新建域时本地ADMINISTRATOR账户密码不符合

更改AD域安全策略-密码必须符合复杂性要求
在域环境中,修改域⽤户密码时,会提⽰不符合密码策略, 更改“本地安全策略”是不会对域产⽣任何的作⽤的。

上图中可以看,这⾥按钮都是灰⾊的！
下⾯这个步骤教你如何找到“域安全策略”
1.打开服务管理器
2.'⼯具'⾥选择'组策略管理'
3.右键选择Edit（编辑）,点击:Computer Configuration（计算机配置）–Policies（策略）–Windows Settings（Windows设置）–Security Settings（安全设置）
4.双击'密码测略',选择禁⽤
5.更新⼀下，使策略修改⽣效。

1、等待系统⾃动刷新组策略，约5分钟~15分钟.
2、重启域控制器（若是修改的⽤户策略，注销即可）
3、使⽤gpupdate命令
仅刷新计算机策略：gpupdate/target:computer
仅刷新⽤户策略：gpupdate/target:user
⼆者都刷新：gpupdate　/force。

因为没有硬件环境，因此我使用的是VMware Workstation 5.5.3创造了一个组，电脑配置不高，暂时只建立两台电脑，一个运行WIN2003中文版，双网卡，一个用NAT和物理网络相互连接，一个连接LAN1虚拟网络部分。

一个运行XP SP3英文版，单网卡，连接LAN1。

这样可以尽量和物理网络区分开来，并且可以适用于大部分实验。

VMware建立组的方法很简单FILE-->NEW-->Team，后边的一看就会，不说了。

1、DNS设置不正确的问题安装活动目录，就在选择DNS的时候，忘了选择了什么选项，像是本机什么什么的。

反正就是没有设置DNS就过去了。

后来也证明，DNS服务器没有正常启动。

打开DNS服务器，开启DNS服务，看了看正向搜索区域，里边有 -->192.168.0.1的项，应该正常吧。

网上顺便看了看MX记录的问题，发觉DNS服务器有很多类型，但是WIN2003的DNS没有这样的记录类型（比如主机类型，TXT类型，邮箱或通信信息），微软真菜，盖子的决心不够啊！^_^打开XP虚拟机，将他加入域的时候，发觉只能用NETBIOS名称加入域，而不能用完整域名加入。

提示：Note: This information is intended for a network administrator. If you are not your network's administrator, notify the administrator that you received this information, which has been recorded in the file C:\WINDOWS\debug\dcdiag.txt.The following error occurred when DNS was queried for the service location (SRV) resource record used to locate a domain controller for domain :The error was: "DNS name does not exist."(error code 0x0000232B RCODE_NAME_ERROR)The query was for the SRV record for _ldap._tcp.dc._Common causes of this error include the following:- The DNS SRV record is not registered in DNS.- One or more of the following zones do not include delegation to itschild zone:com. (the root zone)For information about correcting this problem, click Help.在网上找了很多地方，没有找到答案，都只是提示了说DNS配置错误。

在比较大一点的环境中，我们会经常遇到这样的情况，由于电脑的批次不一样，或IT人员流动的问题，造成电脑的本地管理员密码不一致，当我们需要登录到本地管理员的时候，往往会不知道本地管理员密码，虽然我们可以通过进PE的办法破解密码，但如果电脑比较多，那么这将是一个讨厌的工作。

如果是域环境，我们可以组策略的方式批量修改计算机的本地管理员密码。

在生产环节中不建议直接修改域策略，我们可以创建一个新策略；如果是针对个别OU的，一定要注意很多时候，我们把计算机加入到域后，就将计算机放在了默认的容器里面了，应该将计算机也放入到对应的OU里面；
1、点击服务器任务栏左下角的开始，再点击管理工具
2、组策略管理--右击default domain policy策略（或者新建GPO），在选择编辑
3、展开计算机配置--首选项--控制面板--本地用户和组
4、在右边空白的地方，右键点击，选择新建--本地用户
5、在操作选择更新；用户名选择administrator（内置），并重新输入密码；密码的一些属性，这个根据实际情况选择；
注意：如果是清装原版的系统，都会新建一个管理员账户的，所以在这里并不一定是Administrator
6、选择确定
7、更改好，在右边会出现一个Administrator的账户
注意：如果客户端是Windows XP需要安装KB943729补丁
当然批量修改管理员密码的方法不止这一种，也可以通过脚本，但相对来说使用组策略比较简单，不过组策略的排错有点麻烦，但相对于脚本，我觉得这种方法比较简单，可以根据自己的
情况，选择合适的方法。

系统无法让您登录请确定您的用户名及域无误——请再次输入密码解决案例今天，公司有员工的电脑出现故障，故障现象是登录系统时提示：系统无法让您登录，请确定您的用户名及域无误，请再次输入密码。

用户名是administrator,系统的登录密码肯定是对着了，本地账户，没有域。

就是登录不进去。

具体的解决步骤是这样的：1、用PE登录进去。

修改登录密码，重启系统后还是登录不进去。

2、用PE登录进去，新建一系统账户。

可以登录进去。

3、运行->输入“control userpasswords2”->选上“要使用本机，用户必须输入用户名和密码”4、运行-输入regedit 打开注册表5、展开到[HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\WindowsNT\\CurrentV ersion\\Winlogon ]6、最重要的一步：找到注册表项DefaultDomainName，AltDefaultDomainName，删除。

重启后问题解决。

共享出来希望可以帮到大家。

Chaibf 2012.12教你如何用WORD文档(2012-06-27 192246)转载▼标签：杂谈1. 问：WORD 里边怎样设置每页不同的页眉？如何使不同的章节显示的页眉不同？答：分节，每节可以设置不同的页眉。

文件――页面设置――版式――页眉和页脚――首页不同。

2. 问：请问word 中怎样让每一章用不同的页眉？怎么我现在只能用一个页眉，一改就全部改了？答：在插入分隔符里，选插入分节符，可以选连续的那个，然后下一页改页眉前，按一下“同前”钮，再做的改动就不影响前面的了。

简言之，分节符使得它们独立了。

这个工具栏上的“同前”按钮就显示在工具栏上，不过是图标的形式，把光标移到上面就显示出”同前“两个字来。

3. 问：如何合并两个WORD 文档，不同的页眉需要先写两个文件，然后合并，如何做？答：页眉设置中，选择奇偶页不同与前不同等选项。

win7加入域失败：未知的用户名或密码错误绿萝windows7系统加入域时提示：“登陆失败：未知的用户名或密码错误”，确认用户名和密码没有错误。

解决方法：运行“secpol.msc”，打开本地安全策略，安全设置>本地策略>安全选项：网络安全：LAN管理器身份验证级别，默认是“没有定义”，更改为“发送LM和NTLM响应”即可加入到域什么是LAN Manager 身份验证级别？该安全设置确定网络登录时将使用哪个质询/响应身份验证协议。

该选项会影响客户端使用的身份验证协议的级别、协商的会话安全级别，以及服务器所接受的身份验证级别，具体如下：发送 LM & NTLM 响应：客户端使用 LM 和 NTLM 身份验证，从不使用 NTLMv2 会话安全；域控制器接受 LM、 NTLM 和 NTLMv2 身份验证。

发送 LM 和 NTLM –如果已协商，使用 NTLMv2 会话安全:客户端使用 LM 和 NTLM 身份验证，如果服务器支持，使用 NTLMv2 会话安全；域控制器接受 LM、NTLM 以及 NTLMv2 身份验证。

仅发送 NTLM 响应：客户端仅使用 NTLM 身份验证，如果服务器支持，使用NTLMv2 会话安全；域控制器接受LM、NTLM 以及NTLMv2 身份验证。

仅发送NTLMv2 响应：客户端仅使用NTLMv2 身份验证，如果服务器支持，使用 NTLMv2 会话安全；域控制器接受 LM、NTLM 以及 NTLMv2 身份验证。

仅发送 NTLMv2 响应\拒绝 LM：客户端仅使用 NTLMv2 身份验证，如果服务器支持，使用NTLMv2 会话安全；域控制器拒绝LM （只接受 NTLM 和 NTLMv2 身份验证）。

仅发送NTLMv2 响应\拒绝LM 和NTLM：客户端仅使用NTLMv2 身份验证，如果服务器支持，使用 NTLMv2 会话安全；域控制器拒绝 LM 和 NTLM（只接受 NTLMv2 身份验证）。

在域控制器（DC）中创建域用户账户核心提示：用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。

因此需要为所有的用户创建用户账户。

在域中创建用户账户必须在域控制器中进行……用户必须使用合法的域用户账户，才能从自己的计算机登录到域中。

因此需要为所有的用户创建用户账户。

在域中创建用户账户必须在域控制器中进行，操作步骤如下所述。

第1步，以Administrator（系统管理员）身份登录基于Windows Server 2003的域控制器，然后在开始菜单中依次“管理工具”→“Active Directory 用户和计算机”菜单项，打开“Active Directory用户和计算机”窗口。

小提示：也可以在“运行”框中输入“DSA.MSC”命令打开该窗口。

第2步，在左窗格中双击域名“”，并在展开的目录中双击“Users”容器。

这时可以在右窗格中查看AD域中已经存在的用户账户。

右键单击“Users”容器，在快捷菜单中依次选择“新建”→“用户”命令，如图1所示。

图1 单击“新建”→“用户”命令第3步，打开“新建-用户”对话框，在“用户登录名”编辑框中输入准备创建的用户名称（如“Jinshouzhi1”）。

然后在其他编辑框中输入用户的实际信息，并单击“下一步”按钮，如图2所示。

图2 创建新用户账户小提示：在该对话框中，“用户登录名”是最重要的，这是用户从工作站登录域的时候使用的用户名称。

第4步，在打开的设置密码对话框中，需要在“密码”和“确认密码”编辑框中重复输入用户账户的密码。

然后单击“下一步”按钮，最后单击“完成”按钮完成添加，如图3所示。

图3 设置用户密码小提示：为保证账户的安全性，这个密码一般不应少于6位，并且必须符合密码策略。

否则将出现错误提示，如图4所示。

图4 提示秘密不符合密码策略第5步，重复上述步骤将用户“Jinshouzhi2”和“Jinshouzhi3”添加到“U sers”容器中。

完成以后在“Active Directory用户和计算机”对话框中查看刚才添加的用户列表，如图5所示。

AD域搭建1.添加用户和角色2.默认下一步3.安装类型选择“基于角色或基于功能的安装”，下一步4.选择服务器5.选择域服务6.在选择功能界面，不需要选择任何功能，直接下一步7.确认已经选择所有需要安装的组件后，点击安装8.点击关闭9.提升为域控制器10.添加新林（此林根域名不要与对外服务器的DNS名称相同）11.选择林功能级别，域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器角色第一台域控制器不可以是只读域控制器（RODC）设置目录还原密码（目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码）12.出现此警告无需理会，下一步13.系统会自动创建一个netbios名称14.数据库文件夹：用来存储AD数据库日志文件文件夹：用来存储AD的更改记录，此记录可以用来修复AD数据库SYSVOL文件夹：用来存储域共享文件（例如组策略）（如果计算机内有多个硬盘，建议将数据库与日志文件夹分别放置在不同的硬盘内，分两个硬盘可以提供运行效率，而且分开存储可以避免两份数据同时出现问题，以提高修复AD的能力，或只与操作系统分区分开就可以）15.顺利通过检查，直接安装若提示无法新建域，因本地Administrator帐户密码不符合要求执行cmd—net user administrator /password req:yes16.完成安装后重启17.检查DNS服务器内的记录是否完备域控会将自己扮演的角色注册到DNS服务器内，以便让其他计算机能够通过DNS 服务器来找到域控。

因此先检查DNS服务器内是否已经存在这些记录，需要用域管理员帐户来登录检查主机记录选择管理工具—DNS18.默认会有一个的区域，主机记录表示域控已经正确的将其主机名与ip地址注册到DNS服务器内。

出现密码不满足密码策略的要求提示由于域的规约而导致的问题，问题在于密码设定不符合策略组的规约。

此时需要到域策略中设置响应选项来降低密码的复杂度。

（默认的复杂度需要至少7字符，且包含多个字母和数字）Windows Server 2003解决办法是：选择开始>程序>管理工具>域安全策略>帐户策略>密码策略密码必须符合复杂性要求：由“已启用”改为“已禁用”；密码长度最小值：由“7个字符”改为“0个字符”使此策略修改生效有如下方法：1、等待系统自动刷新组策略，约5分钟~15分钟2、重启域控制器（若是修改的用户策略，注销即可）3、使用gpupdate命令仅刷新计算机策略：gpupdate/target:computer仅刷新用户策略：gpupdate/target:user二者都刷新：gpupdateWindows Server 2008不一样的是, 管理员不能从本地策略组中将其密码策略修改, 而需要从GPM(Group Policy Management)"组策略管理器"中进行修改. 步骤如下:Windows Server 2008中, 打开GPM(Group Policy Management)方法: 依次选择start(开始)->Administrator Tools(管理者工具)->Group Policy Management(组策略管理器)->Run as administrator/Open(使用管理员权限打开)开启GPM之后, 依次展开树状节点:Forest: [YOUR DOMAIN NAME(你的域名)]->domain(域)->[YOUR DOMAIN NAME(你的域名)]->Group Policy Object(组策略对象). 右键点击Default Domain Policy(默认域策略), 选择Edit(编辑)以上操作后将打开Group Policy Management Editor(组策略管理器)对话框, 依次展开树状节点: Computer Configuration(计算机配置)->Windows Settings(Windows设置)->Security Settings(安全设置)->Account Policy(允许策略)->Password Policy(密码策略) 可以看到关于密码的策略设定, 只要将倒数第二项: Password must meet complexity requirments(密码复杂度)项目设成disable即可. 其余的策略因情况而设定.最后选择start->run(运行), 输入gpupdate强制更新组策略设置 .等待命令行结束之后即可完成.。

windows中administrator 和 administrators两个账户的区别administrator起初在DOS操作系统的年代里，很少用这个单词，但是到了Windows NT及以后的Windows 系列系统就开始使用“Administrator”用户名作为系统默认的管理员，后来就为了省事，简单的缩写为“Admin”慢慢的各种各样的需要认证的软件都使用“Admin”、“Administrator”、“Guest”等单词来作为软件默认的用户名。

Administrator的简写形式是Admin，中文意思就是“系统管理员”。

即所谓的“超级用户”。

administrator是电脑里权限不受控的人：每台电脑装上XP系统后,在你自己新建的账户外,会自动新建一个叫administrator 的管理计算机(域)的内置账户,它平时是隐藏的,它是计算机管理员的意思,是拥有计算机管理的最高权限,我们新建的账户都是在它下派生的.它的用途主要用于当常用账号下无法解决问题时,就会进入administrator账户,在这里账户里任何操作都是允许的(一般是在安全模式下进行的开机一直点按F8,选择安全模式,即可进入.维修电脑时多用).它的密码默认是空,可以在控制面板-用户账户里面设置密码,建议设置密码.在开机后选择登陆用户界面时,按下Ctrl+Alt+Del,可以打开用户登陆框,输入administrator和密码(若无密码无须输入)即可进入administrator账户.Admin通常负责编辑整理。

AdministratorsAdministrators准确地说是管理员级别用户组,该用户组下的所有用户的级别均为管理员级,拥有最级别的权限,对该计算机的操作不受任何限制。

其他用户组的权利都或多或少地受到限制。

总的来说，administrator是windows里的超级用户，而administrators是超级用户组。

A1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。

”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。

注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC 的 IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。