問題說明：

假設您有一台Windows 2003 File Server透過委派的方式讓用戶端可以將EFS加密檔案上傳至File Server，並且仍保留EFS加密的屬性，您將要將這台Windows 2003原機升級至Windows 2008，並且確保用戶端仍可以遠端正常開啟這些加密文件，該如何作?

您可以參考 http://support.microsoft.com/kb/948690/en-us文件說明，透過實作過程解釋如下：

我的LAB環境總共三台機器，分別為:

• Machine 1:Windows 2003 DC x1
• Machine 2:Windows 2003 File Server x 1
• Machine 3:Windows XP Client XP  x 1

1. Machine 1對Machine 2做委派 ，讓Machine 3 的Client可以將檔案copy至Machine 2，並且仍保留EFS加密的屬性。

2. 升級Machine 2至Windows 2008 SP2。(備註)

3. 測試從XP連到Machine 2，確認仍可以開啟文件。

=============

備註

在升級完至Windows 2008後，您一定要用文件 http://support.microsoft.com/kb/948690 上的工具做一次掃描，用戶端才能正常使用原來的金鑰去解密，原因是：

1. 您的Client是透過遠端的方式將EFS加密文件上傳至File Server，這個時後，您在 File Server上會產生該帳戶的User profile以存放新的金鑰，但這個Profile並非完整的。您可以去比較曾經在File Server上實際登入過帳戶的Profile，以及未登入過但透過 EFS加密委派產生的Profile裏的結構。如下圖：

有本機登入過帳戶的profile結構：

沒有本機登入過帳戶的profile結構：

2. 檢查HKLM\Microsoft\Windows NT\CurrentVersion\ProfileList機碼，比較有登入過的帳戶及沒有登入過帳戶的機碼，則會如下：

該帳戶有登入過的機碼會是

沒實際登入過，但是透過上傳加密檔案而產生的Profile，機碼是

透過以上檔案結構及機碼的比較，您會發現有登入過該電腦的帳戶及沒有登入過的帳戶Profile很明顯的有所不同。

3. 在原機升級至Windows 2008 SP2後，再來比較一下 User Profile的結構：

有本機登入過帳戶的profile結構：

沒有本機登入過帳戶的profile結構：

4. 再去看HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList機碼，您會發現只剩下曾經本機登入過帳戶的機碼，透過上傳EFS加密文件自動產生Profile對應的機碼都因為升級Windows 2008而刪除了。

5. 因此，我們就必需使用http://support.microsoft.com/kb/948690下載的工具再去掃描系統，然後重建這些連結，解決問題。

指令就是EfsUpgRecoverAccts /R

6. 在執行完後，它將所有沒有登入過的profile轉換成以下的格式 (這些Profile會在後面多了.000)

7. 機碼也會再建立一次，對應的路徑也是會多了.000

8. 從Client去遠端存取file server，可以開啟加密檔案了

問題描述:

一般用戶存取網路資源，若是當前使用者沒有權限，會另外跳一個視窗可以輸入有權限的帳號密碼，我們遇到的狀況是，當使用者若不是網域的成員，使用本機帳號登入存取DC上的網路resource時直接報Access denied存取被拒

解決:

請檢查DC上Guest 帳號是否為啟動，預設為停用，若為啟用，請停用Guest後可以解決此問題

問題描述︰

特定使用者勾選 “password never expire issue”後約半小時勾選自動取消

發生原因︰

當特定使用者隸屬保護群組時會發生這樣的行為

解決方法︰

Windows Server 2003 和 Windows 2000 中的受保護群組：

· Administrators

· Account Operators

· Server Operators

· Print Operators

· Backup Operators

· Domain Admins

· Schema Admins

· Enterprise Admins

· Cert Publishers

根據目前的狀況，以下兩種方式建議

1.讓這些帳號不要隸屬保護群組

2.或是將Account Operators與Server Operators排除保護群組

將Account Operators與Server Operators排除保護群組做法

您可以透過ADSIEDIT.MSC修改

連到CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=Domain,DC,COM

例如

輸入0000000001000003

代表Aaccount operators與Server Operators 停用

以下請參考

0. None 0000000001000000
1. AO 0000000001000001
2. SO 0000000001000002
3. AO + SO 0000000001000003
4. PO 0000000001000004
5. PO + AO 0000000001000005
6. PO + SO 0000000001000006
7. PO + AO + SO 0000000001000007
8. B0 0000000001000008
9. BO + AO 0000000001000009
10. BO + SO 000000000100000A
11. BO + SO + AO 000000000100000B
12. BO + PO 000000000100000C
13. BO + PO + AO 000000000100000D
14. BO + PO + SO 000000000100000E
15. BO + PO + SO + AO 000000000100000F

adminCount Flag若為1代表為保護群組內的成員，排除後該帳號的adminCount Flag不會自動被修改為0，必須手動修改保護群組重設受保護的帳號與群組的adminCount Flag為0

請由ADSIEDIT.MSC修改

修改後請重新嘗試將設定密碼永久有效觀察問題是否可以解決

參考

Delegated permissions are not available and inheritance is automatically disabled

http://support.microsoft.com/kb/817433/en-us

Symptom
========
We are getting Disk transfer (reads and writes) latency is too high alerts.

The Avg. Disk sec/Transfer (LogicalDisk\Avg. Disk sec/Transfer) for the logical disk has exceeded the threshold. The logical disk and possibly even overall system performance may significantly diminish which will result in poor operating system and application performance.

Causes
=======
A high Avg. Disk sec/Transfer performance counter value may occur due to a burst of disk transfer requests by either an operating system or application.

Resolutions
===========
Apply Hotfix 2495300 on Server 2008 and Apply Hotfix 2470949 on Server 2008 R2.

Invalid "Avg. Disk sec/Transfer" value returned by the RegQueryValueEx function in Windows Server 2008 or in Windows Vista
http://support.microsoft.com/kb/2495300/en-us

The RegQueryValueEx function returns a very large incorrect value for the "Avg. Disk sec/Transfer" performance counter in Windows Server 2008 R2 or in Windows 7
http://support.microsoft.com/kb/2470949

問題描述
=============

1. A網域的UserA透過ADMT方式轉移至B網域

2. 嘗試於A網域進行授權式還原UserA帳號

3. 還原過程都是成功的,在沒接上網路線的狀況下也可以正常看到該User

4. 接上網路線後會發現此User帳號會自動被刪除

問題原因
=============

由於ADMT會確保搬移到目的端網域(B網域)的帳號不會同時存在於來源端的網域

所以我們在A網域DC進行授權式還原時 , 只要將DC接回網路線時該帳號就會自動被刪除

替代解決方式
=============

是於來源網域DC上透過ADRestore.exe此工具將刪除的User帳號來解決此問題

參考資料
=============
Create a Rollback Plan
http://technet.microsoft.com/en-us/library/cc974385(WS.10).aspx