2008/3/9
就差水贴和勾线,勾线笔貌似没水了,勾出来的线肉眼基本不可见....
经济窘迫啊,等买到面相笔,估计要停工好久了..
歇歇~
这款PG强袭历时2月,走走停停,现在总算有点样子了..
做完感觉就一个字,累!
从此发誓再也不碰GHD的东西了...地狱啊
2008/2/13
/system32
check expire date "slmgr.vbs -dli "
reset expire date "date slmgr.vbs –rearm"
restart
2008/2/11
真累..脚丫子
脚底板
活动性+内构
好大的缝..难处理
和小黑鼠放一起,这下知道有多大了吧
腿部内构
PG就是PG,活动性没说的,这种设计。。。叹为观止
大概6小时完成以上部分...路漫漫
送TF3人组玉照一张
大腿与小腿...
膝关节
成腿内构..
1/100 MG F91与腿..
穿裤子了...
摸摸...
再摸摸...
2008/2/5
这个刀还真难上色...马克笔怨念哪
上色中
继续....
基本完成..
图来了!
看了照片才知道so多失误..懒得修了
残缺美哇哈哈哈哈...
睡觉 ~
2008/2/2
关于灯泡放入嘴中能否取出的问题。。。。有几位有献身精神的朋友做了试验。。。。
1.直到现在,我仍然不清楚咱们中国的灯泡是不是跟英国一样的。
在英国,灯泡的包装纸上都有警告:“do not put that object into your mouth。”
意思是不要把灯泡放进嘴里。
一帮白痴……那有人会放这东西进口中?英国人都有些白痴……
却说某一日我和一个印度朋友在家中看电视,我和他谈到这件事,他告诉我他们小学的教科书也有说到,因灯泡放进口后便会卡住,无论如果都拿不出来,他十分肯定书是那么说的……但我十分怀疑,我认为灯泡的表面是十分滑的,如果可以放得进口,证明口部足够大让其出入,理论上也可以拿出来。但这印度白痴只说书是那么说的……便一定是正确……结果我被他这种不求甚解的态度弄火了,我骂他笨,他说我不会英文不看书……我们便吵了起来……我一肚子火的回了家,拿起一个普通大小的灯泡在床上左想右想,始终认为我没有错,想到这印度朋友的无知,也本着科学家的精神——大胆假设,小心求证。
我决定要证实给他看。当然,我也做了安全措施……买了一枝油菜回家。若不幸灯泡卡住了便放油,我就不信滑不出来!
一切就绪,二话不说便把灯泡放进口中……
不消1秒便滑入了嘴里,倒也容易……照这样看要拿出来绝无问题。
我当时心想:“这印度白痴,看看我中国人的智慧和胆色吧!不像你这书呆子!”
心想中国战胜印度……打从心里笑了出来……哈哈!
于是我轻松的拉了灯泡一下
……
好!我多用点力,
……
OK!~我把嘴张大一些,
……
不怕,我把嘴张到最大,再多加一点力(要很小心免得拉破灯泡)
……
不是吧!居然真的在里面卡住了……好在还有枝油菜……
(30 分钟后)
我倒了3/4枝油,其中一半倒进了肚子,那灯泡还是动也不动……
这时候,我只好打电话求救……
正当我按到一半,我记起我口中塞了个灯泡……如何说话?
所以现在我只好向邻居求助,我写了一张便条后便去找邻家那老妪。
她一见我便大呼救命……我立即给她看我的便条:please call me a taxi and tell the driver to take me hospital(“请为我招一辆的士,还请告诉司机载我到医院。)
她看了大约1.75分钟后便开始大声狂笑…… (我若不是含着灯泡,非FXXK了她)
15分钟后,的士来了。司机一见我,笑了一会(其实他一直没有停过)。
在的士上不停的问我何以这么做……(……这混帐……我含着灯泡,怎么说话回答他?)
他还不停唠唠叨叨的说我的嘴太小,如果是他的嘴便没有问题……
我看看他的嘴还真是很大……
但我真的好想告诉他,无论如何不要试……可惜我那时开不了口!
我看看他的倒后镜,我好像含住一条金鱼……
在医院,我被护士骂了十多分钟,说我浪费她们时间。
还要我排一条很长的龙……
我在人群中待了2.5小时……2.5小时啊!……
那些痛楚万分的伤者,看见我都好像不痛了……人人都偷偷笑出来……
我忽然觉得自己还有些作用……
后来医生把绵花放进我嘴的两旁,然后把灯泡打碎,一片片的拿了出来……
于是我的嘴肿得很大……最后医生告诉我下回不要试,另外还嘱咐我,让我告诉别人我的经验……
我告诉他我下次一定不会再把灯泡放在嘴里了!
当我离开医院时,我在想这地球一定没有像我这么白痴的生物了……
正当我开门离开时,迎面来了一个人,是刚才那的士司机……
……
……
……
……
……他嘴里含住一个灯泡……
2然后是网友做的试验:
无畏的中国网友之一“树都知道 ”
刚刚试验了
的确拿不出,浪费一个灯泡…………
和一个安全套 —— 献身的多彻底呀~ 呜呜呜
黑暗中对着屏幕给你们打字
btw 你们不能想象我是怎么打碎灯泡的 因为 放进去以后就没法在侧面打碎了
塞螺丝刀进去 没有行程 加不上速度够打碎,后来我含着灯泡用灯泡屁股在厨房洗手池上拍
才拍开,还好没有完全刺烂嘴巴,但还是划伤了,nnd 写到这里我才想到嘴里好像有很重要的血管,早知道就不试验了,还好只是破一点点。
手被灯泡底座上面的小玻璃碴弄破一点 也不严重
灯泡爆炸的时候 声音大到头晕 眼睛都快出来了
意外的结论 路边贩卖机里出售的安全套非常厚实,装灯泡非常安全 早知道用两个,就不会弄破嘴了。
还有就是 味道太难闻了
3无畏的中国网民之二:
俺改进方法,重新做鸟个“把灯泡放进口中”试验!
俺在 树都知道 铜子的感召下,重复鸟这个试验。但是,鉴于前面 树都知道 在试验中可能造成的伤害,俺改进鸟方法!
俺的改进:这个试验是要证明“灯泡放进口中之后会被卡住”,俺想那么换成和灯泡形状大小一样的东东也可以。俺从电影特技中用糖胶玻璃代替真玻璃中得到启发,开始把替代材料定为“冰糖”,后来又想到这冰糖也够硬的,俺又换成鸟“腊”。
试验材料:
安全套1只(俺怕装不进灯泡,买了只特大号的,当时那药店MM的眼神好奇怪),蜡烛10只,40w灯泡2个(一用一备),不锈钢饭盒1个,漏斗1个,脸盆1个,水果刀1把。
试验过程:
一、准备阶段:
1、俺把一个40瓦的灯泡(100瓦的太大鸟,老子的嘴不够大)的金属部分小心敲掉,取出灯丝,放一边备用。脸盆装上自来水放一边备用。
2、再把蜡烛放不锈钢饭盒里,架煤气炉上熔化。熔化后把烛芯捡出。
3、把蜡烛溶液倒进灯泡,放脸盆里冷却。溶液半凝结时,用几根筷子小心的伸进去,插入灯泡2/3深即可(不要与灯泡接触)。溶液凝结差不多,还有点软的时候,再取出筷子。
4、蜡烛溶液完全凝结后,再小心敲掉玻璃。敲玻璃时,最好用块布包住。记住把玻璃碴清理干净。
5、这时,一个灯泡形状的,尾部有孔的“蜡灯”出现鸟!!
6、别急,还有最后一步工作。把水果刀放火上烤热,从“蜡灯”尾部伸进去,小心的把孔扩大,俺把“蜡灯”的壁厚削到10~15mm左右。把“蜡灯”装进安全套,OK,成品完成,开始试验鸟!
二、试验阶段:
1、俺怀着“风萧萧兮易水寒”的心情,把“蜡灯”放进嘴里,的确很容易。
2、果然拿不出来鸟!!!尽管俺把嘴张得最大,还是拿不出来,55555555因为是“蜡灯”,又有充分准备,俺心里也不是很急。的确证明鸟“把灯泡放进口中会被卡住”的论点!!
3、记得前面准备的漏斗吗?这时就派上用场鸟,把漏斗插“蜡灯”的尾部,再把准备的开水(不要太烫的,有60度左右就差不多鸟,就是用来烫脚的温度),仰着头倒进去。
4、虽然是准备充分,但是俺就像只喝水的鹳鸟一样,仰着头傻站在厨房等蜡软化,55555555
几分钟后,俺成功完成试验,虽然没有受伤,但是舌头痛得很,脖子都酸鸟。
试验结论:“把灯泡放进口中的确会被卡住!!!”
为什么呢?
俺感觉到,俺在使劲张嘴的时候,舌头会向上顶,口腔会向里面收缩。而放进去的灯泡会撑大口腔,压迫舌头,使得张嘴得动作无法做到最大。所以,灯泡完整得放进口中去虽然没问题,但是要完整的取出来是不可能的!!!!除非您的生理结构异于常人。
忠告:绝对不要把灯泡放进口中!!!!!
最后结算:
蜡烛溶液还剩大半,可能4只蜡烛就够鸟,浪费啊;安全套、40w灯泡各消耗一只;开水2杯。其他的都还可以继续使用。
蜡烛0.4元/只X10=4元,安全套1元,40w灯泡1元,燃料和水不到1元。总共耗费RMB7元不到。不算俺的人工啊。
PS:谁知道怎么把不锈钢饭盒的蜡烛味去掉啊?俺用餐具洗涤剂都洗不掉
评论
Ivan_Pig 3 天前
一个自然科学的论坛看到的。。。。
robbin大哥有兴趣的话可以试试
反正我不试
DigitalSonic 7 天前
你太有才了,佩服,佩服
robbin 9 天前
其实原理很简单,说通俗点,大概类似于杠杆原理,灯泡进到嘴里之前,嘴一张大,口腔内的空间就相对变小,灯泡头大尾小,很容易就吃进去了;而灯泡进嘴以后,口腔内的空间变大相映嘴就变小,嘴张不了原来那么大,这样一来,灯泡自然就吐不出来了。
robbin 9 天前
《把灯泡从嘴巴里取出来的技巧》
作者:魔鬼教官
试了一下,我觉得世界上还是笨蛋较多,灯泡放进嘴里是可以取出的。我买了支“煌”牌灯泡,45瓦的,最大直径6-7CM的样子,轻松放到嘴巴里,第一次,花了5分钟弄出来,第二次,只需要一两秒。后面屡试不爽。
诀窍在放松舌头和嘴部肌肉的顺序。含进灯泡拿不出来的人,估计是取时过于紧张,关键处是,在取时先把舌根放松,然后试着把舌根下压,这时候嘴巴肌肉放松,可以轻轻地就抽出灯泡。如果仅仅是张大嘴,试图放松嘴巴周围的肌肉,你会怎么都抽不出来的。
2008/1/26
半身+工具
打磨地狱阿....Orz
中间那条缝本来有大概1.5mm宽,怎么也摁不进去(手指不好使劲,卡的特别死,怕伤零件)
实在是要人命,最后心一横,一口咬下去...哇哈哈..
继续 全身照
貌似腿有点松,加固作业中
终于完工拉
话说这个背包还真是重,想背上它站起来那就是浮云,只好丢一边
这家伙刚好又不带支架..主要的问题应该就是大腿关节加固
对了还有盾牌,松垮垮的吊在肩膀上,要想摆个什么姿势出来那还是浮云..
草草勾线后
啊,脖子上有一砣那啥。。。。
看来双面胶+卫生纸的加固方法对于球形关节不适用。。。
睡觉睡觉~
来个浮云...
好重...好重....T_T
SFBB
ZAKU BB
马克笔作业...真难哪
再次发现做模型真是一个极其要求细致的工作..每一步都要精益求精..
加油加油!
2008/1/20
tt的1:144真不错,除了水口基本不用多修整,做起来快多了~哈哈
上图!
老板~来碗面!
休息一下
累死了。。睡。。。
2008/1/11
斧头帮来了!
飞弹发射准备!
找人单挑~
总算大功告成,小zaku真可爱呀,哇哈哈哈哈
虽然至今没时间去找砂纸,水口无限.....有些部件还是修整的不好,有不少大缝
不过对于我来说已经很满足了
继续加油~
下面做哪个呢?
1:100 zaku?TT IJ还是Destiny?or SF BB?
......
2008/1/10
SID也就是安全标识符(Security Identifiers),是标识用户、组和计算机帐户的唯一的号码。在第一次创建该帐户时,将给网络上的每一个帐户发布一个唯一的 SID。Windows 2000 中的内部进程将引用帐户的 SID 而不是帐户的用户或组名。如果创建帐户,再删除帐户,然后使用相同的用户名创建另一个帐户,则新帐户将不具有授权给前一个帐户的权力或权限,原因是该帐户具有不同的 SID 号。安全标识符也被称为安全 ID 或 SID。
SID的作用
用户通过验证后,登陆进程会给用户一个访问令牌,该令牌相当于用户访问系统资源的票证,当用户试图访问系统资源时,将访问令牌提供给 Windows NT,然后 Windows NT 检查用户试图访问对象上的访问控制列表。如果用户被允许访问该对象,Windows NT将会分配给用户适当的访问权限。
访问令牌是用户在通过验证的时候有登陆进程所提供的,所以改变用户的权限需要注销后重新登陆,重新获取访问令牌。
SID号码的组成
如果存在两个同样SID的用户,这两个帐户将被鉴别为同一个帐户,原理上如果帐户无限制增加的时候,会产生同样的SID,在通常的情况下SID是唯一的,他由计算机名、当前时间、当前用户态线程的CPU耗费时间的总和三个参数决定以保证它的唯一性。
一个完整的SID包括:
• 用户和组的安全描述
• 48-bit的ID authority
• 修订版本
• 可变的验证值Variable sub-authority values
例:S-1-5-21-310440588-250036847-580389505-500
我们来先分析这个重要的SID。第一项S表示该字符串是SID;第二项是SID的版本号,对于2000来说,这个就是1;然后是标志符的颁发机构(identifier authority),对于2000内的帐户,颁发机构就是NT,值是5。然后表示一系列的子颁发机构,前面几项是标志域的,最后一个标志着域内的帐户和组。
SID的获得
开始-运行-regedt32-HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Builtin\Aliases\Members,找到本地的域的代码,展开后,得到的就是本地帐号的所有SID列表。
其中很多值都是固定的,比如第一个000001F4(16进制),换算成十进制是500,说明是系统建立的内置管理员帐号administrator,000001F5换算成10进制是501,也就是GUEST帐号了,详细的参照后面的列表。
这一项默认是system可以完全控制,这也就是为什么要获得这个需要一个System的Cmd的Shell的原因了,当然如果权限足够的话你可以把你要添加的帐号添加进去。
或者使用Support Tools的Reg工具:
reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
还有一种方法可以获得SID和用户名称的对应关系:
1. Regedt32:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion \ProfileList
2. 这个时候可以在左侧的窗口看到SID的值,可以在右侧的窗口中ProfileImagePath看到不同的SID关联的用户名,
比如%SystemDrive%\Documents and Settings\Administrator.momo这个对应的就是本地机器的管理员SID
%SystemDrive%\Documents and Settings\Administrator.domain这个就是对应域的管理员的帐户
另外微软的ResourceKit里面也提供了工具getsid,sysinternals的工具包里面也有Psgetsid,其实感觉原理都是读取注册表的值罢了,就是省了一些事情。
SID重复问题的产生
安装NT/2000系统的时候,产生了一个唯一的SID,但是当你使用类似Ghost的软件克隆机器的时候,就会产生不同的机器使用一个SID的问题。产生了很严重的安全问题。
同样,如果是重复的SID对于对等网来说也会产生很多安全方面的问题。在对等网中帐号的基础是SID加上一个相关的标识符(RID),如果所有的工作站都拥有一样的SID,每个工作站上产生的第一个帐号都是一样的,这样就对用户本身的文件夹和文件的安全产生了隐患。
这个时候某个人在自己的NTFS分区建立了共享,并且设置了自己可以访问,但是实际上另外一台机器的SID号码和这个一样的用户此时也是可以访问这个共享的。
SID重复问题的解决
下面的几个试验带有高危险性,慎用,我已经付出了惨痛的代价!
微软在ResourceKit里面提供了一个工具,叫做SYSPREP,这个可以用在克隆一台工作站以前产生一个新的SID号码。 下图是他的参数
这个工具在DC上是不能运行这个命令的,否则会提示
但是这个工具并不是把所有的帐户完全的产生新的SID,而是针对两个主要的帐户Administrator和Guest,其他的帐号仍然使用原有的SID。
下面做一个试验,先获得目前帐号的SID:
S-1-5-21-2000478354-688789844-839522115
然后运行Sysprep,出现提示窗口:
确定以后需要重启,然后安装程序需要重新设置计算机名称、管理员口令等,但是登陆的时候还是需要输入原帐号的口令。
进入2000以后,再次查询SID,得到:
S-1-5-21-759461550-145307086-515799519,发现SID号已经得到了改变,查询注册表,发现注册表已经全部修改了,当然全部修改了。
另外sysinternals公司也提供了类似的工具NTSID,这个到后来才发现是针对NT4的产品,界面如下:
他可不会提示什么再DC上不能用,接受了就开始,结果导致我的一台DC崩溃,重启后提示“安全账号管理器初始化失败,提供给识别代号颁发机构的值为无效值,错误状态0XC0000084,请按确定,重启到目录服务还原模式...”,即使切换到目录服务还原模式也再也进不去了!
想想自己胆子也够大的啊,好在是一台额外DC,但是自己用的机器,导致重装系统半天,重装软件N天,所以再次提醒大家,做以上试验的时候一定要慎重,最好在一台无关紧要的机器上试验,否则出现问题我不负责哦。另外在Ghost的新版企业版本中的控制台已经加入了修改SID的功能,自己还没有尝试,有兴趣的朋友可以自己试验一下,不过从原理上应该都是一样的。
文章发表之前,又发现了微软自己提供的一个工具“Riprep”,这个工具主要用做在远程安装的过程中,想要同时安装上应用程序。管理员安装了一个标准的公司桌面操作系统,并配置好应用软件和一些桌面设置之后,可以使用Riprep从这个标准的公司桌面系统制作一个Image文件。这个Image文件既包括了客户化的应用软件,又把每个桌面系统必须独占的安全ID、计算机账号等删除了。管理员可以它放到远程安装服务器上,供客户端远程启动进行安装时选用。但是要注意的是这个工具只能在单硬盘、单分区而且是Professional的机器上面用。
下面是SID末尾RID值的列表,括号内为16进制:
Built-In Users
DOMAINNAME\ADMINISTRATOR
S-1-5-21-917267712-1342860078-1792151419-500 (=0x1F4)
DOMAINNAME\GUEST
S-1-5-21-917267712-1342860078-1792151419-501 (=0x1F5)
Built-In Global Groups
DOMAINNAME\DOMAIN ADMINS
S-1-5-21-917267712-1342860078-1792151419-512 (=0x200)
DOMAINNAME\DOMAIN USERS
S-1-5-21-917267712-1342860078-1792151419-513 (=0x201)
DOMAINNAME\DOMAIN GUESTS
S-1-5-21-917267712-1342860078-1792151419-514 (=0x202)
Built-In Local Groups
BUILTIN\ADMINISTRATORS S-1-5-32-544 (=0x220)
BUILTIN\USERS S-1-5-32-545 (=0x221)
BUILTIN\GUESTS S-1-5-32-546 (=0x222)
BUILTIN\ACCOUNT OPERATORS S-1-5-32-548 (=0x224)
BUILTIN\SERVER OPERATORS S-1-5-32-549 (=0x225)
BUILTIN\PRINT OPERATORS S-1-5-32-550 (=0x226)
BUILTIN\BACKUP OPERATORS S-1-5-32-551 (=0x227)
BUILTIN\REPLICATOR S-1-5-32-552 (=0x228)
Special Groups
\CREATOR OWNER S-1-3-0
\EVERYONE S-1-1-0
NT AUTHORITY\NETWORK S-1-5-2
NT AUTHORITY\INTERACTIVE S-1-5-4
NT AUTHORITY\SYSTEM S-1-5-18
NT AUTHORITY\authenticated users S-1-5-11 *.(over)
Windows Server 操作系统中的常用SID
SID:S-1-0
名称:Null Authority
描述:标识符颁发机构。
SID:S-1-0-0
名称:Nobody
描述:无安全主体。
SID:S-1-1
名称:World Authority
描述:标识符颁发机构。
SID:S-1-1-0
名称:Everyone
描述:包括所有用户(甚至匿名用户和来宾)的组。成员身份由操作系统控制。
SID:S-1-2
名称:Local Authority
描述:标识符颁发机构。
SID:S-1-3
名称:Creator Authority
描述:标识符颁发机构。
SID:S-1-3-0
名称:Creator Owner
描述:可继承访问控制项 (ACE) 中的占位符。当 ACE 被继承时,系统用对象创建者的 SID 替换此 SID。
SID:S-1-3-1
名称:Creator Group
描述:可继承 ACE 中的占位符。当 ACE 被继承时,系统用对象创建者的主要组 SID 替换此 SID。主要组仅供 POSIX 子系统使用。
SID:S-1-3-2
名称:Creator Owner Server
描述:Windows 2000 中不使用此 SID。
SID:S-1-3-3
名称:Creator Group Server
描述:Windows 2000 中不使用此 SID。
SID:S-1-4
名称:Non-unique Authority
描述:标识符颁发机构。
SID:S-1-5
名称:NT Authority
描述:标识符颁发机构。
SID:S-1-5-1
名称:Dialup
描述:一个包括所有通过拨号连接登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-2
名称:Network
描述:一个包括所有通过网络连接登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-3
名称:Batch
描述:一个包括所有通过批队列工具登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-4
名称:Interactive
描述:一个包括所有以交互方式登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-5-X-Y
名称:Logon Session
描述:登录会话。这些 SID 的 X 和 Y 值因会话而异。
SID:S-1-5-6
名称:Service
描述:一个包括所有作为服务登录的安全主体的组。成员身份由操作系统控制。
SID:S-1-5-7
名称:Anonymous
描述:一个包括所有以匿名方式登录的用户的组。成员身份由操作系统控制。
SID:S-1-5-8
名称:Proxy
描述:Windows 2000 中不使用此 SID。
SID:S-1-5-9
名称:Enterprise Controllers
描述:一个由使用 Active Directory 目录服务的林中的所有域控制器组成的组。成员身份由操作系统控制。
SID:S-1-5-10
名称:Principal Self
描述:Active Directory 中的帐户对象或组对象上可继承 ACE 中的一个占位符。当 ACE 被继承时,系统用持有此帐户的安全主体的 SID 替换此 SID。
SID:S-1-5-11
名称:Authenticated Users
描述:一个包括登录时已经过身份验证的用户的组。成员身份由操作系统控制。
SID:S-1-5-12
名称:Restricted Code
描述:此 SID 保留供以后使用。
SID:S-1-5-13
名称:Terminal Server Users
描述:一个包括所有登录到终端服务服务器的用户的组。成员身份由操作系统控制。
SID:S-1-5-18
名称:Local System
描述:操作系统使用的服务帐户。
SID:S-1-5-19
名称:NT Authority
描述:本地服务
SID:S-1-5-20
名称:NT Authority
描述:网络服务
SID:S-1-5-域-500
名称:Administrator
描述:系统管理员的用户帐户。默认情况下,它是唯一能够完全控制系统的用户帐户。
SID:S-1-5-域-501
名称:Guest
描述:无个人帐户的人员的用户帐户。此用户帐户不需要密码。默认情况下,Guest 帐户被禁用。
SID:S-1-5-域-502
名称:KRBTGT
描述:密钥分发中心 (KDC) 服务使用的服务帐户。
SID:S-1-5-域-512
名称:Domain Admins
描述:一个全局组,其成员被授权管理该域。默认情况下,Domain Admins 组属于所有加入域的计算机(包括域控制器)上的 Administrators 组。Domain Admins 是该组的任何成员创建的任何对象的默认所有者。
SID:S-1-5-域-513
名称:Domain Users
描述:一个全局组,默认情况下它包括域中的所有用户帐户。在域中创建用户帐户时,默认情况下,帐户将添加到该组中。
SID:S-1-5-域-514
名称:Domain Guests
描述:一个全局组,默认情况下它只有一个成员,即域的内置 Guest 帐户。
SID:S-1-5-域-515
名称:Domain Computers
描述:一个包括加入域的所有客户端和服务器的全局组。
SID:S-1-5-域-516
名称:Domain Controllers
描述:一个包括域中所有域控制器的全局组。默认情况下,新的域控制器将添加到该组中。
SID:S-1-5-域-517
名称:Cert Publishers
描述:一个包括所有运行企业证书颁发机构的计算机的全局组。Cert Publishers 被授权为 Active Directory 中的 User 对象发布证书。
SID:S-1-5-根域-518
名称:Schema Admins
描述:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中更改架构。默认情况下,该组的唯一成员是目录林根域的 Administrator 帐户。
SID:S-1-5-根域-519
名称:Enterprise Admins
描述:纯模式域中的通用组;混合模式域中的全局组。该组被授权在 Active Directory 中进行目录林范围的更改,例如添加子域。默认情况下,该组的唯一成员是目录林根域的 Administrator 帐户。
SID:S-1-5-域-520
名称:Group Policy Creator Owners
描述:一个被授权在 Active Directory 中新建组策略对象的全局组。默认情况下,该组的唯一成员是 Administrator。
SID:S-1-5-域-533
名称:RAS and IAS Servers
描述:域本地组。默认情况下,该组没有成员。该组中的服务器对 Active Directory 域本地组中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。默认情况下,该组没有成员。该组中的服务器对 Active Directory 中的 User 对象具有“读取帐户限制”和“读取登录信息”访问权限。
SID:S-1-5-32-544
名称:Administrators
描述:内置组。初次安装操作系统后,该组的唯一成员是 Administrator 帐户。当计算机加入域时,Domain Admins 组将被添加到 Administrators 组中。当服务器成为域控制器时,Enterprise Admins 组也被添加到 Administrators 组中。
SID:S-1-5-32-545
名称:Users
描述:内置组。初次安装操作系统后,该组的唯一成员是 Authenticated Users 组。当计算机加入域时,Domain Users 组将被添加到计算机上的 Users 组中。
SID:S-1-5-32-546
名称:Guests
描述:内置组。默认情况下,该组的唯一成员是 Guest 帐户。Guests 组允许临时或一次性用户使用有限权限登录到计算机的内置 Guest 帐户。
SID:S-1-5-32-547
名称:Power Users
描述:内置组。默认情况下,该组没有成员。Power Users 可以创建本地用户和组,修改和删除以前创建的帐户,删除 Power Users、Users 和 Guests 组中的用户。Power Users 还可以安装程序,创建、管理和删除本地打印机以及创建和删除文件共享目录。
SID:S-1-5-32-548
名称:Account Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。默认情况下,Account Operators 有权为 Active Directory 的所有容器和组织单位中的用户、组和计算机创建、修改和删除帐户,Builtin 容器和 Domain Controllers OU 除外。Account Operators 无权修改 Administrators 和 Domain Admins 组,也无权为那些组的成员修改帐户。
SID:S-1-5-32-549
名称:Server Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组没有成员。Server Operators 可以以交互方式登录到服务器,创建和删除网络共享目录,启动和停止服务,备份和还原文件,格式化计算机的硬盘以及关闭计算机。computer.
SID:S-1-5-32-550
名称:Print Operators
描述:一种只存在于域控制器上的内置组。默认情况下,该组的唯一成员是 Domain Users 组。Print Operators 可以管理打印机和文档队列。
SID:S-1-5-32-551
名称:Backup Operators
描述:内置组。默认情况下,该组没有成员。Backup Operators 可以备份和还原计算机上的所有文件,无论那些文件受哪些权限保护均如此。Backup Operators 也可以登录和关闭计算机。
SID:S-1-5-32-552
名称:Replicators
描述:一个由域控制器上的文件复制服务使用的内置组。默认情况下,该组没有成员。不要向该组中添加用户。
下列各组在某台 Windows Server 2003 域控制器被指定担任主域控制器 (PDC) 操作主机角色之前,将一直显示为 SID。(“操作主机”也称作灵活的单主机操作或 FSMO。)在将 Windows Server 2003 域控制器添加到域中时,新建的其他内置组有:
SID:S-1-5-32-554
名称:BUILTIN\Pre-Windows 2000 Compatible Access
描述:Windows 2000 添加的别名。一个允许对域中的所有用户和组进行读访问的向后兼容组。
SID:S-1-5-32-555
名称:BUILTIN\Remote Desktop Users
描述:一个别名。该组的成员被授予远程登录权限。
SID:S-1-5-32-556
名称:BUILTIN\Network Configuration Operators
描述:一个别名。该组的成员拥有管理网络功能配置的部分权限。
SID:S-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
描述:一个别名。该组的成员可以创建到该目录林的传入的单向信任。
SID:S-1-5-32-557
名称:BUILTIN\Incoming Forest Trust Builders
描述:一个别名。该组的成员可以创建到该目录林的传入的单向信任。
SID:S-1-5-32-558
名称:BUILTIN\Performance Monitor Users
描述:一个别名。该组的成员可以进行远程访问以监视此计算机。
SID:S-1-5-32-559
名称:BUILTIN\Performance Log Users
描述:一个别名。该组的成员可以进行远程访问,以便计划此计算机上性能计数器的日志。
SID:S-1-5-32-560
名称:BUILTIN\Windows Authorization Access Group
描述:一个别名。该组的成员可以访问 User 对象上的计算的 tokenGroupsGlobalAndUniversal 属性。
SID:S-1-5-32-561
名称:BUILTIN\Terminal Server License Servers
描述:一个别名。终端服务器许可证服务器组
from http://blog.csdn.net/jjldc/archive/2005/04/23/360258.aspx
1、本地域组:多域用户访问单域资源(访问同一个域)
本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户,而且只能在其所在域内指派权限。
2、全局组: 单域用户访问多域资源(必须是一个域里面的用户)
全局组的成员可包括其所在域中的其他组和账户,而且可在林中的任何域中指派权限;
3、通用组: 多域用户访问多域资源
通用组的成员可包括域树或林中任何域的其他组和账户,而且可在该域树或林中的任何域中指派权限;
当域功能级别设置为Windows2000混合模式时,不能创建具有通用组的安全组。
本地域组: 可以从任何域添加用户账户、通用组和全局组。域本地组不能嵌套于其他组中。它主要是用于授予位于本域资源的访问权限。
全局组: 只能在创建该全局组的域上进行添加用户账户和全局组,但全局组可以嵌套在其他组中。
可以将某个全局组添加到同一个域上的另一个全局组中,或添加到其他域的通用组和域本地组中(注意这里不能它加入到不同域的全局组中,全局组只能在创建它的域中添加用户和组)。虽然可以利用全局组授予访问任何域上的资源的权限,但一般不直接用它来进行权限管理。
通用组:通用组是集合了上面两种组的优点,即可以从任何域中添加用户和组,可以嵌套于其他域组中。
比如: 有两个域,A和B,A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。这时,可以在B中建一个DL,因为DL的成员可以来自所有的域,然后把这8个人都加入这个DL,并把FINA的访问权赋给DL。这样做的坏处是什么呢?因为DL是在B域中,所以管理权也在B域,如果A域中的5个人变成6个人,那只能A域管理员通知B域管理员,将DL的成员做一下修改,B域的管理员太累了。
这时候,我们改变一下,在A和B域中都各建立一个全局组(G),然后在B域中建立一个DL,把这两个G都加入B域中的DL中,然后把FINA的访问权赋给DL。哈哈,这下两个G组都有权访问FINA文件夹了,是吗?组嵌套造成权限继承嘛!这时候,两个G分布在A和B域中,也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G中,就可以了!以后有任何修改,都可以自己做了,不用麻烦B域的管理员!这就是A-G-DL-P。
注:A表示用户账号,G表示全局组,U表示通用组,DL表示域本地组,P表示资源权限。A-G-DL-P策略是将用户账号添加到全局组中,将全局组添加到域本地组中,然后为域本地组分配资源权限。
本地域组的成员可以来自所有域的用户和组,但其作用域只能是当前域。全局组的成员只能来自当前域的用户和组,而作用域可以是所有的域。
本地域组的权利是自身的,全局域的权利是来自其属于的本地域组的。
打个比方,现在有两个域domainA,domainB,用户UseA,UseB. 在DomainA上有一个文件夹Resource.UseB属于domainB,他想访问Resource.
这个时候就应该先在domainB上建一个全局组GlobalB,然后将UseB加入GlobalB,然后到Domain域中建立一个域本地组LocalA,将全局组GlobalB加入域本地组LocalA,再针对域本地组LocalA授权对Resource的访问权限。
---------------------------------------------------
外一篇:
从组的使用范围来分,可以分为三种:全局组、本地域组和通用组。
全局组主要是用来组织用户的。全局组内可以包含同一个域的用户账户与全局组,可以访问任何一个域内的资源。本地域组具有所属域的访问权限,以便访问本域的资源。本地域组的成员可以是同一个域的本地域组,也可以是任何域内的账户、全局组和通用组,他们能访问的资源只是该本地域组所在域的资源。通用组可以访问任何一个域内的资源,通用组可以包含所有域内的用户账户、全局组和通用组。当然上面所说的访问权限是要经过设定的。
安装域控制器时,系统会自动生成一些组,称为内置组。这些组都定义了一些常用权限,通过将用户加入到这些内置组中,可使用户获得相应的权限。“Active Directory用户和计算机”控制台的“Builtin”和“Users”组织单元中就是内置组。内置的本地域组在“Builtin”组织单元中,内置的全局组在“Users”组织单元中。
1.内建组:
在“Active Directory用户及计算机”的管理工具中,点树状目录下的“Builtin”文件夹,Windows2000建立了内建组。
Account Operators(账户操作员):该组的成员能操作用户管理员所属域的账号和组,并可设置其权限。但是该组成员无法修改Administrators及Operators组及权限。
Administrators(管理员):该组的成员可以完全不受限制地存取计算机/域的资源,是最具权力的一个组。通常,Administrators账户与Domain Admins组都是它的成员。
Backup Operators:该组的成员可使用Windows备份工具来进行备份/还原工作。
Guests:该组的成员只能享有管理员授与的权限以及存取指定权限的资源。通常,Guest账户与Domain Guest都是该组的成员。
Printer Operators:该组的成员可以管理网络打印机,包括建立、管理以及删除网络打印机。
Replicator:该组的成员支持域中的文件复写,可启动目录复制程序进行目录复制。
Server Operators:该组的成员可以管理域服务器,包括:建立/管理/删除任何服务器的共享目录、管理网络打印机、备份任何服务器的文件、格式化服务器硬盘、锁定服务器以及变更服务器的系统时间等权限。
Users:该组的成员只可以执行得到授权的应用程序,而且不可执行大部分的继承应用程序。
2.通用组:
在“Active Directory用户及计算机”的管理工具中,点树状目录下的“Users”文件夹,Windows2000建立了内建的通用组来组织不同状态的用户账户(一般用户、Administrators以及Guests)。
Domain Admins:该组可以代表具有操作域权力的用户,通常,Domain Admins会属于Administrators组,因此该组的成员可以在域中执行管理工作。Windows2000 Server不会将任何我们所建立的账户放到Domain Admins 组中,而内建的Administrator账户是其唯一的成员。因此,如果您希望某一用户成为域系统管理器,则我们建议您将该用户加至Domain Admins组中,而不要直接加至Administrators组中。
Domain Guests:所有域来宾,Windows2000会自动将Guest用户账户加至该组,并将该组加至内建域Guests组中。
Domain Users:所有域的成员,在预设的情况下,任何我们所建立的用户账户都会是Domain Users组的成员,而任何所建立的计算机账户都会是Domain Computers组成员。因此如果我们想要让所有的账户都具有某种资源存取权限,则可以将该权限指定给Domain Users组或让Domain Users组属于具有该权限的组。Domain Users组在预设的情况下上内建域局域Users组的成员。
居然发现domain users可以operate account....can add 10 computers into domain..
searching......w2k3 rkt....w2k3 support tools...Adsiedit.msc
researching.....
Default domain policy-computer managment-windows-security-user right-add workstation into domain?
keep watching..
computer OU -properties-security-authenticated users-advanced-edit-deny create&delete computer object
keep watching...
工具 
