让客户端加入域的脚本

用wmic 从命令行加入域的问题用wmic 从命令行加入域的问题--------------------------------------------------------------------------------Silence2007-04-07, 23:03:29在XP 下，用WMIC 命令可以实现将计算机加入域或工作组。

WMIC 的功能非常丰富，下面是与域有关的部分内容。

1. 加入域wmic computersystem where Name="%COMPUTERNAME%" call JoinDomainOrWorkgroup Name="d " username="\username" password="password" FJoinOptions=1注：%COMPUTERNAME% 系统环境变量，内容是计算机名。

FJoinOptions=1 表示首次加入域，若不指定username 和password，则表示加入/修改工作组。

FJoinOptions=32 表示允许加入一个新域，即使该计算机已经加入到了某个域。

2、退出域wmic computersystem where Name="%COMPUTERNAME%" call UnJoinDomainOrWorkgroup userna me="\username" password="password"命令运行后会显示一个返回值，若值为零则表示成功。

我有上千台微机需要加入域，所以希望来个快捷的办法。

这些天进行了多次试验，发现退出域命令1 00% 测试有效，而加入域命令却经常不成功，而且我一直没有发现什么规律。

百思不得其解，特来论坛讨教。

测试环境：2000 Server + XP Pro SP2--------------------------------------------------------------------------------asap2007-04-08, 06:50:21将FJoinOptions＝3试试。

（企业管理手册）ITNMS 系统终端管理(OA)解决方案客户端实施培训手册目录1终端加入域实施操作11.1.部署客户端前的准备工作11.1.1.询问用户信息11.1.2.检查网络连通性11.1.3.检查操作系统版本11.1.4.暂时停止防火墙31.1.5.脚本的获取31.2.用脚本部署客户端3流程31.2.1.重命名客户端计算机名41.2.2.将客户端加入到域71.2.3.迁移用户配置文件101.2.4.收尾工作121.2.5.提醒用户保护自身数据14 2安装ISA客户端153安装SMS客户端174手动部署客户端20流程20附一：在出现问题时如何收集查错信息27附二：重设administrator的密码28附三：迁移Profile失败的常见问题291终端加入域实施操作每名参与实施的助理工程师都必须熟练掌握如何手工完成终端实施的步骤。

由于客户机器分布的地域各有不同，所以具体计算机环境可能也也有不同。

当自动化（脚本）流程不能进行时，我们必须手工完成所有步骤。

本实施中每个OA客户端登录帐户（域帐户）来自于OA邮件系统帐户（即用户名与OA邮件系统相同），登录密码是随机生成的7位数的密码（出于安全考虑，每个人密码均不相同，配置工作完成后实施人员会协助用户更改密码）。

OA客户端计算机名使用各分公司代码的前两位与用户姓名中间用短线分隔的命名方式。

1.1.部署客户端前的准备工作1.1.1.询问用户信息到客户端首先询问用户的部门信息、中文姓名和LotusNotes(公司邮件)的帐户名，找到实施表格上对应的人员信息。

如果部门信息有错误请在表格上进行更正。

注意：由于有中文姓名相同情况，请核实中文姓名（对应表格上中文名）和LotusNotes的帐户名（对应表格上域用户名）与表格吻合的一行。

将用户对应的用户名称、计算机名称、部门等信息，填入《客户端实施完成确认单》对应位置。

1.1.2.检查网络连通性使用Ping工具检查是否能连通域控制器。

域服务器的配置与实现（Windows Server2003）法一：1、dns服务器设置a)开始—程序—管理工具—管理服务器角色—添加删除角色—域控制器（默认）2、域控制器设置法二：一、域服务器的配置：1.步骤：1.0：计算机必须安装TCP/IP协议且IP地址最好为静态IP地址，配置DNS服务器地址为网络中维护该区域DNS服务器的IP地址，如下图：1.1：点击开始?运行cmd，输入dcpromo命令，运行，出现【AcriveDirectory安装向导】对话框；1.2:安装配置Active Directory【Acrive Directory安装向导】对话框：1.2.1域控制类型：选中【新域的域控制器】，下一步。

1.2.2创建一个新域：选中【在新林中的域】，下一步。

1.2.3新的域名：指定新域的DNS名称，一般应为公用的DNS域名，也可是部网使用的专用域名。

例如:hd.rjxy.。

下一步。

1.2.4NetBI O S域名-默认指定新域的NetBIOS名称。

这是为了兼容以前版本Windows用户。

该名默认为DNS名称最左侧的名称，也可指定不同的名称。

下一步。

1.2.5志文件文件夹：默认指定这两种文件的文件夹位置，保留默认值即可。

下一步。

1.2.6共享的系统卷：默认指定存储域公用文件的文件夹，保持默认即可。

下一步。

1.2.7DNS注册诊断提示建立DNS服务器。

因为我们此前没有安装配置过DNS，所以诊断失败。

这不是问题，我们让它自动安装配置。

选中第2个，下一步。

1.2.8权限：默认选择用户和组对象的默认权限，这里保留默认值即可。

下一步。

1.2.9目录服务还原模式的管理员密码：设置密码用于还原AD数据。

这里是一个重点，还原密码，希望大家设置好以后一定要记住这个密码，千万别忘记了，因为在后面的关于活动目录恢复的文章上要用到这个密码的当AD数据损坏时，可在域控制器上开机按【F8】键进入目录服务还原模式，重建AD数据库，此时需要输入这里指定的密码。

3种用组策略将域帐号加入本地管理员组的方法台湾女同事问了我2次当前系统域帐号是怎么在第一次登录时，自动加入域客户端本地管理员组的？我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本，结果系统的前任同事找到了答案--GPO的用户策略（确切讲是用户首选项），SIGN!今天琢磨了一下，采用下列3种方法之一即可实现：1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”用户和组”.用在将登录帐号自动加入本地管理员组的场合。

地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。

第1种方法的步骤很简单：.在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图第2种方法：为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下：为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL 为：/zh-cn/library/cc731892(WS.10).aspx根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML 无需安装）：在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组现在用域帐号test02\user_1登录测试一下用户首选项策略生效，该帐号被成功加入管理员组接下来看看“删除所有成员用户”的结果换一个test02\user_2帐号，显然，已将前面加入的user_1帐号删除，还有其他除administrator 以外的用户帐号被删除（本地的USER1）然后我们继续选删除所有成员组，并计划将本地administrator也从管理员组中删除其结果如下：1.所有用户帐号被从管理员组中删除，除当前登录用户除外。

这些天,只能用"辛苦"两字来形容。

有太多的感慨啊（此处省略1200余字....)首先，感谢Zeta老弟提供一个这个工具，可用“多、快、好、省”来概括，哦了！然后，到MS脚本站点(https:///china/technet/community/scriptcenter/scrip ts/default.mspx)爬了些代码，结合自己用到过的命令，改改,测测，体会了一把“弹指一挥”的感受。

下面这个脚本用来自动建立域、OU及用户帐号(隐去真实信息若干，下同，如有雷同，那是不可能Di)CreatOUUsers.vbs:-----------------------------------------------------------Set objDomain = GetObject("LDAP://dc=test,dc=com,dc=cn")Set objOU = objDomain.Create("organizationalUnit", "ou=CompanyName") objOU.SetInfoSet objOU1 = GetObject("LDAP://ou=CompanyName,dc=test,dc=com,dc=cn")Set objOU2 = objOU1.Create("organizationalUnit", "ou=BIZS")objOU2.SetInfoSet objOU1 = GetObject("LDAP://ou=CompanyName,dc=test,dc=com,dc=cn")Set objOU2 = objOU1.Create("organizationalUnit", "ou=DEVS")objOU2.SetInfoSet objOU1 = GetObject("LDAP://ou=CompanyName,dc=test,dc=com,dc=cn")Set objOU2 = objOU1.Create("organizationalUnit", "ou=FADS")objOU2.SetInfoSet objOU1 = GetObject("LDAP://ou=CompanyName,dc=test,dc=com,dc=cn")Set objOU2 = objOU1.Create("organizationalUnit", "ou=FADC")objOU2.SetInfoSet objOU1 = GetObject("LDAP://ou=CompanyName,dc=test,dc=com,dc=cn")Set objOU2 = objOU1.Create("organizationalUnit", "ou=FADU")objOU2.SetInfoDim UserCNDim UserENDim iUserCN = Array(_"张三"_,"李四"_,"王二麻子"_,"域操作员"_)UserEN = Array(_"ZhangSan"_,"LiSi"_,"WangEr"_,"opt"_)For i=0 To 3Set objOU =GetObject("LDAP://ou=FADU,ou=CompanyName,dc=test,dc=com,dc=cn")Set objUser = objOU.Create("User", "cn="&UserEN(i))objUser.Put "sAMAccountName", UserEN(i)objUser.Put "Description", UserCN(i)objUser.SetInfoSet objUser =GetObject("LDAP://cn="&UserEN(i)&",ou=FADU,ou=CompanyName,dc=test,dc= com,dc=cn")objUser.SetPassword "comp123321"objUser.AccountExpirationDate = "01/01/1970"objUser.AccountDisabled = FALSEobjUser.SetInfoNext-----------------------效果像这样：---------------------------用户帐号的默认设置是：用户名 ZhangSan 全名注释张三用户的注释国家(地区)代码 000 (系统默认值) 帐户启用 Yes帐户到期从不上次设置密码 2008-7-28 18:44密码到期从不密码可更改 2008-7-28 18:44需要密码 No用户可以更改密码 Yes允许的工作站 All登录脚本用户配置文件主目录上次登录从不可允许的登录小时数 All本地组成员全局组成员 *Domain Users注：默认登录密码comp123321 ，复杂度要求先用域帐号策略去掉，否则密码不符合复杂度要求，脚本会停止运行。

Windows Server 2003引入了一项新的功能，允许对域控制器进行重命名，可以使您根据组织和业务需要重新构建您的网络，增强了管理的灵活性。

以下通过一个实例详细介绍了具体实现步骤和注意事项。

1. 首先，察看当前域控制器的名称（桌面，我的电脑，属性，计算机名）：可以看到当前域控制器的FQDN名为。

2. 执行：开始，运行，cmd，切换到命令行模式。

3. 输入netdom，可以看到netdom提供了丰富的参数选项。

4. 和很多命令行工具类似，netdom命令也是一种上下文关Ｊ降拿钚泄ぞ撸菔淙氩问牟煌峁┝松舷挛墓亓牟问退得鳌＠缡淙雗etdom add，会回显和add有关的子命令。

（注意：netdom提供了大量参数，可以完成多种功能，在这里只介绍和域控制器重命名相关的命令。

）5. 使用enumerate参数,察看域控制器当前配置的计算机名，语法如下：netdom computername ComputerName /enumerate:{AlternateNames | PrimaryName | AllNames}其中ComputerName为当前域控制器的FQDN名，enumerate是一个过滤项，可以有选择的输出的名字类别：AllNames（全部显示），AlternateNames（仅显示别名），PrimaryName（仅显示主要名），默认是全部显示。

例如：netdom /enumerate可以看到目前有且只有一个FQDN名：。

6. 下面利用add参数添加一个新的FQDN名，语法如下：netdom computername CurrentComputerName /add: NewComputerNameCurrentComputerName －－当前主机名，可以是FQDN或IPNewComputerName －－添加的新的主机名，格式为FQDN,注意DNS后缀需保持一致例如：netdom /add:可以看到命令已正确执行，使用前述察看命令如可以看到已成功添加新的别名:。

使用Netdom重新加入域2008-08-02 14:29公司网络中某些电脑在登录时，无法连接域，后查找问题根源，原来是在"用户和计算机管理" 的 computers容器中将原来的计算机删除了，但是直接在computers容器中重新将客户端加进来，客户端电脑还是不能登录域，再在computers容器中查看计算机属性，发现手工新建的计算机的dns 名是空白的，而在客户端电脑进行加入域操作的计算机 dns名显示为完成的计算机名称。

后来我就在客户端更改网络ID，将客户端重新加入域，重新建立客户端与dc间的信任关系，至此客户机可以正常登录域。

现在我就想将域中所有的计算机重新加入到域中，但是在每个这户端去添加就很麻烦了，有没有方法，通过命令，直接在服务器端就可以完成这个操作呢? 一、如果客户机没有加入域中或者已经退出域，可以按以下方法操作：呵呵，copy一下1。

在DC添加机器账号netdom add c123（待加入域的计算机名） /domain:/userd:administrator（域的管理员帐号） /passwordd:123456（域的管理员帐号的密码）回车，会提示这命令成功。

这时你会发现 AD——》COMPUTERS 下多一个C123 计算机。

2。

建立机器帐号并把机器帐号添加到域netdom join c123（待加入域的计算机名） /domain:abc（域）/userd:administrator（域的管理员帐号） /passwordd:123456（域的管理员帐号的密码） /usero:administrator（待加入域的计算机管理员帐号）/passwordo:123456789(待加入域的计算机管理员帐号密码） /reboot 回车。

客户机C123 就会重启，这时已经加入abc域了。

按照这个顺序，先netdom add，再运行 netjoin（单独运行其中一个，最终都没有成功），可以将一台没有加入到域中的电脑加入域，并且在客户端能够正常登录，同时，AD的computers容器中也会生成一个正确的计算机帐号。

利用Samba做域控制器Samba简介Samba是用来实现SMB的一种软件，由澳大利亚的Andrew Tridgell开发，是一种在Linux(unix)环境下运行的免费软件。

通过它，Linux和Windows之间可以进行文件的传输，实现打印机的共享。

SMB——Server Messages Block：信息服务块，是一种在局域网上共享文件和打印机的一种协议，它为局域网内的Windows和Unix系统提供文件及打印机等资源的共享服务。

其实早在samba2.2版本已经能非常好的支持samba做PDC（Primary Domain Controller），只不过到了3.0对域的支持更加好，到现在为止最新的版本3.0,已经支持AD，并且支持Microsoft Kerberos 认证、完全重写和可配置的认证子系统等新功能。

Samba Serve可以完全取代 NT/2000 PDC（Primary Domain Controller）成为网域主控者管理Windows客户机。

当然，Samba 也可以将目录、档案分享给其它 Unix Like、Mac、OS/2 的机器使用，更令人惊讶的是 Samba Server 也可做为WINS Server，除此之外还可以做 DHCP Server，Printer Server应用层面可以说是相当广阔。

域控制器的架设。

Samba可以提供如下功能：⏹活动目录服务（Active Directory Service，ADS）⏹主域控制器（Primary Domain Controller，PDC）⏹共享目录⏹共享打印机Samba的安装#sudo apt-get install samba samba-commonSmb.conf的配置smb.conf是samba的主要配置文件，对smb.conf的配置可以手式配置，也可以用其它软件来配置。

具体配置如下：1. 服务器的环境设置--> 以[global] 开始。

Samba3.0轻松搞定PDC域服务器前面我们已经讲了关于samba服务器如何充当一个局域网的文件服务器，以满足平时的工作需要，在看本文档之前，大家最好先看看那篇文档《Samba3.0服务器实战调试》(/samba.html),大家只有领会了那篇文档以后，再来看用samba实现PDC就不死很困难了。

其实早在samba2.2版本已经能非常好的支持samba做PDC（主域控制器），只不过到了3.0对域的支持更加好，到现在为止最新的版本3.0,已经支持AD，并且支持Microsoft Kerberos 认证、完全重写和可配置的认证子系统等新功能。

好了，我们来开始今天的任务，我们今天只是实现简单的域控制器PDC的建立，至于他支持的AD和Kerberos等功能大家慢慢的自己去研究，我也不是很懂哦：）1。

安装samba，这个很简单了，如果你是fedora，就可以从光盘直接安装samba 的rpm包。

rpm -ivh samba-3.0.0-15.i386.rpm大家也可以直接到samba的官方网站（）去下载最新的软件包或者下载最新的tar包，/samba/ftp/samba-3.0.0.tar.gz那就最好按下面的方法编译tar zvxf samba-3.0.0.tar.gzcd samba-3.0.0./configure \--prefix=/usr \--bindir=/usr/bin \--sbindir=/usr/sbin \--libexecdir=/usr/libexec \--datadir=/usr/share/samba \--sysconfdir=/etc/samba \--localstatedir=/usr/local/samba/var \--libdir=/usr/lib \--with-lockdir=/var/locks/samba \--with-swatdir=/usr/share/samba/swat \--with-codepagedir=/etc/samba/codepages \--with-configdir=/etc/samba \--with-smbwrapper \--with-automount \--with-smbmount \--with-pam \--with-pam_smbpass \--with-winbindmakemake intallok!安装完以后，下面才是我们的重点，修改/etc/samba/smb.conf，大家最好在原来的基础上修改。

计算机加入域后同步计算机描述客户计算机描述加域后是否会出现在计算机帐号的描述处？我的客户机Windows7和xp，在本机的计算机属性-描述中添加了描述，当这台计算机加入域后，会在Computers容器下生成这个计算机帐号，那客户机的描述会不会随着加域同步到计算机帐号的描述属性中呢？回答：从您的描述中，我对这个问题的理解是您想知道：如果在windows 7或者是XP 的客户端计算机上添加了计算机属性描述后，当将其加入域，描述是否也会同步到域中。

基于我的实验和搜索，客户端的属性描述是不会随着计算机加入域而同步到计算机账号描述中的。

请您参考的我的实验：Windows 7 客户端添加描述，然后加入域，结果如下：∙Windows 7 客户端：owindows 7客户端系统描述∙ADUC中的结果：oADUC控制台中，计算机账户描述如果您想客户端计算机描述可以自动同步到AD当中，您可以使用脚本来实现。

首先我们需要授予经过身份验证的域用户可以编辑计算机对象描述值的权限。

您可以参照以下操作步骤：1.以管理员的身份登录到DC上，打开ADUC.2.选择 advanced Features.oADUC控制台高级查看模式3.右键域名，选择properties.4.点击‘security’标签, 点击‘advanced’按钮。

5.点击‘add’按钮, 输入‘Authenticated Users’.然后点击OK.6.在permission entry 这个对话框中, 点击‘apply to’下来菜单，选择‘Descendant Computer Objects’,在permission对话框中, 勾选‘Write Description’。

o计算机对象写描述权限7.编写可以实现这一功能的脚本。

以下的链接是基于我个人的搜索提供给您的参考。

o Automatically fill the computer description field in Active Directoryo /scripts/show/1406-automat ically-fill-the-computer-description-field-in-active-directory魏玉婷微软全球技术支持中心计算机加入域后同步计算机描述的相关文章请参看将该计算机的主域dns名称更改为失败加入域:将该计算机的主域DNS名称更改为linux加入ad域linux加入域Linux加入windows域加入域的方法计算机加入域的过程将计算机加入域加入域|指定服务器无法运行请求的操作计算机无法加入域远程客户端无法加入域域用户加入域的权限mac os加入Windows域密码过期如何提示电脑加入域如何直接进入某个OU把计算机加入域|域用户权限加入域突破10次限制|域用户权限加入域退出域|权限设置加入域|找不到指定的域加入域|找不到网络路径—gnaw0725Automatically fill the computer description field in Active DirectoryA VBScript script in the Active Directory categoryRating: 12345 (9 votes)Plain text without HTML formatting.DescriptionThis will populate the last logged on user, system model, and serial number in the computer description in AD.In order for this process to work, we will need to allow our authenticated domain users to edit the description values on computer objects. Be aware that by doing this, a malicious or cheeky user on your network could change the description on computer objects to anything they want. Given that mine were all empty, anyway, and that they get overwritten each time someone logs in, I didn’t think this would be a significant problem for me. To grant this access, perform the following steps:1) Open Active Directors Users and Computers MMC2) Ensure you have ‘Advanced Features’ enabled (On the ‘view’ menu)3) Right click on your domain, and select ‘properties’ from the context menu4) On the ‘security’ tab, click the ‘advanced’ button5) Click the ‘add’ button, type ‘Authenticated Users’. Then click OK.6) In the permission entry dialogue, set the ‘apply to’ pull-down menu to ‘Descendant Computer Objects’, then in the permissions section, tick the allow options for ‘Write Description’If you run this script as a regular user, then check ADUC, you should find that the computer object that the script was run from, has now a description field set.All that remains now is to add the VBScript to the user login script. I do this via GPO (User configuration > Policies > Windows Settings > Scripts > Logon). Once your GPO is updated, restart another system, and login again –once more, you should see that computers AD object updated. Now you can stil back and relax while you watch your computer objects in AD fill up with useful information in the description field.About the AuthorgefTabascoNetwork/Systems Administratordecode ITSource CodeImportant Note:This script has not been checked by Spiceworks. Please understand the risks before using it.Set WshNetwork = WScript.CreateObject("work")Set objFSO = WScript.CreateObject("Scripting.FileSystemObject")Set objWMI =GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\cimv2")For Each objSMBIOS in objWMI.ExecQuery("Select * fromWin32_SystemEnclosure")serviceTag = replace(objSMBIOS.SerialNumber, ",", ".")manufacturer = replace(objSMBIOS.Manufacturer, ",", ".")NextFor Each objComputer in objWMI.ExecQuery("Select * fromWin32_ComputerSystem")model = trim(replace(objComputer.Model, ",", "."))NextSet objTextFile =objFSO.OpenTextFile("\\SV01.home.local\logonActivity\logons.csv", 8, True)objTextFile.WriteLine(date & "," & time & "," & erName & "," & puterName & "," & erDomain & "," & serviceTag & "," & manufacturer & "," & model)objTextFile.CloseSet objSysInfo = CreateObject("ADSystemInfo")Set objComputer = GetObject("LDAP://" & puterName)if NOT objComputer.Description = erName & " (" & serviceTag & " - " & manufacturer & " " & model & ")" thenobjComputer.Description = erName & " (" & serviceTag & " - " & manufacturer & " " & model & ")"objComputer.SetInfoend if。

关于Firefox的技巧的文档：侧边栏视图、缩略图视图、by江3对付各种零日漏洞，最后的办法就是使用NS，拦截各种已知和未知的漏洞NS的目标所有的WEB活动内容（脚本、嵌入对象、框架、媒体、字体、WebGL、甚至XSTL），对于图片、样式等非活动内容不关心使用NS的FF用户不要安装沙盒与杀软，//NS相关须知，//黑名单+白名单+默认白名单+固定白名单，//Site_Info+快捷键，//通知+外观，//AntiXSS-江3，//ABE-江3，//ClearClick-江3，//HTTPS-江3,//Surrogates Scripts，//嵌入对象<OBJECT>，//脚本<SCRIPT>//书签+bookmarket，油猴子脚本+扩展//Inclusion Content-Type Checking//X-Frame-Opinion，//X-Content-Type-Options，//toStaticHTML//forbidBGRefresh，//removeSMILKeySniffer//浮动元素拦杀//其他//Opinions，//黑名单*额外设置//白名单*额外设置//DNT，//EF-外部过滤器，//HSTS - 严格加密传输，//NS相关须知，//黑名单+白名单+默认白名单+固定白名单，//Site_Info+快捷键，//通知+外观，//AntiXSS-江3，//ABE-江3，//ClearClick-江3，//HTTPS-江3,//Surrogates Scripts，//嵌入对象<OBJECT>，//脚本<SCRIPT>//CAPS机制详解（中文），//使用CAPS策略，策略名为maonoscript，也就是白名单；NS是目前使用CAPS策略最好的客户端，//不建议与其他使用CAPS策略的扩展共用，会出现冲突user_pref("noscript.global",false);//全局允许脚本？//即使全局允许JS，noscript的其他功能照样有效，默认falseuser_pref("noscript.autoAllow", 0);//允许和临时允许的域名层级（不包括subframes、嵌入的对象、黑名单Sites）？//其实默认允许全域名是个折中的好选择，因为这样既可以保证绝大部分的Page能正常显示，又不用担心框架、对象、黑名单被放行，//而且绝大部分恶意Site的脚本不会出现在主域名中，往往藏的比较深//0 不允许，默认//1 完整域名如//2 全域名如//3 二级域名如//书签+bookmarket，油猴子脚本+扩展//常用书签脚本引用的白名单Sites，下面的默认白名单中包含了部分书签脚本引用的站点//4个书签脚本参数的区别，//FAQ：油猴子可以和NS兼容么？，///zh-cn/代碼注入，//HTML|Web|脚本注入-Google，//虽然官方解释NS与油猴子兼容，但是如果遇到某个脚本被拦截，你还是先尝试把脚本引用的Sites加入白名单//因为，有些脚本/扩展的脚本会injected/included其他Sites的脚本，这些脚本属于页面内容，不属于chrome://特权内容了//默认chrome:和about:加入了特权白名单/固定白名单，我把file://也加入了//扩展脚本也会注入/包含代码，比如EC，要想让这个阅读扩展可用，比如其作者变通一下，通过Components.utils.Sandbox来执行脚本user_pref("noscript.allow Bookmarks", false);//允许书签？//执行Bookmarklet 或 javascript:、data: 的权限user_pref("noscript.forbid Bookmarklets",false);//在不可信Page中，禁用书签脚本？（下面黑名单*额外设置部分对应UI设置），默认false user_pref("noscript.allow URLBarJS", true);//允许地址栏输入的javascript: 或data: 格式的URLs（不管当前Page是否可信）？//FF新版本现在默认禁止通过地址栏打开上面2种URLs，如果要测试书签脚本，可通过该参数解禁//Bookmarklet 或 javascript:、data: 调用第三方脚本的权限user_pref("noscript.allow BookmarkletImports",false);//允许Bookmarklet在执行时调用第三方脚本（即使来自非可信Sites）？默认true user_pref("noscript.allow URLBarImports",false);//同上，但针对地址栏输入的javascript: URLs或 data:URLs？默认false//Inclusion Content-Type Checking//X-Content-Type-Options-江3，//NS从v1.9.6.5就开始支持内容类型检查了，用以检测跨站包含的第三方脚本和CSS文件的内容类型是否合适，//在该贴中Giorgio Maone举例，很多可信站点允许上传图片、PDF、文本文件，但出于很明显的安全隐患不接受JS/CSS/HTML文件，比如Google的一些站点，//Hacker可以先在TrustSiteA上传一个txt文件，这个很容易做到。