AciveDirecory和組策略教材

第3章ActiveDirectory和組策略規(guī)劃基礎(chǔ)結(jié)構(gòu)服務(wù)服務(wù)器角色規(guī)劃和實(shí)現(xiàn)組策略方案本章課程設(shè)置：第1課WindowsServer2008ActiveDirectory第2課WindowsServer2008

組策略1第1課windowsServer2008AD學(xué)習(xí)目標(biāo)：列舉和描述WindowsServer2008ActiveDirectory域服務(wù)（ADDS）的新特征和功能規(guī)劃和配置域功能級(jí)別規(guī)劃林功能級(jí)別規(guī)劃林信任使用目錄服務(wù)器23.1.1介紹WindowsServer2008目錄服務(wù)器角色目錄服務(wù)器角色ADDS引入的新功能：只讀域控制器RODC新的和增強(qiáng)的工具和向?qū)В篈DDS安裝向?qū)Ъ?xì)化的安全策略：多元密碼策略可重啟的ADDS：允許離線操作ADDS數(shù)據(jù)挖掘工具：可查看快照數(shù)據(jù)33.1.1介紹WindowsServer2008目錄服務(wù)器角色1．只讀域控制器RODCRODC是具有ActiveDirectory文件庫(kù)只讀版本的域控制器，可部署于域控制器安全性無(wú)法確保的環(huán)境中。包括域控制器的物理安全性有疑慮的分支機(jī)構(gòu)，或者具有額外角色功能并需要其他用戶登入與管理服務(wù)器的域控制器。可以把RODC管理委派給一個(gè)域用戶或安全組，從而在本地管理員不是DomainAdmins組成員的地方使用RODC。43.1.1介紹WindowsServer2008目錄服務(wù)器角色使用案例：遠(yuǎn)程分公司的用戶，一般通過(guò)廣域網(wǎng)WAN連接到總公司的DC進(jìn)行身份驗(yàn)證。缺點(diǎn)：延遲或不能登錄。怎么解決？可寫(xiě)的DC?存放一個(gè)可寫(xiě)的DC和一個(gè)管理員，浪費(fèi)太大。存放一個(gè)可寫(xiě)的DC，讓管理員遠(yuǎn)程管理，帶寬低，費(fèi)時(shí)又棘手。存放一個(gè)可寫(xiě)的DC不如WAN安全。RODC解決方案：RODC提供了增強(qiáng)的安全性；使登錄更快速，并且允許更有效地訪問(wèn)本地資源；RODC管理可以委派給一個(gè)沒(méi)有管理權(quán)限的用戶或組。51．只讀域控制器RODC如果分公司使用的LOB（line-of-business）業(yè)務(wù)應(yīng)用程序只有安裝到一個(gè)域控制器上才能運(yùn)行，也要選擇部署RODC。RODC從一個(gè)可寫(xiě)DC接收它的配置。敏感的安全信息不被復(fù)制到RODC。用戶在分公司第一次登錄時(shí)通過(guò)WAN進(jìn)行身份確認(rèn)，然后RODC可以把憑證緩存，以后就可以在本地驗(yàn)證。因此，在用戶相對(duì)較少，物理安全性差，網(wǎng)絡(luò)帶寬較低，IT知識(shí)貧乏的環(huán)境下，可以采用RODC。提供了只讀ADDS數(shù)據(jù)庫(kù)、單向復(fù)制、憑證緩存、管理員角色分離、只讀DNS（不支持客戶更新）等功能。3.1.1介紹WindowsServer2008目錄服務(wù)器角色63.1.1介紹WindowsServer2008目錄服務(wù)器角色2．規(guī)劃RODC實(shí)現(xiàn)條件：遠(yuǎn)程啟動(dòng)Server2008升級(jí)或有一個(gè)2008的ADDS域，即可計(jì)劃實(shí)現(xiàn)RODC。RODC安裝的兩個(gè)階段：第一階段：為該域中的RODC創(chuàng)建計(jì)算機(jī)賬戶時(shí)，可以為特定的RODC規(guī)定密碼復(fù)制策略。在RODC上安裝DNS實(shí)現(xiàn)一個(gè)輔助的DNS服務(wù)器，可以復(fù)制該DNS使用的所有應(yīng)用程序目錄分區(qū)。客戶更新數(shù)據(jù)，可以請(qǐng)求單一更新DNS。第二階段：安裝73.1.1介紹WindowsServer2008目錄服務(wù)器角色3．利用安裝向?qū)г鰪?qiáng)功能WindowsServer2008增加了ADDS安裝向?qū)?，以?jiǎn)化ADDS安裝，并引入了RODC安裝等新特征。單擊“添加角色”輸入命令dcpromo高級(jí)模式安裝使你能夠更好地控制安裝過(guò)程。83.1.1介紹WindowsServer2008目錄服務(wù)器角色4．委派RODC安裝在總公司DC中，可以委派合適的權(quán)限給一個(gè)用戶或組。分支辦公室的用戶接受了委派權(quán)限后，就可以執(zhí)行RODC的安裝，并可以管理RODC，但不需要域管理員權(quán)限。過(guò)程：首先創(chuàng)建RODC賬戶；安裝過(guò)程中就可以關(guān)聯(lián)/委派。93.1.1介紹WindowsServer2008目錄服務(wù)器角色5．利用MMC管理單元增強(qiáng)功能WindowsServer2008增強(qiáng)了MMC管理單元工具（如AD用戶和計(jì)算機(jī)）的功能。查找命令：該命令允許查找放置DC的站點(diǎn)。可以幫助解決復(fù)制問(wèn)題。提供配置“密碼復(fù)制策略”選項(xiàng)卡，用于配置RODC的設(shè)置。單擊“高級(jí)”按鈕，可以查看哪些密碼已被發(fā)送或存儲(chǔ)到RODC中，也就知道誰(shuí)在使用RODC。103.1.1介紹紹WindowsServer2008目錄錄服務(wù)器器角色6．規(guī)劃劃多元密密碼和帳帳戶鎖定定策略以前的ActiveDirectory實(shí)現(xiàn)中中，只能能對(duì)域中中的所有有用戶應(yīng)應(yīng)用一個(gè)個(gè)密碼和和帳戶鎖鎖定策略略。WindowsServer2008允許規(guī)規(guī)定多元密碼碼策略?？梢砸?guī)規(guī)定多個(gè)個(gè)密碼策策略，并并對(duì)單個(gè)個(gè)域中的的不同用用戶組應(yīng)應(yīng)用不同同的密碼碼限制和和賬戶鎖鎖定策略略。密碼設(shè)置置容器（（PSC）密碼設(shè)置置對(duì)象（（PSO）通常，規(guī)規(guī)劃的策策略可以以包含至少3個(gè)個(gè)但不能能多于10個(gè)PSO。不能直接接將PSO應(yīng)用用于組織織單元OU。而而考慮為為這些OU創(chuàng)建建影子組組（全局局安全組組），然然后應(yīng)用用PSO。113.1.1介紹紹WindowsServer2008目錄錄服務(wù)器器角色6．規(guī)劃劃多元密密碼和帳帳戶鎖定定策略將PSO應(yīng)用于于組而不不是OU，可以以不用修修改OU層次結(jié)結(jié)構(gòu)，組組為管理理各用戶戶集提供供了更好好的靈活活性。使用多元元密碼，，需要具具有2008域域功能級(jí)級(jí)別。只有域管管理組的的成員才才可以創(chuàng)創(chuàng)建PSO，以以及將一一個(gè)PSO應(yīng)用用于某個(gè)個(gè)組或用用戶。多元密碼碼策略只只能應(yīng)用用于用戶戶對(duì)象和和全局安安全組，，不能應(yīng)應(yīng)用于計(jì)計(jì)算機(jī)對(duì)對(duì)象。多元密碼碼策略不不能干預(yù)預(yù)自定義義的密碼碼篩選器器。PSO分分配給一一個(gè)全局局組后，，可以把把一個(gè)特特殊的PSO直直接應(yīng)用用于特定定的用戶戶?？梢杂?jì)劃劃委派多多元密碼碼管理。。123.1.1介紹紹WindowsServer2008目錄錄服務(wù)器器角色7．規(guī)劃劃數(shù)據(jù)挖挖掘工具具的使用用目的：為為了方便便恢復(fù)被被刪除的的ADDS對(duì)對(duì)象。數(shù)據(jù)挖掘掘工具Dsamain.exe使被被刪除的的數(shù)據(jù)能能夠以卷影復(fù)制制服務(wù)VSS備備份份的的ADDS快快照照方方式式進(jìn)進(jìn)行行保保留留。。可可以以利利用用輕輕型型目目錄錄訪訪問(wèn)問(wèn)協(xié)協(xié)議議工工具具，，如如ldp.exe查查看看這這些些快快照照中中的的只只讀讀數(shù)數(shù)據(jù)據(jù)。。規(guī)劃劃被被刪刪除除數(shù)數(shù)據(jù)據(jù)的的還還原原策策略略：：決定定如如何何最最好好地地保保留留刪刪除除的的數(shù)數(shù)據(jù)據(jù)，，使使它它能能夠夠被被還還原原，，從從而而在在需需要要的的時(shí)時(shí)候候還還原原該該數(shù)數(shù)據(jù)據(jù)。。決定定數(shù)數(shù)據(jù)據(jù)丟丟失失后后或或者者破破壞壞時(shí)時(shí)應(yīng)應(yīng)還還原原哪哪個(gè)個(gè)快快照照。。確定定了了需需要要恢恢復(fù)復(fù)的的對(duì)對(duì)象象或或OU，，可可以以在在快快照照中中標(biāo)標(biāo)識(shí)識(shí)并并記記錄錄它它們們的的屬屬性性和和返返回回鏈鏈接接。?？紤]慮快快照照的的安安全全問(wèn)問(wèn)題題，，制制訂訂恢恢復(fù)復(fù)計(jì)計(jì)劃劃。。13介介紹紹WindowsServer2008目目錄錄服服務(wù)務(wù)器器角角色色8．．規(guī)規(guī)劃劃ADDS審審核核在WindowsServer2008中中，，全局局審審核核策策略略“審審核核目目錄錄服服務(wù)務(wù)訪訪問(wèn)問(wèn)””默默認(rèn)認(rèn)啟啟動(dòng)動(dòng)。。該該策策略略控控制制啟啟用用還還是是禁禁用用目目錄錄服服務(wù)務(wù)事事件件的的審審核核。。審核核：：記記錄錄事事件件寫(xiě)寫(xiě)入入““安安全全性性””事事件件日日志志以以及及如如何何響響應(yīng)應(yīng)事事件件。。DS訪訪問(wèn)問(wèn)DS改改變變DS復(fù)復(fù)制制審核核DS復(fù)復(fù)制制被被進(jìn)進(jìn)一一步步細(xì)細(xì)分分，，提提供供兩兩個(gè)個(gè)審審核核級(jí)級(jí)別別的的選選擇擇：：正正常常和和詳詳細(xì)細(xì)。。如何何響響應(yīng)應(yīng)事事件件：：““將將任任務(wù)務(wù)附附加加到到該該事事件件””。。14規(guī)規(guī)劃劃域域和和林林功功能能將域域和和林林升升級(jí)級(jí)到到WindowsServer2008時(shí)時(shí)，，總總會(huì)會(huì)提提升升域域和和林林的的功功能能級(jí)級(jí)別別。。提升升功功能能級(jí)級(jí)別別非常常容容易易，，但但是是不可可能能降降低低它們們，，除除了了卸卸載載重重裝裝。。要規(guī)規(guī)劃劃需需要要為為域域設(shè)設(shè)置置什什么么功功能能級(jí)級(jí)別別以以及及什什么么時(shí)時(shí)候候提提升升功功能能，，需需要要知知道道每每個(gè)個(gè)功功能能級(jí)級(jí)別別支支持持什什么么DC以以及及提提升升功功能能級(jí)級(jí)別別提提供供哪哪些些附附加加功功能能，，還還需需要要知知道道域域和和林林功功能能級(jí)級(jí)別別之之間間的的關(guān)關(guān)系系。。域功功能能級(jí)級(jí)別別考考慮慮因因素素林功功能能級(jí)級(jí)別別考考慮慮因因素素15規(guī)規(guī)劃劃林林級(jí)級(jí)信信任任林信信任任（（即即林林級(jí)級(jí)信信任任））允允許許一一個(gè)個(gè)林林中中的的每每個(gè)個(gè)域域信信任任另另一一個(gè)個(gè)林林中中的的每每個(gè)個(gè)域域。?？梢砸允鞘菃蜗蛳騻鱾魅肴胄判湃稳?、單向向傳傳出出信信任任或雙向向信信任任。應(yīng)用用：：伙伴伴公公司司或或密密切切聯(lián)聯(lián)系系的的組組織織之之間間可可以以使使用用林林信信任任。。林信信任任可可能能構(gòu)構(gòu)成成并并購(gòu)購(gòu)或或者者接接管管戰(zhàn)戰(zhàn)略略的的組組成成部部分分。。對(duì)AD隔隔離離也也可可以以使使用用林林信信任任。。161．．規(guī)規(guī)劃劃信信任任類類型型和和信信任任方方向向類型型：：林信信任任：：最常常見(jiàn)見(jiàn)的的跨跨林林運(yùn)運(yùn)作作的信信任任類類型型。?？旖莘绞叫湃稳瓮獠啃湃危毫至种械囊粋€(gè)域域需要與一個(gè)個(gè)不屬于林的的域建立信任任關(guān)系，則建建立一個(gè)域信信任。領(lǐng)域信任：Unix領(lǐng)域域和Windows域之之間，通過(guò)Kerberos身份驗(yàn)驗(yàn)證，建立信信任。信任方向：?jiǎn)蜗颍▊魅?、、傳出）、雙雙向規(guī)規(guī)劃林級(jí)信信任17規(guī)規(guī)劃林級(jí)信信任2．創(chuàng)建林信信任在創(chuàng)建前，需需要確保兩個(gè)個(gè)林的林功能能級(jí)別是WindowsServer2003或WindowsServer2008。。下一步是確保保每個(gè)林的根根域可以訪問(wèn)問(wèn)其他林的根根域。從“管理工具具”中打開(kāi)““ActiveDirectory域和信任任關(guān)系”。啟動(dòng)“新建信信任向?qū)А??！?8本課小結(jié)WindowsServer2008引引入許多新的的ADDS功能，包括括RODC、、多元安全策策略和數(shù)據(jù)挖挖掘工具等。。在分支辦公室室中，如果可可寫(xiě)入的DC可能成為一一種安全威脅脅，則可以安安裝RODC來(lái)改進(jìn)登錄錄和DNS解解析?？梢耘渲肞SO以存儲(chǔ)不不同于域策略略的密碼和賬賬戶鎖定策略略，可以將用用戶和安全組組與一個(gè)PSO關(guān)聯(lián)。數(shù)據(jù)挖掘工具具使被刪除的的ADDS或ADLDS數(shù)據(jù)據(jù)能夠以VSS獲得的ADDS快快照方式保留留下來(lái)。WindowsServer2008增增強(qiáng)了MMC管理單元工工具的功能。。增強(qiáng)了ADDS審核功功能，允許判判定ADDS發(fā)生了什什么改變以及及這些改變是是何時(shí)發(fā)生的的。林級(jí)信任允許許一個(gè)林中的的某個(gè)域的用用戶訪問(wèn)另一一個(gè)林中的某某個(gè)域中的資資源。19第2課WindowsServer2008組策略略組策略通過(guò)自自動(dòng)完成很多多與用戶和計(jì)計(jì)算機(jī)管理相相關(guān)的任務(wù)來(lái)來(lái)簡(jiǎn)化管理。?？梢允褂媒M策策略在客戶端端按需安裝允允許的應(yīng)用程程序，并使應(yīng)應(yīng)用程序保持持更新。在WindowsServer2008中中，組策略管管理控制臺(tái)（（GPMC））是內(nèi)置的。。通過(guò)“添加加功能向?qū)А薄笨梢园惭bGPMC。管理模板（ADM）文件件用來(lái)描述基基于注冊(cè)表的的組策略設(shè)置置。在WindowsServer2008中ADM文件被替換換為XML格格式的ADMX文件，使使管理更加容容易。20第2課WindowsServer2008組策策略學(xué)習(xí)目標(biāo)：了解組策略，，安裝GPMC列舉WindowsServer2008引入的新新的組策略設(shè)設(shè)置和說(shuō)明它它們的功能編寫(xiě)簡(jiǎn)單的ADMX文件件討論配置組策策略時(shí)可能發(fā)發(fā)生的各種問(wèn)問(wèn)題以及如何何解決它們21了了解組策略略組策略對(duì)象（（GPO）中中包含的組策策略設(shè)置可以以鏈接到OU，而OU既既可以從父OU繼承設(shè)置置，也可以阻阻斷繼承，并并從它們自己己鏈接的GPO獲得特定定的設(shè)置。策略（特別是是安全策略））可以設(shè)置為為“不覆蓋””，使它們不不能被阻斷或或覆蓋，并強(qiáng)強(qiáng)制子OU從從父OU繼承承設(shè)置。22WindowsServer2008引入入了下列組策策略設(shè)置：允許遠(yuǎn)程啟動(dòng)動(dòng)未列出的程程序允許時(shí)間區(qū)域域重定向在連接時(shí)始終終顯示桌面磁盤診斷：配配置自定義警警告文本、配配置執(zhí)行級(jí)別別不允許剪貼板板重定向登錄時(shí)不自動(dòng)動(dòng)顯示初始配配置任務(wù)窗口口登錄時(shí)不顯示示服務(wù)器管理理器頁(yè)面實(shí)施遠(yuǎn)程桌面面墻紙的刪除除組策略管理編編輯器……了了解組策略略23規(guī)規(guī)劃和管理理組策略規(guī)劃組策略的的部分工作是是規(guī)劃組織結(jié)構(gòu)構(gòu)。保持結(jié)構(gòu)簡(jiǎn)單單，不要跨站站點(diǎn)邊界鏈接接OU和GPO，賦予OU和GPO有意義的名名稱。充分了解組策策略在客戶端是如如何處理的。處理分如如下兩個(gè)階段段：核心處理：核核心組策略引引擎在初始階階段處理。連連接DC，是是否有GPO被修改，以以及哪些策略略設(shè)置必須處處理?？蛻舳藬U(kuò)展（（CSE）處處理：從DC下來(lái)的組策策略設(shè)置被放放到了不同的的分類，每個(gè)個(gè)分類的設(shè)置置都有一個(gè)特特定的CSE處理。核心心組策略引擎擎調(diào)用所需的的CSE來(lái)處處理客戶端應(yīng)應(yīng)用的設(shè)置。。24規(guī)規(guī)劃和管理理組策略1．使用ADMX文件管管理組策略ADMX是用用來(lái)定義注冊(cè)冊(cè)表的策略設(shè)設(shè)置。使用基基于XML的的文件格式。。ADMX文件件分為語(yǔ)言中中立資源（.admx文文件）和語(yǔ)言言特定的資源源（.adml文件）。。2．ADMX位置ADMX文件件可以存儲(chǔ)在在一個(gè)中心位位置。這就大大大減少了維維護(hù)GPO所所需的存儲(chǔ)空空間。中心存儲(chǔ)位置置不是默認(rèn)可可用的，而是是需要人工創(chuàng)創(chuàng)建它。25規(guī)規(guī)劃和管理理組策略3．創(chuàng)建自定定義的ADMX文件如果WindowsSerer2008所所帶的標(biāo)準(zhǔn)組組策略設(shè)置不不能滿足要求求，可以考慮慮創(chuàng)建自定義義的ADMX文件。ADMX修改改注冊(cè)表。所所以要在隔離離的試驗(yàn)網(wǎng)絡(luò)絡(luò)上對(duì)自定義義的ADMX文件進(jìn)行測(cè)測(cè)試，不能把把它們直接安安裝到生產(chǎn)網(wǎng)網(wǎng)絡(luò)上。使用XML編輯輯器或或文本本編輯輯器可可以創(chuàng)創(chuàng)建和和編輯輯ADMX文件件。XML文件件是區(qū)區(qū)分大大小寫(xiě)寫(xiě)的。。26組組策略略疑難難解答答組策略略是健健壯的的，幾幾乎不不會(huì)break。由由于策策略繼繼承和和OU結(jié)構(gòu)構(gòu)設(shè)計(jì)計(jì)得不不正確確，組策略略會(huì)不不起作作用。。調(diào)試組組策略略的第第一步步，通通常是是檢查查正確確地規(guī)規(guī)劃和和實(shí)現(xiàn)現(xiàn)了域域基礎(chǔ)礎(chǔ)結(jié)構(gòu)構(gòu)。確確保所所需的的服務(wù)務(wù)和組組件都都如期期望的的那樣樣運(yùn)行行和配配置。。如果某某一個(gè)個(gè)有問(wèn)問(wèn)題，，首先先驗(yàn)證證是否否被連連入網(wǎng)網(wǎng)絡(luò)，，加入入了域域，具具有正正確的的系統(tǒng)統(tǒng)時(shí)間間。其其次檢檢查你你配置置的安安全篩篩選等等設(shè)置置有沒(méi)沒(méi)有影影響正正常的的GPO處處理。。27組組策略略疑難難解答答1．使使用組組策略略工具具GPResult.exe：：驗(yàn)證證對(duì)某某個(gè)特特定用用戶或或計(jì)算算機(jī)起起作用用的所所有策策略設(shè)設(shè)置。。GPOTool.exe：一一個(gè)資資源工工具包包，檢檢查域域的每每個(gè)DC上上的GPO一致致性，，以及及確定定這些些策略略是否否有效效，顯顯示有有關(guān)復(fù)復(fù)制的的GPO的的詳細(xì)細(xì)信息息。2．解解決核核心處處理問(wèn)問(wèn)題如果核核心處處理沒(méi)沒(méi)有快快速有有效地地發(fā)生生，CSE處理理可能能無(wú)法法開(kāi)始始，組組策略略得不不到應(yīng)應(yīng)用。。28本課小小結(jié)GPMC與與WindowsServer2008緊緊密集集成，，使用用服務(wù)務(wù)器管管理器器可以以安裝裝該工工具。。WindowsServer2008引引入了了許多多組策策略設(shè)設(shè)置，，特別別是與與TS服務(wù)務(wù)器角角色有有關(guān)的的設(shè)置置。ADMX語(yǔ)語(yǔ)言中立和和語(yǔ)言特定定的文件定定義WindowsServer2008域中可配配置的組策策略設(shè)置。。這些文件件可以存儲(chǔ)儲(chǔ)在DC上上的一個(gè)中中心存儲(chǔ)位位置，需要要在某個(gè)DC上創(chuàng)建建該中心存存儲(chǔ)位置。。DFSR把它復(fù)制制到域中的的其他DC。有各種各樣樣的工具可可以幫助解解決組策略略問(wèn)題，其其中最有用用的是使用用GPMC保存GPO報(bào)告的的功能。29本章小結(jié)P1343.1.5本課課小結(jié)P1523.2.5本課課小結(jié)P154本本章小結(jié)結(jié)P1343.1.6復(fù)習(xí)習(xí)題P1523.2.6復(fù)習(xí)習(xí)題P154關(guān)關(guān)鍵術(shù)語(yǔ)語(yǔ)309、靜夜夜四無(wú)無(wú)鄰，，荒居居舊業(yè)業(yè)貧。。。1月-231月-23Sunday,January1,202310、雨中黃葉樹(shù)樹(shù)，燈下白頭頭人。。21:27:1621:27:1621:271/1/20239:27:16PM11、以我我獨(dú)沈沈久，，愧君君相見(jiàn)見(jiàn)頻。。。1月-2321:27:1621:27Jan-2301-Jan-2312、故人人江海海別，，幾度度隔山山川。。。21:27:1621:27:1621:27Sunday,January1,202313、乍見(jiàn)翻翻疑夢(mèng)，，相悲各各問(wèn)年。。。1月-231月-2321:27:1621:27:16January1,202314、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國(guó)國(guó)見(jiàn)青青山。。。01一一月月20239:27:16下下午21:27:161月-2315、比不了得得就不比，，得不到的的就不要。。。。一月239:27下下午1月-2321:27January1,202316、行動(dòng)出出成果，，工作出出財(cái)富。。。2023/1/121:27:1621:27:1601January202317、做做前前，，能能夠夠環(huán)環(huán)視視四四周周；；做做時(shí)時(shí)，，你你只只能能或或者者最最好好沿沿著著以以腳腳為為起起點(diǎn)點(diǎn)的的射射線線向向前前。。。。9:27:16下下午午9:27下下午午21:27:161月月-239、沒(méi)有失敗敗，只有暫暫時(shí)停止成成功！。1月-231月-23Sunday,January1,202310、很多事情努努力了未必有有結(jié)果，但是是不努力卻什什么改變也沒(méi)沒(méi)有。。21:27:1621:27:1621:271/1/20239:27:16PM11、成功功就是是日復(fù)復(fù)一日日那一一點(diǎn)點(diǎn)點(diǎn)小小小努力力的積積累。。。1月-2321:27:1621:27Jan-2301-Jan-2312、世間成事事，不求其其絕對(duì)圓滿滿，留一份份不足，可可得無(wú)限完完美。。21:27:1621:27:1621:27Sunday,January1,202313、不知香積寺寺，數(shù)里入云云峰。。1月-231月-2321:27:1621:27:16January1,202314、意志志堅(jiān)強(qiáng)強(qiáng)的人人能把把世界界放在在手中中像泥泥塊一一樣任任意揉揉捏。。01一一月月20239:27:16下下午21:27:161月-2315、楚塞三三湘接，，荊門九