深入理解AD域登录过程
深入理解AD域登录过程
“域帐号登录”属于“交互式登录”(即用户通过相应的用户帐号(User Account)和密码进行登录)的一种(另外一种为“本地登录”)。采用域用户帐号登录计算机,系统通过存储在域控制器的活动目录中的数据进行验证。如果该用户帐号有效,则登录后可以访问到整个域中具有访问权限的资源。
交互式登录,系统需要以下组件:
1、winlogon.exe
winlogon.exe是“交互式登录”时最重要的组件,它是一个安全进程,负责如下工作:
◇加载其他登录组件。
◇提供同安全相关的用户操作图形界面,以便用户能进行登录或注销等相关操作。
◇根据需要,同GINA发送必要信息。
2、GINA
GINA的全称为“Graphical Identification and Authentication”——图形化识别和验证。它是几个动态数据库文件,被winlogon.exe所调用,为其提供能够对用户身份进行识别和验证的函数,并将用户的帐号和密码反馈给winlogon.exe。在登录过程中,“欢迎屏幕”和“登录对话框”就是GINA显示的。
3、LSA服务
LSA的全称为“Local Security Authority”——本地安全授权,Windows系统中一个相当重要的服务,所有安全认证相关的处理都要通过这个服务。它从winlogon.exe中获取用户的帐号和密码,然后经过密钥机制处理,并和存储在帐号数据库中的密钥进行对比,如果对比的结果匹配,LSA就认为用户的身份有效,允许用户登录计算机。如果对比的结果不匹配,LSA就认为用户的身份无效。这时用户就无法登录计算机。
4、SAM数据库
SAM的全称为“Security Account Manager”——安全帐号管理器,是一个被保护的子系统,它通过存储在计算机注册表中的安全帐号来管理和用户和用户组的信息。我们可以把SAM看成一个帐号数据库。对于没有加入到域的计算机来说,它存储在本地,而对于加入到域的计算机,它存储在域控制器上。
如果用户试图登录本机,那么系统会使用存储在本机上的SAM数据库中的帐号信息同用户提供的信息进行比较;如果用户试图登录到域,那么系统会使用存储在域控制器中上的SAM数据库中的帐号信息同用户提供的信息进行比较。
5、Net Logon服务
Net Logon服务主要和NTLM(NT LAN Manager,Windows NT 4.0 的默认验证协议)协同使用,用户验证Windows NT域控制器上的SAM数据库上的信息同用户提供的信息是否匹配。NTLM协议主要用于实现同Windows NT的兼容性而保留的。
6、KDC服务
KDC(Kerberos Key Distribution Center——Kerberos密钥发布中心)服务主要同Kerberos认证协议协同使用,用于在整个活动目录范围内对用户的登录进
行验证。如果你确保整个域中没有Windows NT计算机,可以只使用Kerberos 协议,以确保最大的安全性。该服务要在Active Directory服务启动后才能启用。
7、Active Directory服务
计算机加入到Windows2000或Windows2003域中,则需启动该服务以对Active Directory(活动目录)功能的支持。
登录到域的验证过程,对于不同的验证协议也有不同的验证方法。如果域控制器是Windows NT 4.0,那么使用的是NTLM验证协议,其验证过程和“登录到本机的过程”差不多,区别就在于验证帐号的工作不是在本地SAM数据库中进行,而是在域控制器中进行;而对于Windows2000和Windows2003域控制器来说,使用的一般为更安全可靠的Kerberos v5协议。通过这种协议登录到域,要向域控制器证明自己的域帐号有效,用户需先申请允许请求该域的TGS (Ticket-Granting Service——票据授予服务)。获准之后,用户就会为所要登录的计算机申请一个会话票据,最后还需申请允许进入那台计算机的本地系统服务。
登录前后,winlogon到底干了什么?如果用户设置了“安全登录”,在winlogon初始化时,会在系统中注册一个SAS (Secure Attention Sequence——安全警告序列)。SAS是一组组合键,默认情况下为Ctrl-Alt-Delete。它的作用是确保用户交互式登录时输入的信息被系统所接受,而不会被其他程序所获取。所以说,使用“安全登录”进行登录,可以确保用户的帐号和密码不会被黑客盗取。要启用“安全登录”的功能,可以运行“control userpasswords2”命令,打开“用户帐户”对话框,选择“高级”。(如图4)选中“要求用户按Ctrl-Alt-Delete”选项后确定即可。以后,在每次登录对话框出现前都有一个提示,要求用户按Ctrl-Alt-Delete组合键,目的是为了在登录时出现WindowsXP 的GINA 登录对话框,因为只有系统本身的GINA才能截获这个组合键信息。而如前面讲到的GINA木马,会屏蔽掉“安全登录”的提示,所以如果“安全登录”的提示无故被屏蔽也是发现木马的一个前兆。“安全登录”功能早在Windows2000时就被应用于保护系统安全性。
在winlogon注册了SAS后,就调用GINA生成3个桌面系统,在用户需要的时候使用,它们分别为:
◇Winlogon:桌面用户在进入登录界面时,就进入了Winlogon桌面。而我们看到的登录对话框,只是GINA负责显示的。如果用户取消以“欢迎屏幕”方式登录,在进入 WindowsXP中任何时候按下“Ctrl-Alt-Delete”,都会激活Winlogon 桌面,并显示图5的“Windows安全”对话框。(注意,Winlogon桌面并不等同对话框,对话框只是Winlogon调用其他程序来显示的)
◇用户桌面:用户桌面就是我们日常操作的桌面,它是系统最主要的桌面系统。用户需要提供正确的帐号和密码,成功登录后才能显示“用户桌面”。而且,不同的用户,winlogon会根据注册表中的信息和用户配置文件来初始化用户桌面。
◇屏幕保护桌面:屏幕保护桌面就是屏幕保护,包括“系统屏幕保护”和“用户屏幕保护”。在启用了“系统屏幕保护”的前提下,用户未进行登录并且长时间无操作,系统就会进入“系统屏幕保护”;而对于“用户屏幕保护”来说,用户要登录后才能访问,不同的用户可以设置不同的“用户屏幕保护”。
在“交互式登录”过程中, Winlogon调用了GINA组文件,把用户提供的帐号和密码传达给GINA,由GINA负责对帐号和密码的有效性进行验证,然后把验证结果反馈给 Winlogon程序。在与Winlogon.exe对话时,GINA会首先确定winlogon.exe的当前状态,再根据不同状态来执行不同的验证工作。通常Winlogon.exe有三种状态:
1、已登录状态:顾名思义,用户在成功登录后,就进入了“已登录状态”。在此状态下,用户可以执行有控制权限的任何操作。
2、已注销状态:用户在已登录状态下,选择“注销”命令后,就进入了“已注销状态”,并显示Winlogon桌面,而由GINA负责显示登录对话框或欢迎屏幕。
3、已锁定状态:当用户按下“Win+L”键锁定计算机后,就进入了“已锁定状态”。在此状态下,GINA负责显示可供用户登录的对话框。此时用户有两种选择,一种是输入当前用户的密码返回“已登录状态”,另一种是输入管理员帐号和密码,返回“已注销状态”,但原用户状态和未保存数据丢失。
登录到域的过程如下:
1、用户首先按Ctrl+Alt+Del组合键。
2、 winlogon检测到用户按下SAS键,就调用GINA,由GINA显示登录对话框,以便用户输入帐号和密码。
3、用户选择所要登录的域和填写帐号与密码,确定后,GINA将用户输入的信息发送给LSA进行验证。
4、在用户登录到本机的情况下,LSA将请求发送给Kerberos验证程序包。通过散列算法,根据用户信息生成一个密钥,并将密钥存储在证书缓存区中。
5、 Kerberos验证程序向KDC(Key Distribution Center——密钥分配中心)发送一个包含用户身份信息和验证预处理数据的验证服务请求,其中包含用户证书和散列算法加密时间的标记。
6、 KDC接收到数据后,利用自己的密钥对请求中的时间标记进行解密,通过解密的时间标记是否正确,就可以判断用户是否有效。
7、如果用户有效,KDC将向用户发送一个TGT(Ticket-Granting Ticket——票据授予票据)。该TGT(AS_REP)将用户的密钥进行解密,其中包含会话密钥、该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数据和设置等。用户所申请的票据在KDC的密钥中被加密,并附着在AS_REP中。在TGT的授权数据部分包含用户帐号的SID以及该用户所属的全局组和通用组的SID。注意,返回到LSA的SID包含用户的访问令牌。票据的最大生命期是由域策略决定的。如果票据在活动的会话中超过期限,用户就必须申请新的票据。8、当用户试图访问资源时,客户系统使用TGT从域控制器上的Kerberos TGS 请求服务票据(TGS_REQ)。然后TGS将服务票据(TGS_REP)发送给客户。该服务票据是使用服务器的密钥进行加密的。同时,SID被 Kerberos服务从TGT复制到所有的Kerberos服务包含的子序列服务票据中。
9、客户将票据直接提交到需要访问的网络服务上,通过服务票据就能证明用户的标识和针对该服务的权限,以及服务对应用户的标识。
加入域工具常见问题
加入域工具常见问题 1、未知省份错误 工具出现如上图所示提示框的原因是由于用户没有归属省份,请与工程师联系修正此错误。 2、终端加入域问题及解决 01、终端加入域报2698错误 故障处理: 2698错误基础信息是:此版本的Windows不能加入到域。一般此错误是由于用户尝试在WinXP HOME版上执行加入域造成。目前无法加入域。 请重新安装商业版的操作系统,有关商业版的安装介质和使用许可请与系统管理员联系。 02、终端加入域报1231错误 故障处理: 1231错误基础信息是:无法访问网络。一般此错误是由某个必须启动的服务没有成功启动造成的。终端加入域前应检查TCP/IP NetBIOS Helper服务是否启动, TCP/IP NetBIOS Helper服务必须启动。 03、终端加入域后无法在桌面创建文件 故障处理: 由于终端的Profile权限没有被赋予完全控制权限。请重新配置用户Profile 的权限,将权限配置为完全控制权限。然后退出域,重新加入域。 04、终端加入域后,域帐号登录无法看到原用户桌面图标等用户配置文件项 故障处理: 由于终端的Profile权限没有被赋予完全控制权限。请浏览到C:\document and
settings\,右键点选当前本机用户profile的文件夹,选择“属性”,在文件夹属性对话框中选择“安全”标签页,将本机administrators组添加为完全控制权限。 05、终端加入域后,终端用户帐号被锁定,无法登录域 故障处理: 由于终端帐号被服务器锁定,所以无法登录到域请终端部署人员联系终端部署管理人员通过工具修改,或在服务器上解除相应帐号的被锁定状态。 06、终端加入域时报系统不支持加入商业网络 故障处理: 这是产品的本身功能限制问题,WindowsXP Home版与Windows Me这部分操作系统属于家庭版,目前无法加入商业网络。 重新安装商业版的操作系统,有关商业版的安装介质和使用许可请与系统管理员联系。 07、终端加入域时报不能定位域控制器,请更新DnsHostName和ServicePrincipalName 故障处理: 由于DNS解析有误,请检查计算机的DNS配置和WINS配置是否正确,如果是DHCP的客户端,请在控制台窗口(在运行栏中输入cmd命令)中运行ipconfig/all命令,查看结果是否正确: DNS: WINS:如果配置正确,但问题则可能因为暂时的网络条件恶化,请换时间重新尝试。 如果以上两个方法都无法排除问题,请联系信息员或IT支持人员。 08、终端加入域后,原先安装的一些软件无法正常运行 故障处理: 由于部分软件采用安装时绑定计算机名或Netbios更换计算机名称后需要重新安装该软件。否则无法正常运行如果重新安装有困难,则建议不要更改计算机名称,直接加入域。如果加入域对该应用软件有影响,则建议不要加入域,不将此终端包含在本次工程范围内。
单点登录扫盲
单点登录 SSO简介 SSO英文全称Single Sign On,单点登录。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。 CAS简介 耶鲁大学开发的单点登录(Single Sign On)系统称为CAS(Central Authentication Service),是一个独立于平台的,易于理解的开源软件,支持代理功能。Spring Framework的Acegi安全系统支持CAS,并提供了易于使用的方案。 SSO需求 SSO涉及不同层面的需求 SSO的实质是多套系统能否识别同一用户的身份,并在各套系统间实时同步用户身份信息,以支持各套系统进行用户权限控制。基于这样的原因,一套SSO 技术至少应该考虑一下四个层面的需求: 1、单点登录,多点即可同时登录; 2、单点注销(退出登录),多点即可同时注销; 3、单点切换用户,多点即可同时切换; 4、单点登录过期,多点同时过期。 SSO的两种架构与三种实现技术 集中验证模式 当应用系统需要登录时,统一交由验证服务器完成登录动作,应用系统不提供登录接入(如登录界面)。 相对与多点验证模式来说,集中验证模式的适用范围更广,而且在SSO服务器中使用的是统一的用户名密码,用户无需关注登录的是哪套系统的账套,所以
用户体验更加优秀。由于所有的登录都放在了统一的服务器,所以当集中验证服务器宕机时,所有系统无法正常登录,或丢失SSO的功能,建议以独立服务器作为集中验证服务器,并需要保证登录服务器的稳定性。 多点验证模式 应用系统供各自的登录界面,登录了一套系统后,另外其他系统无需再次登录即可通过身份验证。 在多点验证模式的模式下,所有的登录操作都在应用系统完成,任何一套系统宕机不会对其它系统产生影响,也不会影响正常运行系统间的SSO。但若各套系统的账套不一样的时候,若要用户区分每套系统的用户密码,必定会降低用户的体验,为了解决该问题,多点登录模式最好有统一的用户密码验证的服务(如LDAP身份验证)。另外,多点登录模式相对集中验证模式来说会存在更多的技术限制,详见后面的章节。 从SSO在技术实现的角度,SSO的实现通常有以下三种技术实现途径:代理登录(agent)、令牌环(token)、身份票据(ticket)。 代理登录(agent) 代理登录的原理就是在IE端通过表单提交的方式模拟应用系统的登录操作,实现SSO。
挺好用的自动改名加域工具
MAIN.bat 中的内容 @echo OFF cls title 歡迎使用FIS加域軟件加入FIS域... :menu cls color 0A echo. echo ===================================================== echo ******** 請輸入您即將進行的操作******** echo ===================================================== echo. echo 1.分配計算機名稱加入FIS echo. echo 2.將計算機退出FIS域 echo. echo 3. echo. echo 4. echo. echo 5. echo. echo 6.修改計算機主頁 echo. echo 7.添加IE信任站點、設置安全選項 echo. echo Q. echo. echo. :cho set choice= set /p choice= 請輸入: IF NOT "%choice%"=="" SET choice=%choice:~0,1% if /i "%choice%"=="1" goto changeName if /i "%choice%"=="2" goto UNJOINDOMAIN
if /i "%choice%"=="3" goto AddGROUP if /i "%choice%"=="4" goto INI if /i "%choice%"=="5" goto clearall if /i "%choice%"=="6" goto changeindex if /i "%choice%"=="7" goto changeietest if /i "%choice%"=="Q" goto endd echo 輸入有誤, echo. goto cho :changeName CALL changeName.bat pause GOTO menu ::SHUTDOWN -t 0 -r :UNJOINDOMAIN CALL UNJOINDOMAIN.BAT GOTO menu :AddGROUP CALL AddGROUP.BAT GOTO menu :INI CALL changepasswd.bat GOTO menu :clearall CALL clear.bat GOTO menu :changeindex CALL changeindex.bat goto menu
单点登录设计原理
https://www.360docs.net/doc/5d9234739.html,/j2eeweiwei/article/details/2381332 单点登录设计原理 分类:权限控管Java 2008-05-04 13:12 244人阅读评论(0) 收藏举报 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 统一存储(UUMS)、分布授权: 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。
域管理常见故障维护手册
域管理常见故障维护手册北京昆仑联通发展科技有限公司2013-02-20
目录 1 域常见问题 (4) 1.1 无法正常加入到域 (4) 1.2 加入域时提示“不能访问网络位置”的错误解决方法 (4) 1.3 加入域“找不到网络路径”解决方法 (4) 1.4 重装系统之后加入域提示已经存在的解决方法 (5) 1.5 在域用户下,打开IE浏览器出现“Windows无法访问指定设备、路径或文件。您可 能没有合适的权限访问这个项目” (5) 1.6 域用户中,无法打开硬盘分区 (5) 1.7 加入域时报错,输入完帐户管理员用户和密码后报告“RPC出错”? (6) 1.8 加入域时报错,输入完帐户管理员用户和密码后报告“帐户锁定”? (6) 1.9 加入域时报错,输入完帐户管理员用户和密码后报告“连接超时”? (6) 1.10加入域时报错,输入完帐户管理员用户和密码后报告“系统错误”? (7) 1.11第一次登陆域的时候,机器长时间停留在“创建域列表”? (7) 1.12拷贝配置文件时发现配置文件十分大(> 1G)? (7) 1.13拷贝配置文件时显示“无法删除XX配置文件”? (7) 1.14拷贝配置文件时,出现WINDOW提示框“XX文件无法正常拷贝至XXX文件夹中”? (7) 1.15拷贝配置文件时,WINDOWS报错“无法访问”? (7) 1.16加入域后,域用户无法在本地登陆,WINDOWS报错“不允许交互式登陆”? (8) 1.17加入域后,域用户无法查看本地时间,WINDOWS报错“您没有权限查看和修改本 地时间”? (8) 1.18加入域后用户报告Autocad无法使用? (8) 1.19第一次更改域用户密码的时候报错? (10) 1.20加入域后导致某些系统无法使用? (10) 1.21 Isass.exe系统错误—系统资源不够,无法完成API (10) 1.22 xp_sp2关机菜单弹出超慢 (11) 1.23 在登录界面,输入密码后提示“安全日志已满,请用管理员帐号登陆”,无法进入 系统 (11)
SSO单点登录解决方案
1 什么是单点登陆 单点登录(Single Sign On),简称为SSO,是目前比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。 较大的企业内部,一般都有很多的业务支持系统为其提供相应的管理和IT服务。例如财务系统为财务人员提供财务的管理、计算和报表服务;人事系统为人事部门提供全公司人员的维护服务;各种业务系统为公司内部不同的业务提供不同的服务等等。这些系统的目的都是让计算机来进行复杂繁琐的计算工作,来替代人力的手工劳动,提高工作效率和质量。这些不同的系统往往是在不同的时期建设起来的,运行在不同的平台上;也许是由不同厂商开发,使用了各种不同的技术和标准。如果举例说国内一著名的IT公司(名字隐去),内部共有60多个业务系统,这些系统包括两个不同版本的SAP的ERP系统,12个不同类型和版本的数据库系统,8个不同类型和版本的操作系统,以及使用了3种不同的防火墙技术,还有数十种互相不能兼容的协议和标准,你相信吗?不要怀疑,这种情况其实非常普遍。每一个应用系统在运行了数年以后,都会成为不可替换的企业IT架构的一部分,如下图所示。 随着企业的发展,业务系统的数量在不断的增加,老的系统却不能轻易的替换,这会带来很多的开销。其一是管理上的开销,需要维护的系统越来越多。很多系统的数据是相互冗余和重复的,数据的不一致性会给管理工作带来很大的压力。业务和业务之间的相关性也越来越大,例如公司的计费系
统和财务系统,财务系统和人事系统之间都不可避免的有着密切的关系。 为了降低管理的消耗,最大限度的重用已有投资的系统,很多企业都在进行着企业应用集成(EAI)。企业应用集成可以在不同层面上进行:例如在数据存储层面上的“数据大集中”,在传输层面上的“通用数据交换平台”,在应用层面上的“业务流程整合”,和用户界面上的“通用企业门户”等等。事实上,还用一个层面上的集成变得越来越重要,那就是“身份认证”的整合,也就是“单点登录”。 通常来说,每个单独的系统都会有自己的安全体系和身份认证系统。整合以前,进入每个系统都需要进行登录,这样的局面不仅给管理上带来了很大的困难,在安全方面也埋下了重大的隐患。下面是一些著名的调查公司显示的统计数据: ?用户每天平均16分钟花在身份验证任务上- 资料来源:IDS ?频繁的IT用户平均有21个密码- 资料来源:NTA Monitor Password Survey ?49%的人写下了其密码,而67%的人很少改变它们 ?每79秒出现一起身份被窃事件- 资料来源:National Small Business Travel Assoc ?全球欺骗损失每年约12B - 资料来源:Comm Fraud Control Assoc ?到2007年,身份管理市场将成倍增长至$4.5B - 资料来源:IDS 使用“单点登录”整合后,只需要登录一次就可以进入多个系统,而不需要重新登录,这不仅仅带来了更好的用户体验,更重要的是降低了安全的风险和管理的消耗。请看下面的统计数据: ?提高IT效率:对于每1000个受管用户,每用户可节省$70K ?帮助台呼叫减少至少1/3,对于10K员工的公司,每年可以节省每用户$75,或者合计$648K ?生产力提高:每个新员工可节省$1K,每个老员工可节省$350 - 资料来源:Giga ?ROI回报:7.5到13个月- 资料来源:Gartner 另外,使用“单点登录”还是SOA时代的需求之一。在面向服务的架构中,服务和服务之间,程序和程序之间的通讯大量存在,服务之间的安全认证是SOA应用的难点之一,应此建立“单点登录” 的系统体系能够大大简化SOA的安全问题,提高服务之间的合作效率。
建立域服务器时候遇到问题的解决方法
因为没有硬件环境,因此我使用的是VMware Workstation 5.5.3创造了一个组,电脑配置不高,暂时只建立两台电脑,一个运行WIN2003中文版,双网卡,一个用NAT和物理网络相互连接,一个连接LAN1虚拟网络部分。一个运行XP SP3英文版,单网卡,连接LAN1。这样可以尽量和物理网络区分开来,并且可以适用于大部分实验。 VMware建立组的方法很简单FILE-->NEW-->Team,后边的一看就会,不说了。 1、DNS设置不正确的问题 安装活动目录,就在选择DNS的时候,忘了选择了什么选项,像是本机什么什么的。反正就是没有设置DNS就过去了。后来也证明,DNS服务器没有正常启动。 打开DNS服务器,开启DNS服务,看了看正向搜索区域,里边有https://www.360docs.net/doc/5d9234739.html, -->192.168.0.1的项,应该正常吧。网上顺便看了看MX记录的问题,发觉DNS服务器有很多类型,但是WIN2003的DNS没有这样的记录类型(比如主机类型,TXT类型,邮箱或通信信息),微软真菜,盖子的决心不够啊!^_^
打开XP虚拟机,将他加入域的时候,发觉只能用NETBIOS名称加入域,而不能用完整域名加入。提示: Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt. The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain https://www.360docs.net/doc/5d9234739.html,: The error was: "DNS name does not exist." (error code 0x0000232B RCODE_NAME_ERROR) The query was for the SRV record for _ldap._tcp.dc._https://www.360docs.net/doc/5d9234739.html, Common causes of this error include the following: - The DNS SRV record is not registered in DNS. - One or more of the following zones do not include delegation to its
IBM跨域认证简单解决方案
跨域认证简单解决方案-使用第三方Cookie 概述 跨域认证,意味着用户在一个入口登录后可以无障碍的漫游到其它信任域。也就是所谓的单点登录(SSO)。对于大型的服务提供着,常用的方法有:使用安全断言标记语言(SAML)、基于公开密钥技术(PKI-Pubic Key Infrastructure)的Kerberos网络认证协议或者使用Windows采用的认证方案LanManager认证(称为LM协议-对于NT 安装Service Pack4以后采用NTLM v2版本)。这些认证方式需要单独的认证服务器,对于普通的使用者来说,既难已实现,也不太可能搭建单独的服务器。有没有一种简单又安全的认证方式呢? 本文的目标 使用Cookie和SHA1结合实现简单又安全的认证,如用户在https://www.360docs.net/doc/5d9234739.html,中登录后,无需再次登录就可以 直接使用https://www.360docs.net/doc/5d9234739.html,中提供的服务。 Cookie是什么 Cookie 是由Web 站点创建的小文本文件,存储在您的计算机上。这样,当您下一次访问该站点时,它可以自动获取有关您的信息,例如浏览喜好,或您的姓名、地址及电话号码。 关键词 SSO(Single Sign-On)-单点登录 SAML(Security Assertions Markup Language)-安全断言标记语言 Cross-Realm Authentication -跨域认证 PKI(Pubic Key Infrastructure)-公开密钥技术 SHA1(Secure Hash Algorithm 1)-安全哈希算法1 P3P(The Platform for Privacy Preferences)隐私参数选择平台 单一认证模型 1、用户使用a_logon.aspx登录服务器https://www.360docs.net/doc/5d9234739.html, 2、在a_logon.aspx中自动嵌入iframe其src指向https://www.360docs.net/doc/5d9234739.html,的b_auth.php 3、https://www.360docs.net/doc/5d9234739.html,认证成功后在客户端写入Cookie,通过iframe调用b_auth.php 传递认证参数(经过SHA1后) 4、b_auth.php认证成功后在客户端写入认证Cookie 5、完成https://www.360docs.net/doc/5d9234739.html,和https://www.360docs.net/doc/5d9234739.html,的统一认证 问题: 上面提到的过程如果使用FireFox浏览器b_auth.php能够成功写入Cookie,如果使用IE6.0及 以上版本b_auth.php写入Cookie失败。 原因: IE 6.0支持P3P,IE 6的缺省隐私等级设置为"中"——即"阻止没有合同隐私策略的第三方 cookie"。而在用户浏览a_logon.aspx时https://www.360docs.net/doc/5d9234739.html,写入的为第一方Cookie,其嵌入的iframe指向 b_auth.php 这时https://www.360docs.net/doc/5d9234739.html,写入的就为第三方Cookie了,所以它是被IE当在了大门外。 解决方法: 让用户改变IE安全策略,允许第三方Cookie,这似乎很简单,可是用户会听你的吗?另一种 解决方法使用P3P,在b_auth.php中添加P3P头。网上google一下好像很多,本着不求甚解的原则 Copy来就是了。如下: header('P3P: CP="CURa ADMa DEVa PSAo PSDo OUR BUS UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"') 实现代码
客户端不能加入域的解决方法和步骤
客户端不能加入域?解决资料整合 加入域出现以下错误,windows无法找到网络路径,请确认网络路径正确并且目标计算机不忙或已关闭?核心提示: 在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 故障现象:单位有一台运行Windows XP系统的办公用计算机,由于工作需要准备将它加入到已经建立好的基于Windows Server 2003系统的域中。按照正常的操作步骤进行设置,在“系统属性”的“计算机名”选项卡中加入域的时候,系统要求输入有权限将计算机加入域的用户名和密码(这表示已经找到域控制器)。然而,在输入管理账号和密码并点击“确定”按钮后,系统却提示“找不到网络路径”,该计算机无法加入域。 解决方法: 由于客户端计算机能够找到域控制,因此可以确定网络的物理连接和各种协议没有问题。此外,由于可以在该计算机上找到域控制器,说明DNS解析方面也是正常的。那为什么能找到域控制器却又提示无法找到网络路径呢?这很可能是未安装“Microsoft网络客户端”造成的。在“本地连接属性”窗口的“常规”选项卡中,确保“Microsoft网络客户端”处于选中状态,然后重新执行加入域的操作即可。 “Microsoft网络客户端”是客户端计算机加入Windows 2000域时必须具备的组件之一,利用该组件可以使本地计算机访问Microsoft网络上的资源。如果不选中该项,则本地计算机没有访问Microsoft网络的可用工具,从而导致出现找不到网络路径的提示。本例故障的解决方法启示用户,为系统安装常用的组件和协议可以避免很多网络故障的发生, 计算机本地连接自带的防火墙也应该关闭.以避免应该防火墙的问题造成无法与域控制器通信. 服务端(域控制器):Microsoft网络文件和打印共享和网络负载平衡没选择上去, 一定要选择上Microsoft网络文件和打印共享和网络负载平衡。 客户端要加入域,相关的服务要开始:
统一用户认证和单点登录解决方案
统一用户认证和单点登录解决方案随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码, 大 和标识了不同的个体。 .向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 .应用系统对用户基本信息的增加、修改、删除和查询等请求由处理。 .应用系统保留用户管理功能,如用户分组、用户授权等功能。 .应具有完善的日志功能,详细记录各应用系统对的操作。
统一用户认证是以为基础,对所有应用系统提供统一的认证方式和认证策略,以识别用户身份的合法性。统一用户认证应支持以下几种认证方式: .匿名认证方式: 用户不需要任何认证,可以匿名的方式登录系统。 .用户名密码认证:这是最基本的认证方式。 数字证书认证:通过数字证书的方式认证用户的身份。 地址认证:用户只能从指定的地址或者地址段访问系统。 ( 保证了数据在传输过程中的机密性(不被非法授权者偷看)、完整性(不能被非法篡改)和有效性(数据不能被签发者否认)。 数字证书有时被称为数字身份证,数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。身份验证机构的数字签名可以确保证书信息的真实性。 完整的系统应具有权威认证机构()、证书注册系统()、密钥管理中
心()、证书发布查询系统和备份恢复系统。是的核心,负责所有数字证书的签发和注销;接受用户的证书申请或证书注销、恢复等申请,并对其进行审核;负责加密密钥的产生、存贮、管理、备份以及恢复;证书发布查询系统通常采用(,在线证书状态协议)协议提供查询用户证书的服务,用来验证用户签名的合法性; 备份恢复系统负责数字证书、密钥和系统数据的备份与恢复。 单点登录(,)是一种方便用户访问多个系统的技术,用户只需在登录 的知识参看链接)。 用户认证中心实际上就是将以上所有功能、所有概念形成一个整体,为企业提供一套完整的用户认证和单点登录解决方案。一个完整的用户认证中心应具备以下功能: . 统一用户管理。实现用户信息的集中管理,并提供标准接口。 . 统一认证。用户认证是集中统一的,支持、用户名密码、和等多种身份
几种常见缺陷管理工具
集中常见缺陷管理工具 (1)Mantis Mantis是一个基于PHP技术的轻量级的开源缺陷跟踪系统,其功能与JIRA系统类似,都是以Web操作的形式提供项目管理及缺陷跟踪服务。在功能上可能没有JIRA那么专业,界面也没有JIRA漂亮,但在实用性上足以满足中小型项目的管理及跟踪。 https://www.360docs.net/doc/5d9234739.html,/TrackBack.aspx?PostId=1455738
作者:龚云卿 2005年8月 1 简介 缺陷管理贯穿于整个软件开发生命周期中, 是不可缺少的环节。Mantis是 PHP/MySQL/Web-based缺陷跟踪系统,Mantis当前版本为1.0.0a3。关于产品详细信息和支持,请访问主页。 2 基本特性 1) 个人可定制的Email通知功能,每个用户可根据自身的工作特点只订阅相关缺陷状态邮件; 2) 支持多项目、多语言; 3) 权限设置灵活,不同角色有不同权限,每个项目可设为公开或私有状态,每个缺陷可设为公开或私有状态,每个缺陷可以在不同项目间移动; 4) 主页可发布项目相关新闻,方便信息传播; 5) 方便的缺陷关联功能,除重复缺陷外,每个缺陷都可以链接到其他相关缺陷; 6) 缺陷报告可打印或输出为CSV格式:支持可定制的报表输出,可定制用户输入域; 7) 有各种缺陷趋势图和柱状图,为项目状态分析提供依据,如果不能满足要求,可以把数据输出到Excel中进一步分析; 8) 流程定制不够方便,但该流程可满足一般的缺陷跟踪; 9) 可以实现与CVS集成:缺陷和CVS仓库中文件实现关联; 10) 可以对历史缺陷进行检索。 3 功能详细 3.1 概要 问题跟踪系统主要功能包括: 1) 多项目管理 2) 问题录入 3) 问题查询和关键词检索 4) 问题更新 5) 问题讨论
谁都能看懂的单点登录(SSO)实现方式(附源码)
谁都能看懂的单点登录(SSO)实现方式(附源码) SSO的基本概念 SSO英文全称Single Sign On(单点登录)。SSO是在多个应用系统中,用户只需要登录一次就可以访问所有相互信任的应用系统。它包括可以将这次主要的登录映射到其他应用中用于同一个用户的登录的机制。它是目前比较流行的企业业务整合的解决方案之一。(本段内容来自百度百科) 今天这篇文章将介绍SSO的一种实现方式,代码超简单,仅用来验证我的思路是否可行,具体细节请大家来完善! 二级域名的单点登录 什么是二级域名呢?例如: ?https://www.360docs.net/doc/5d9234739.html, ?https://www.360docs.net/doc/5d9234739.html, 对于二级域名的单点登录,我们可以非常方便的通过共享cookie来实现,简单的说,就是在设置Form票据的时候,将cookie的domain设置为顶级域名即可,例如: HttpCookie cookie = new HttpCookie(FormsAuthCookieName, encryptedTicket); cookie.Expires = rememberMe ? expirationDate : DateTime.MinValue; cookie.HttpOnly = true; cookie.Path = "/"; cookie.Domain = "https://www.360docs.net/doc/5d9234739.html,"; context.Response.Cookies.Set(cookie); 这种方式不涉及跨域,当cookie的domain属性设置为顶级域名之后,所有的二级域名都可以访问到身份验证的cookie,在服务器端只要验证了这个cookie就可以实现身份的验证。
极通Ewebs常见问题解答..
(常见问题解答): 1,为什么极通客户端登录网页打不开? 答:请检查此电脑是否能打开其它网页及QQ是否能正常登录,如正常可能是服务器那边网络有问题,请联系系统管理员处理。否则,则有可能是您电脑网络有问题。 2,远程客户端访问服务器非常慢,是什么问题? 答:客户端连接服务器慢有以下原因: a,服务器端或者客户端电脑中毒; b,服务器端的配置,内存达不到客户端连接的需要; c,实际传输的网速不够快。 3,为什么有的用户不能正常使用虚拟打印而其他用户可以? 答:客户端若是已经设置好虚拟打印后,在使用应用程序打印的时候必须选择NfEwebs虚拟打印机。 4, 为什么服务器上安装好虚拟打印后客户端依然不能使用虚拟打印? 答:1. 首先确认客户端打印本地文档是否正常,还有本地打印机支持的打印纸张范围是多大,若是软件设置的纸张范围超过打印机的打印范围请重新设置纸张格式; 2,在极通EWEBS中客户端在第一次使用虚拟打印不能进行正常打印时,建议先选择PDF打印,然后在选择虚拟打印就可以了。
注意:在选中虚拟打印后要重新退出应用程序这次的虚拟打印才有效。 5,登录后双击运行程序,显示“该应用程序暂时没有可供使用的服务器或许可,请稍后再试”? 答: 第一种情况是: 1.是客户的点数满了,这个情况里包括实际使用人数占满了点数,还有客户端的用户操作时多占用了点数。2。就是服务器的内存和CPU使用率超过80%,超过了软件负载平衡限制。建议稍后再试或通知管理员。 或者 第二种情况是:进入极通管理平台,查看是注册状态是否已过期。如已过期,请检查加密狗是否插,指示灯是否正常。如已插上,请检查电脑是否已检测到加密狗。然后进入开始 程序 极通EWEBS应用虚拟化系统 授权管理工具,刷新Ukey看是否有加密设备号。如没有则表示未检测到加密狗,请插到其他的USB 口试试。否则表示加密狗已损坏或与操作系统不兼容。
单点登录解决方案
统一用户认证和单点登录解决方案 总队版的互联网服务平台想要通过网站上的链接直接连接到公司开发的增值平台,并且希望从总队版互联网服务平台登录的用户链接到公司的增值平台后不需要二次登录,针对这一需求我们可以采用同一用户认证和单点登录的方式来实现,下面介绍了统一用户的基本原理和单点登录的一些解决方案。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。例如,用户X 需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: 1.用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。 2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。4.应用系统保留用户管理功能,如用户分组、用户授权等功能。 5.UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。
域控问题
客户机不能加入域的终极解决方法 2010-09-28 12:54 解决办法一: 客户机加入域时的错误各种各样,但总的来说,客户机不能加入域的解决方法部外乎以下几种: 1、将客户机的第一DNS设为AD的IP,一般DNS都时和AD集成安装的,清空缓存并重新注册 ipconfig /flushdns 清空DNS ipconfig /registerdns 重新申请DNS 2、关闭客户端防火墙 3、只留IP为AD的第一DNS,第二DNS设为空 4、在AD服务器的DNS建立客户机的SRV记录 5、启动DNS和TCP/IP NetBIOS Helper Service服务 6、更改主机名并在服务器上删除已经存在的DNS记录,重启 7、域中的客户机的系统时间必须同步或慢于DC服务器的系统时间1分钟(不得超过10分钟) 解决办法二: 不能联系域 1.您无法用NetBois域名加入域。 2.组策略无法正常应用。 3.无法打开网上领居和访问共享文件。 这个问题有可能是Wins服务器没有正确配置或TCP/IP NetBIOS没有启动造成的。我建议您做如下的检查: 建议一:如果您的域中有Wins服务器,请检查客户机的Wins配置看是不是指向Wins服务器。另外,请打开Wins服务器,看https://www.360docs.net/doc/5d9234739.html,记录正确注册。 建议二:如果 TCP/IP NetBIOS Helper Service(TCP/IP NetBIOS 支持服务)没有在客户端计算机上运行,可能会出现此问题。要解决此问题,请启动 TCP/IP NetBIOS 支持服务。要启动 NetBIOS 支持服务,请按照下列步骤操作: 1. 使用具有管理员权限的帐户登录到客户机。 2. 单击“开始”,单击“运行”,在“打开”框中键入 services.msc,然后单击“确定”。 3. 在服务列表中,双击“TCP/IP NetBIOS Helper Service”。您看到的文章来自活动目录seo 4. 在“启动类型”列表中,单击“自动”,然后单击“应用”。 5. 在“服务状态”下,单击“启动”以启动 TCP/IP NetBIOS 支持服务。 6. 当该服务启动后,请单击“确定”,然后退出“服务”管理单元。
统一用户认证和单点登录解决方案
统一用户认证和单点登录解决方案 本文以某新闻单位多媒体数据库系统为例,提出建立企业用户认证中心,实现基于安全策略的统一用户管理、认证和单点登录,解决用户在同时使用多个应用系统时所遇到的重复登录问题。 随着信息技术和网络技术的迅猛发展,企业内部的应用系统越来越多。比如在媒体行业,常见的应用系统就有采编系统、排版系统、印刷系统、广告管理系统、财务系统、办公自动化系统、决策支持系统、客户关系管理系统和网站发布系统等。由于这些系统互相独立,用户在使用每个应用系统之前都必须按照相应的系统身份进行登录,为此用户必须记住每一个系统的用户名和密码,这给用户带来了不少麻烦。特别是随着系统的增多,出错的可能性就会增加,受到非法截获和破坏的可能性也会增大,安全性就会相应降低。针对于这种情况,统一用户认证、单点登录等概念应运而生,同时不断地被应用到企业应用系统中。 统一用户管理的基本原理 一般来说,每个应用系统都拥有独立的用户信息管理功能,用户信息的格式、命名与存储方式也多种多样。当用户需要使用多个应用系统时就会带来用户信息同步问题。用户信息同步会增加系统的复杂性,增加管理的成本。 例如,用户X需要同时使用A系统与B系统,就必须在A系统与B系统中都创建用户X,这样在A、B 任一系统中用户X的信息更改后就必须同步至另一系统。如果用户X需要同时使用10个应用系统,用户信息在任何一个系统中做出更改后就必须同步至其他9个系统。用户同步时如果系统出现意外,还要保证数据的完整性,因而同步用户的程序可能会非常复杂。 解决用户同步问题的根本办法是建立统一用户管理系统(UUMS)。UUMS统一存储所有应用系统的用户信息,应用系统对用户的相关操作全部通过UUMS完成,而授权等操作则由各应用系统完成,即统一存储、分布授权。UUMS应具备以下基本功能: 1.用户信息规范命名、统一存储,用户ID全局惟一。用户ID犹如身份证,区分和标识了不同的个体。2.UUMS向各应用系统提供用户属性列表,如姓名、电话、地址、邮件等属性,各应用系统可以选择本系统所需要的部分或全部属性。 3.应用系统对用户基本信息的增加、修改、删除和查询等请求由UUMS处理。 4.应用系统保留用户管理功能,如用户分组、用户授权等功能。 5.UUMS应具有完善的日志功能,详细记录各应用系统对UUMS的操作。
客户端加域问题及处理方案总结
1. 加域后如何退出域? 解释: 退域步骤:右键我的电脑→属性→计算机名→更改→在隶属于区域选择”工作组”→输入 WORKGROUP→点击确定→在弹出验证对话框里输入”域账户和密码”→点击确定。以给出的文档里有退 域的操作步骤。 2. 提醒:在加域过程中如遇到PC装有SQL,加域后不能正常使用。 解决办法:在加域后需要重新设定SQLSERVER服务的身份验证,步骤:开始→运行→services.msc→右键 SQL server→属性→登录→点击此账号输入域用账号和密码→应用。 3. 加域后的客户端操作系统由XP更换WIN7怎么操作? 解决办法:建议先退域,更换操作系统后重新加域,退域步骤:右键我的电脑→属性→计算机名→更改→ 在隶属于区域选择”工作组”→输入WORKGROUP→点击确定→在弹出验证对话框里输入”域账户和密码” →点击确定。 4. 新员工需要用到离职人员的计算机,该怎么处理? 解决方法:根据新员工的工号,更改相应的计算机名称,把新员工的AD账号加入到本地管理员组中。 5. 文件服务器还存在原来的域环境中,怎么办? 解决办法:客户端加入到新的域后,通过IP地址进行访问文件服务器,会弹出相应的对话框并提示输入 账号密码,需输入原有域的相应访问账号和密。 6. 公用PC机更改计算机名称失败。 解决办法: 经过排查,网络管理员做了限制,打开限制后更改计算机名称完成。 7. 如果用户更换新计算机旧计算机给新用户使用该怎么处理? 解决办法:更改计算机名(按照总部命名规则更改)在administrators组中添加对应用户名或重新安 装操作系统重新加域。 8. 多人使用同一台计算机应该怎么做? 解决办法:将使用同一台计算机的域用账号加入到本地Administrators组里,步骤:选中我的电脑点击 鼠标右键→管理→本地用户和组→组→双击administrators→添加→输入使用同一台计算机的域用账号 →点击检查名称→确定。 9. 加域后不能正常打印。 解决办法:重新添加打印机.操作步骤:控制面板→双击打印机→点击添加打印机→点击下一步→选择网 络打印机或连接到其他计算机的打印机→点击下一步→选择连接到这台打印机→输入”\\IP地址\打印 机名称→点击下一步→选择打印机→点击下一步→确定”。 1. 实践加域时出现RPC服务器不可用。 解决办法:端口关闭导致,建议开启端口。AD服务器之间无法通信(135、137、42)。管理人员表示,两 台服务器并未做端口限制,初步判断是由于AD组件损坏相关服务无法启动导致相关端口无法正常通信。 , 1. 已有DNS服务器,该怎么做? 解决办法: 在已有的DNS服务器上做转发。 1. newsid工具在加域之前是否都得使用? 解释:如果操作系统是XP并且是ghost则需要运行newsid工具,OEM版则不需要,手动更改计算机名即可。 如果操作系统是win7并且是ghost,数量较少则不建议运行newsid,如果是大批量ghost,首先要备份C 盘数据,之后在运行newsid工具,因为newsid只支持到XP操作系统,win7则不保证运行newsid后不会 出现各种问题。
ad域管理工具
Ad域管理工具 按照ITIL、COBIT、MOF等安全操作规范的要求,对于生产服务器包括活动目录域AD域服务器域控制器,应该尽量减少物理接触及直接登录,即便是AD域管理员也应该尽量实施远程管理。这样能够最大限度的降低AD域控制器的故障几率。那么活动目录域AD域控制器的远程管理工具都有哪些呢? 活动目录域AD域控制器的远程管理工具最常见的有两种:adminpak.msi 以及 gpmc.msc。您可以在域中的一台计算机上安装它们,从而对活动目录域AD实施远程管理。不过有个前提,您必须使用域管理员的账户登录到这台计算机上。 提示:为了避免活动目录域管理员登录后的token被窃取攻击的可能性,用户活动目录域AD远程管理的这台计算机一定要确保它的安全,这可能包括物理隔绝。 adminpak.msi全称windows Server 管理工具包,它包含了如下三个活动目录域AD域控制器远程管理工具: ? Active Directory 域和信任关系 domain.msc ? Active Directory 站点和服务 dssite.msc ? Active Directory 用户和计算机 dsa.msc 此外还有一个和活动目录域AD管理很紧密的工具 dns管理工具 dnsmgmt.msc adminpak.msi伴随os版本而发布不同的版本,大家在下载的时候,请选择对应版本。Windows Server 2003 R2 管理工具包 (x86) https://www.360docs.net/doc/5d9234739.html,/downloads/details.aspx?displaylang=zh-cn&FamilyID=9bfb 44f5-232a-4fb5-bc14-45bfd81b7ac1 Windows Server 2003 Service Pack 1 Administration Tools Pack Windows Server 2003 Administration Tools Pack