗證的功能.所以, 兄所謂的網域主控站, 應該是指網域控制站吧.
在將Server昇到AD Server之後, 於系統管理工具中會有一個"網域控制站安全性原則"(DC Security Policy), 你也提到了. 就請你打開該ICON, 延展堶捫龠, 就可以看到媕Y有一個"本機登入"的群組設定, 加入你要開放的帳號即可. 不然的話, 若是Server端登入, 會看到"不允許互動式登入"喲~
總結來說, Win9X要登入到W2K的Domain堶, 先得DC端要有至少Domain User的帳號設定, 之後Client端則於網路元件"Client for M$ Networks"之設定加入NT網域. 除此之外, 建議於"控制台/使用者"加入一個要登入Domain的帳號與密碼(與DC上的Domain User完全相同)不然你登入時會你兩次使用者名稱與密碼,一個問本機, 一個問Domain(很煩的)..
若有ErrorMessage,就再PO上來共享吧~

KEKI
2001-07-18, 02:14 AM
哇!沒有哩
有 本機原則和 登錄 這兩個
就是沒有 本機登入
各項中一一按了右鍵看了看
還是沒有 本機登入
至於98/ME的登入
全部電腦都是回應 "參數錯誤"
如果不是版本差異所造成就是我的SERVER有"隱疾"
看來得好好做個實驗了
不過還是很猶豫,因為 WINDOWS 2000安裝要好久
裝完--設定--測試--升級--再設定--測試/OK
每次都要如此,每個步驟又長,還要KEY一堆相同的字(USER NAME/PASSWORD)
真希望能有那種自動的軟體,只要設定一次,以後安裝時讓SETUP程式去
讀取這種資訊檔就能自己填入繼續執行,省的花一堆時間去"顧"電腦:(

milwater
2001-07-18, 03:59 PM
嫌作業太久的話, 那就別做了吧~ ^^
我們做這個是因為工作關係, 人在江湖身不由已啊~
我剛大概看了一下, 你既已看到"網域控制站安全性原則/本機原則", 就把它展開, 點一下"使用者權限指派", 右框從上往下算第六個就是"本機登入"了(中文版default).
再看吧:cool:

KEKI
2001-07-19, 12:41 AM
厲害!厲害!
根據指引果然找到了
不過我不懂 若是Server端登入, 會看到"不允許互動式登入" 的意思
是指我無法再server那部機器作login的動作嗎?
因為我原本建立的帳號都能順利再server主機登入
查看時,原本的administrator群組已經被加入 "本機登入"了
如果不是,那麼我該如何確定我的主機不會有"不允許互動式登入"的情況

你也提到
建議於"控制台/使用者"加入一個要登入Domain的帳號與密碼
原因是:會要兩次使用者名稱與密碼,一個問本機, 一個問Domain
可是我這邊的做法是;用 windows登入 :過程決不問名稱和密碼平常開機和單機一樣,
但是其實過程中98/ME已經被SERVER驗證/准許使用該使用者的資源了
如果開機時server不見了(掛點)無法驗證或是登出改換98/ME的使用者名稱,
再使用到SERVER的資源時會再要求密碼,或直接被SERVER拒絕存取
這和使用"Client for M$ Networks"登入有何不同?:confused:

就我所知WINDOWS登入其實是單機驗證名稱和密碼的登入方式 而
Client for M$ Networks則是網路方面的驗證名稱和密碼的登入方式
但如果我沒記錯,MS也提過WINDOWS登入在遇到第一次要登入NT網域時
會要求名稱和密碼,若使用者允許會將這些資訊記錄,往後將AUTO LOGIN
而我自行實驗覺得還滿方便的

既然WINDOWS 2000 SERVER登入時不能讓我做到 "以A登入只看到A的資源"
而是一登入就一堆資源,也不管是否有權使用或是否該出現(氣...):mad:
那我乾脆將它當成"高級"WINDOWS就好了

其實你這種工作很令我羨慕呦:D