朋友新开的公司规模越来越大,原来使用工作组的管理方式已经无法满足业务增长需求,让友情帮忙搭建一套AD环境出来,搭建AD的教程就先忽略了,就说建立OU与系统帐户还有加域吧。
本来都可以使用DOS命令(dsadd ou 和 dsadd user)进行的,但是微软大力推Powershell,还是要跟上时代的浪潮,琢磨了一下官方手册,于是出现了如下命令:
一、新建3个OU (在组织名称后再增加PC和USER两个OU,方便下发域策略(用户和计算机策略)
New-ADOrganizationalUnit -name LEE -path "DC=LEE,DC=NET"
New-ADOrganizationalUnit -name USER -path "OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name PC -path "OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 业务 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 采购 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 生产 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name HR -path "OU=PC,OU=LEE,DC=LEE,DC=NET"New-ADOrganizationalUnit -name 业务 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 采购 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 生产 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name HR -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
二、建立AD帐户并绑定登录工作站
NEW-ADUSER -samaccountname KMD076 -name KMD076 -userprincipalname [email protected] -display 业务刘红灯 -accountpassword(ConvertTo-Securestring -String "km.2017" -asplaintext -force) -enabled $true -Description 业务刘红灯 -LogonWorkstations "KM-sales1" -path "OU=业务,OU=USER,OU=LEE,DC=LEE,DC=NET"
NEW-ADUSER -samaccountname KMD012 -name KMD012 -userprincipalname [email protected] -display SC刘慧鹏 -accountpassword(ConvertTo-Securestring -String "km.2017" -asplaintext -force) -enabled $true -Description SC刘慧鹏 -LogonWorkstations "KM-Wirecut2" -path "OU=生产,OU=USER,OU=LEE,DC=LEE,DC=NET"
NEW-ADUSER详细的命令参数可通过官网获取:
https://technet.microsoft.com/en-us/library/ee617253.aspx
三、创建计算机账户
NEW-ADCOMPUTER
NEW-ADCOMPUTER -NAME KM-sales1 -PATH "OU=采购,OU=PC,OU=LEE,DC=LEE,DC=NET"
事先建立好未添加网域的电脑账户,加域后会自动连接到指定OU,而非默认的computer容器,更利于管理。
NEW-ADCOMPUTER详细的命令参数可通过官网获取:
https://technet.microsoft.com/en-us/library/ee617245.aspx
四、创建组策略并链接到指定的OU (这里以常用的Bginfo 做演示(结合SQLSERVER))
1、先准备SQL 数据库( 安装略) 并建立一个bginfo 的数据库,并将SA登录权限开启。
2、自定义bginfo配置文件字段:
打开bginfo.exe 自定义两个字段(SN号与机身型号),可以结合vbs或者WMI调取自己所需的字段;
我定义序列号(SN) 与机器型号(MODEL);(
备注:
我司领导要求桌面不显示信息(IP/主机名等),把字段全部清空, 仅收集客户端信息,各位就看你们的实际需求是否去除了。
3、bginfo程序字段链接SQL数据库
服务器输入SQL服务器的名称(建议关闭防火墙), 若通过windows账户进行登录的话,勾选使用信任连接(账户密码为windows账户与密码,一般为域用户)为测试环境这里就直接使用SA账户进行登录了,生产环境强烈不建议这么做。
4、将GPO连接到用户群组(bginfo为读取当前用户信息,链接到计算机策略获取电脑信息没太大意义)。
写个批处理bginfo.bat,红色区域不同域环境修改一下路径即可(这里以LEE.NET网域为例)
cmd /c
@echo off
"\\LEE.NET\SysVol\LEE.NET\Policies\{81CE5A09-F768-476F-BAE6-B65282C9F621}\User\Scripts\Logon\bginfo.exe" /nolicprompt /i"\\LEE.NET\SysVol\LEE.NET\Policies\{81CE5A09-F768-476F-BAE6-B65282C9F621}\User\Scripts\Logon\bgconfig.bgi" /timer:00
5、在客户端注销登录(登录账户需套用bginfo 的GPO)
不知这个是否为程序的bug还是有其他原因,虽然删除了所有显示的字段,还是会显示一下再自动消失。
6、SQL数据库中查看已存在自定义和微软默认的所有字段记录
