1. 在「本機原則\稽核原則」中的稽核原則以及「進階稽核原則設定」中的稽核原則有何差異？

[安全性設定\本機原則\稽核原則] 中的基本安全性稽核原則設定以及 [安全性設定\進階稽核原則設定\系統稽核原則] 中的進階安全性稽核原則設定似乎重疊，但它們以不同方式記錄及套用。當您使用本機安全性原則，將基本稽核原則設定套用至本機電腦時，您是編輯有效稽核原則，因此對基本稽核原則設定所做的變更與 Auditpol.exe 中的設定完全相同。

這兩個位置中的安全性稽核原則設定之間還有一些差異。

[安全性設定\本機原則\稽核原則] 底下有九個基本稽核原則設定，[進階稽核原則設定] 底下則有 53 個設定。[安全性設定\進階稽核原則設定] 中的設定與 [本機原則\稽核原則] 中的九個基本設定處理類似問題，但前者讓系統管理員對要稽核的事件數目和類型有更多的選擇。例如，基本稽核原則對帳戶登入提供單一設定，進階稽核原則提供四個設定。啟用單一基本帳戶登入設定相當於設定所有四個進階帳戶登入設定。相較之下，設定單一進階稽核原則設定並不會產生您不感興趣之活動的稽核事件。此外，如果您啟用基本 [稽核帳戶登入事件] 設定的成功稽核，只會記錄所有帳戶登入相關行為的成功事件。相較之下，您可以對一個進階帳戶登入設定來設定成功稽核，對第二個進階帳戶登入設定來設定失敗稽核，對第三個進階帳戶登入設定來設定成功和失敗稽核，或設定不稽核，視組織需求而定。

[安全性設定\本機原則\稽核原則] 底下的九個基本設定是在 Windows 2000 中引進，因此可用於所有之後發行的 Windows 版本。進階稽核原則設定是在 Windows Vista 和 Windows Server 2008 中引進。進階設定只能用於執行 Windows 7、Windows Vista、Windows Server 2008 R2 或 Windows Server 2008 的電腦上。

2. 基本稽核原則設定和進階稽核原則設定之間有何互動？

基本稽核原則與使用 Windows Server 2008 R2 和 Windows 7 群組原則所套用的進階稽核原則設定不相容。這是因為使用群組原則套用進階稽核原則設定後，目前電腦的稽核原則設定會立即清除，然後才能套用產生的進階稽核原則設定。在使用群組原則套用進階稽核原則設定之後，只能使用進階稽核原則設定，可靠地設定電腦的系統稽核原則。

編輯及套用本機安全性原則中的進階稽核原則設定，會修改本機群組原則物件 (GPO)，因此如果有來自其他網域 GPO 或登入指令碼的原則時，此處所做的變更可能不會正確反映在 Auditpol.exe 中。這兩種原則類型都可以使用網域 GPO 進行編輯及套用，而且這些設定會覆寫任何衝突的本機稽核原則設定。不過，因為基本稽核原則是在有效稽核原則中記錄，需要變更時必須明確移除稽核原則，否則變更會保留在有效稽核原則中，而使用本機或網域群組原則設定所套用的原則變更則會在套用新原則時立即反映。

重要

無論使用群組原則或登入指令碼來套用進階稽核原則，請勿同時使用 [本機原則\稽核原則] 底下的基本稽核原則設定以及 [安全性設定\進階稽核原則設定] 底下的進階設定。同時使用進階和基本稽核原則設定可能會產生非預期的結果。如果您使用 [進階稽核原則設定] 設定或登入指令碼 (適用於執行 Windows Vista 或 Windows Server 2008 的電腦)，來套用進階稽核原則，務必啟用 [本機原則\安全性選項] 底下的 [稽核: 強制執行稽核原則子類別設定 (Windows Vista 或更新版本) 以覆寫稽核原則類別設定] 原則設定。這樣將可藉由強制略過基本安全性稽核，防止在類似設定之間發生衝突。

3. 如何將安全性稽核原則從進階稽核原則回復到基本稽核原則？

套用進階稽核原則設定會取代任何類似的基本安全性稽核原則設定。如果您之後將進階稽核原則設定變更為 [未設定]，則您需要完成下列步驟，才能還原為原始的基本安全性稽核原則設定：

1. 將所有進階稽核原則子類別設定為 [未設定]。
2. 將網域控制站 %SYSVOL% 資料夾中的所有 audit.csv 檔案刪除。
3. 重新設定並套用基本稽核原則設定。

除非完成這些所有步驟，否則無法還原基本稽核原則設定。

Reference:進階安全性稽核常見問題集

http://technet.microsoft.com/zh-tw/library/ff182311(v=ws.10).aspx#BKMK_19

Issue: we can't see anything about license information from TS configuration console

- The Terminal server & Licensing server are in two different domain

確認此問題跟權限有關係, 這是Terminal License 的一個產品設計

Running Licensing Diagnosis
Licensing Diagnosis must be run by a user having administrator privileges. In a domain, it is recommended that a domain account with administrator privileges be used to ensure optimal usability and results.

Reference: http://blogs.msdn.com/b/rds/archive/2007/11/30/terminal-services-licensing-diagnosis-snap-in-extension.aspx

Meanwhile, these two domain should be two-way trust.

Important

To issue RDS Per User CALs to users in other domains, there must be a two-way trustbetween the domains, and the license server must be a member of the Terminal Server License Servers group in those domains.

Reference: http://technet.microsoft.com/en-us/library/cc754625.aspx

啟動同時 wbengine.exe crash造成失敗

記錄檔名稱:         Application

來源:            Application Error

日期:            2012/3/5 上午 10:22:27

事件識別碼:         1000

工作類別:          (100)

等級:            錯誤

關鍵字:           傳統

使用者:           不適用

電腦:            ComputerName

��述:

失敗的應用程式名稱: wbengine.exe，版本: 6.1.7601.17514，時間戳記: 0x4ce79951

失敗的模組名稱: wbengine.exe，版本: 6.1.7601.17514，時間戳記: 0x4ce79951

例外狀況碼: 0xc0000005

錯誤位移: 0x000000000010ffdf

失敗的處理程序識別碼: 0xd78

失敗的應用程式開始時間: 0x01ccfa76ca13df2b

失敗的應用程式路徑: C:\Windows\system32\wbengine.exe

失敗的模組路徑: C:\Windows\system32\wbengine.exe

報告識別碼: 0d03b8b9-666a-11e1-81ab-e41f1361684e

解決方法︰

移除不正確 :\System Volume Information\WindowsImageBackup\Catalog 路徑下的檔案

或是使用指令

wbadmin delete catalog

參考

Wbadmin delete catalog

http://technet.microsoft.com/en-us/library/cc742154(v=ws.10).aspx

這是By Design 的行為TS console不會儲存credential

解決方法︰

您可以將用來登入網站或網路的密碼儲存在 Windows 中。如此一來，您就不必輸入密碼，因為每次您返回該位置時，Windows 將會自動為您登入。

1. 開啟 [使用者帳戶]，請依序按一下 [開始] 按鈕、[控制台]、[使用者帳戶和家庭安全] (如果您是連線至網路網域，則按一下 [使用者帳戶])，再按 [使用者帳戶]。
2. 在左窗格中，按一下 [管理您的網路密碼]。
3. 按一下 [新增]。
4. 在 [登入到] 方塊中，輸入您要存取之網路上的電腦名稱或網站的 URL。
5. 在 [使用者名稱] 與 [密碼] 方塊中，輸入用於該電腦或網站的使用者名稱與密碼，然後按一下 [確定]。

儲存自動登入的密碼

http://windows.microsoft.com/zh-TW/windows-vista/Store-passwords-for-automatic-logon

Issue: Schedule Task failed to start randomly

Cause: There is a Domain Policy defined for “Logon as batch job”, this settings will overwrite all local account’s right.

Repro Step:

1.      Create a Schedule Task using local administrator account and password

2.      Test run these tasks

3.      Define “Logon as batch job” at domain level

4.      Run gpupdate /force at Server 2003

5.      Once we did apply this policy from Domain, try to run task, it will failed

       Failed with “could not start”

Workaround:

·         Include the default administrator account at “Logon as batch job” policy

Reference:

http://technet.microsoft.com/en-us/library/cc755659(v=ws.10).aspx

Log on as a batch job

In Windows 2000 Server, Windows 2000 Professional, Windows XP Professional, and Windows Server 2003, the Task Scheduler automatically grants this right as necessary. The Task Scheduler injects this right for the user into the computer's effective policy immediately after the task is scheduled. If there is a contradictory group policy defining the Logon as a batch job user right, the effective policy settings will be overwritten by the group policy only upon policy refresh.