QUOTE:
深入理解域之AD活動目錄企業應用及案例分享
無論集中還是分散,目錄服務觸及企業的每個角落,而且常常超越企業延伸到商業夥伴和客戶。AD是一個企業目錄系統,可以自動進行用戶數據,安全和分佈的資源的控制和協調。AD活動目錄企業應用的成功、常見的缺陷、時間選擇、組織結構以及技術問題,將在這裏深入探討。歡迎大家前來參與。
參考資料:
附件: AD企業應用及案例.rar (2008-8-7 17:15, 730.72 K)
該附件被下載次數 592
QUOTE:
活動時間:
此次活動時間是08月14日下午14:00點-17:00點,請大家在提問的時候保持跟這期活動的主題密切相關,方便問題有針對性的及時處理,嚴禁灌水,謝謝!
QUOTE:
專家介紹:宋楊
北大青鳥(西安兆隆)benet網絡技術高級講師
熟悉Windows / Linux服務搭建,廣域網技術,Voip,Cisco / 華爲網絡技術。
行業經驗:多年大型企業網站建設及系統集成經驗。擅長ERP、CRM系統部署,曾長期致力於汽車服務行業的信息化解決方案。有着豐富的微軟及Sap公司系統產品實施及部署經驗。
項目經驗:成功整合過Windows、IBM、SAP、騰訊E、用友、紹興卓越軟件,北京易車等知名國內外信息化系統。湖南長豐獵豹售後服務有限公司ERP/CRM/OA系統整合項目,一汽大衆大SAP系列行業項目,華晨金盃售後服務信息化項目,鄭州日產ERP/CRM項目、上汽奇瑞ERP項目。現任北大青鳥(西安兆隆)benet網絡技術高級講師。
點擊進入宋楊的博客>>>
一、
開始提問:
1、域裏用組策略進行軟件發佈,針對計算機指派和針對用戶指派的區別?
2、組策略分發只支持發佈.msi格式軟件,能否推薦幾款比較實用的.msi格式轉換工具??
3、我目前用的是Advanced install,但是有些軟件(如windows系統補丁等)轉換過來後分發的時候經常沒有效果(應該非操作問題,其他軟件如office和winrar等都起效果),能否給些相關說明??
4、在企業裏設置AD後,如何更好控制用戶權限??也請給些相關說明
QUOTE:
專家回覆:
1、域裏用組策略進行軟件發佈,針對計算機指派和針對用戶指派的區別?
答:
針對計算機指派和針對用戶指派在客戶端進行軟件安裝時會有所區別:
針對計算機指派時:當成員機重啓後,用戶登陸前進行軟件的安裝(把安
裝信息寫入成員機的註冊表)。
針對用戶指派時:當成員機重啓後,用戶登陸後進行軟件的安裝(把安裝
信息寫入成員機的註冊表)。
注:實現以上操作時,組策略所鏈接的OU中必須包含,要指派的“計算機
”對象和“用戶”對象。
2、組策略分發只支持發佈.msi格式軟件,能否推薦幾款比較實用的.msi格式轉換
工具??
答:
1、VERITAS discover(早期win2000時代微軟提供的轉換工具,實現過程
複雜。)
2、Advanced install
3、AdminStudio 中的Repackager
*其實我們還有更方便的方法:ZAP軟件安裝配置文件
".zap"文件格式如下:
[Application]
;軟件的有好名字
FriendlyName = "Microsoft Excel 97"
; 安裝路徑(這裏寫和具體.zap配置文件和.exe安裝文件的相對路徑)
SetupCommand = "setup.exe"
; 版本
DisplayVersion = 8.0
; 發佈人
Publisher = Microsoft
3、我目前用的是Advanced install,但是有些軟件(如windows系統補丁等)轉
換過來後分發的時候經常沒有效果(應該非操作問題,其他軟件如office和
winrar等都起效果),能否給些相關說明??
答:
組策略的軟件分發一般是發佈基於操作系統之上的應用軟件的,而操作系
統補丁建議你使用WSUS去分發。關於WSUS的使用可以參考我的博客。
4、在企業裏設置AD後,如何更好控制用戶權限??也請給些相關說明
答:用戶權限,可以分用戶的操作權限和文件的訪問權限。
默認domian users 組普通域用戶組裏的成員只有計算機的基本使用權限
,沒有任何配置權限,而且默認創建的域用戶就是在 domian users 組中。這個
也是微軟給出的對於員工用戶賬號的最佳管理辦法。而員工對於文件等資源(軟
、硬件資源)的訪問權限最好使用AUGDLP規則來使用。具體案例請見:
[url]http://angerfire.blog.51cto.com/198455/72860[/url]
二、
想了解下域
公司有個域,但有的進域,有的進本地.我也不知道這域的作用在哪?能簡單的跟介紹下嗎?
像我這種小型企業.電腦就40臺左右,這個域,到底能幫我做些啥事情.
能介紹些關於AD的書籍嗎.我是個初學者
QUOTE:
專家回覆:
樓上的朋友,域環境的應用在於對企業賬號及企業網絡環境中的一切資源進行統一集中式的管理,而你面臨的問題,在於怎麼管理域,搭建域環境和管理域是不同的又是需要緊密結合的,域搭建起來了就一定要用組策略等管理手段來加強域的集中控制性,而你遇到的用戶不自覺登陸域的問題,可以通過再DC上的 AD活動目錄來直接針對成員機進行禁用本地賬號的方式來解決。當然還有更強硬的辦法,具體實施細節請關注我的博客。加油,你的動力,域的實力~!
三、
宋老師您好,我想了解以下2個問題:
1.多少臺電腦環境適合使用AD管理?我公司的網絡環境是全國各地幾個分公司+總部的組成的***,只有一個服務器,適合使用AD管理嗎?(比如:在總部的服務器上使用域管理員操作,管理分公司的電腦時會有什麼影響?)
2.AD能做到什麼地步?(能限制個人電腦的權限到什麼地步?比如我想讓公司各部門只能看到和訪問自己部門的電腦)
QUOTE:
專家回覆:
1.多少臺電腦環境適合使用AD管理?我公司的網絡環境是全國各地幾個分公司+總部的組成的***,只有一個服務器,適合使用AD管理嗎?(比如:在總部的服務器上使用域管理員操作,管理分公司的電腦時會有什麼影響?)
答:10臺以下的機器適合工作組的方式去管理,因爲分散管理對於一個企業網絡管理員來說,工作量並不大。
而10臺以上的機器,再使用分散管理,哪出問題去哪的方式去解決,對於管理員來說就吃不消了。
你們公司的網絡結構正是需要用域環境進行統一集中管理的,可以把DC搭建再總部,其他分公司通過加入域的方式來訪問***,這樣不僅管理嚴禁,而且更加強了***通道的安全可靠性。因爲只有域中的用戶纔有權限使用域中的資源,尤其是***,其他分公司可以在當地建立域中的站點,來加快本地用戶登陸域和訪問域中資源的速度。
推薦你使用單域結構,以OU的方式對分公司的資源進行統一集中管理!
四:
2.AD能做到什麼地步?(能限制個人電腦的權限到什麼地步?比如我想讓公司各部門只能看到和訪問自己部門的電腦)
答:
AD是個很可怕的東西,三個好處:
1、方便管理員統一集中的管理企業的所有資源(賬號、數據、硬件資源)
2、方便用戶快速的訪問,域內所有資源(單點登錄)
3、支持擴展:橫向擴展(單域變域樹、域樹變森林)適應企業的組織結構的發展壯大。
縱向擴展(除了對企業的計算機賬號、用戶賬號做統一集中的管理,以後的企業郵件,IM包括SOA都可以和AD活動目錄親密結合,就像我們現在一個 QQ賬號可以聊天,可以發郵件,玩遊戲一樣,甚至AD可以做到和手機卡綁定,因爲我們支持LDAP)
AD夢想,只要你想!
4、
能限制個人電腦的權限到什麼地步?比如我想讓公司各部門只能看到和訪問自己部門的電腦
QUOTE:
專家回覆:
域就是微軟計算機的軍團,再軍團內所有的物資都是由上級統一調配的。而權限也是我們AD管理員自己去設置的。
至於什麼程度,只要我們想到的都可以做到。只是時間問題。
五、
宋老師,你好!
請教一個問題:
如果域內的主DC壞了,重新安裝了系統,然後從備份DC複製配置,還會跟以前的activeDirectory配置一樣嗎?
QUOTE:
專家回覆:
這位朋友的問題在於主DC和輔DC的關係不明確:
當一個域存在一臺DC的時候,在搭建一臺額外的域控制器,輔DC就是爲了加強域的可靠性。
而通過輔DC如何實現可靠性呢,AD活動目錄與主DC之間同步複製,正是輔DC的作用,所以主DC中的資源都會同步到輔DC中,自然就可以通過輔DC來恢復主DC中的數據,與此同時還要記得做好備份計劃。
推薦使用:NTBACKUP命令的高級模式來備份主DC的系統狀態。
關於NTBACKUP的詳細參考方案,請關注我的博客:
[url]http://angerfire.blog.51cto.com[/url]
六、
今天遇到一個很奇怪的問題,想請各位能把所有加不進域控的問題統計出來:
windows xp pro en版本,因現在要修改下電腦名,入管理員用戶後,直接修改電腦名,提示有共享的文件存在,無法加入域控..進入cmd,用net use,發現有映射網絡盤,delete後再加域,發現一個很奇怪的提示:訪問拒絕!!使用有管理員權限的用戶加,一樣的報錯!進入到ad中,將以前的電腦名刪掉,再加,一樣的報錯!進入到dns中發現沒有紀錄。在客戶端自動獲取,重新註冊(運行過下面的3個命令 ipconfig/release;ipconfig/renew;ipconfig/reisterdns),在dns中還是沒有發現紀錄!!(很奇怪!!!)發現其他都正常(運行\\dc 後輸入用戶名和密碼可以進入到dc),加域報錯依舊,nslookup dc,也是正確的!實在不行,用newsid,重啓後加域一樣的報錯!因爲時間關係,沒辦法繼續查找問題,重新安裝了系統,解決了!請老師幫忙分析問題!謝謝!
ps;這個問題已經出過一次,是一臺新回來的筆記本,回來的時候供應商已經安裝有正版的window xp pro cn版的,花了4個多小時也沒找到原因!後來重新安裝搞定了。才1個多小時!
希望老師能給些總結性的東西,供我們以後查找問題!可能我們方法都知道,但是因爲順序的問題而將一個簡單的問題給複雜化了!(個人理解,希望給予答覆!)
QUOTE:
專家回覆:
判斷加入域的問題的時候秉持一個思路,先排除網絡問題,再排除系統問題。
網絡問題兩個:ping(通訊問題) DNS問題(NSLOOKUP)
系統問題三個:sid問題(推薦用微軟官方的手法解決,參考資料:微軟級DNA手術-新SID的誕生之系統封裝)
系統服務問題:本地系統的IPC$服務需要啓動,remote register server需要啓動,很多優化過的個人版的系統,被修改註冊表或者刪除管理型共享等這樣操作過,手動恢復回去再時間上還不如重新安裝一次。所以當我們對系統進行優化時,要考慮我們當前的網絡環境,是工作組環境還是域環境。
最後就是病毒問題了,建議換乾淨系統。
七、
關於加入域問題的總結:加入域--深入理解DNS在域中作用
想深入學習一下AD,當初學習在學校學習AD的時候,老師講的太簡單了,只是大概的說了一下。
QUOTE:
專家回覆:
域強調的是再理解基礎之上的應用。這個是微軟產品的使用法則,用實驗精神去學習就能獲得真知,努力!
八、
域環境爲雙域控同步,如果一臺檔掉無法恢復。另外一臺是否能正常運行?如不能,如何解決呢?
QUOTE:
專家回覆:
答:另外一臺可以正常運行,這正是輔DC的使命。
關於主DC 輔DC的關係解釋,請這位朋友參考23樓的回覆
九、
"宋老師,你好!
請教一個問題:
如果域內的主DC壞了,重新安裝了系統,然後從備份DC複製配置,還會跟以前的activeDirectory配置一樣嗎?
QUOTE:
專家回覆:
這位朋友的問題在於主DC和輔DC的關係不明確:
當一個域存在一臺DC的時候,在搭建一臺額外的域控制器,輔DC就是爲了加強域的可靠性。
而通過輔DC如何實現可靠性呢,AD活動目錄與主DC之間同步複製,正是輔DC的作用,所以主DC中的資源都會同步到輔DC中,自然就可以通過輔DC來恢復主DC中的數據,與此同時還要記得做好備份計劃。
推薦使用:NTBACKUP命令的高級模式來備份主DC的系統狀態。
關於NTBACKUP的詳細參考方案,請關注我的博客:
[url]http://angerfire.blog.51cto.com[/url]"
十、
今天遇到一個很奇怪的問題,想請各位能把所有加不進域控的問題統計出來:
windows xp pro en版本,因現在要修改下電腦名,入管理員用戶後,直接修改電腦名,提示有共享的文件存在,無法加入域控..進入cmd,用net use,發現有映射網絡盤,delete後再加域,發現一個很奇怪的提示:訪問拒絕!!使用有管理員權限的用戶加,一樣的報錯!進入到ad中,將以前的電腦名刪掉,再加,一樣的報錯!進入到dns中發現沒有紀錄。在客戶端自動獲取,重新註冊(運行過下面的3個命令 ipconfig/release;ipconfig/renew;ipconfig/reisterdns),在dns中還是沒有發現紀錄!!(很奇怪!!!)發現其他都正常(運行\\dc 後輸入用戶名和密碼可以進入到dc),加域報錯依舊,nslookup dc,也是正確的!實在不行,用newsid,重啓後加域一樣的報錯!因爲時間關係,沒辦法繼續查找問題,重新安裝了系統,解決了!請老師幫忙分析問題!謝謝!
ps;這個問題已經出過一次,是一臺新回來的筆記本,回來的時候供應商已經安裝有正版的window xp pro cn版的,花了4個多小時也沒找到原因!後來重新安裝搞定了。才1個多小時!
希望老師能給些總結性的東西,供我們以後查找問題!可能我們方法都知道,但是因爲順序的問題而將一個簡單的問題給複雜化了!(個人理解,希望給予答覆!)
QUOTE:
專家回覆:
判斷加入域的問題的時候秉持一個思路,先排除網絡問題,再排除系統問題。
網絡問題兩個:ping(通訊問題) DNS問題(NSLOOKUP)
系統問題三個:sid問題(推薦用微軟官方的手法解決,參考資料:微軟級DNA手術-新SID的誕生之系統封裝)
系統服務問題:本地系統的IPC$服務需要啓動,remote register server需要啓動,很多優化過的個人版的系統,被修改註冊表或者刪除管理型共享等這樣操作過,手動恢復回去再時間上還不如重新安裝一次。所以當我們對系統進行優化時,要考慮我們當前的網絡環境,是工作組環境還是域環境。
最後就是病毒問題了,建議換乾淨系統。
十一、
關於加入域問題的總結:加入域--深入理解DNS在域中作用
想深入學習一下AD,當初學習在學校學習AD的時候,老師講的太簡單了,只是大概的說了一下。
QUOTE:
專家回覆:
域強調的是再理解基礎之上的應用。這個是微軟產品的使用法則,用實驗精神去學習就能獲得真知,努力!
十二、
域環境爲雙域控同步,如果一臺檔掉無法恢復。另外一臺是否能正常運行?如不能,如何解決呢?
QUOTE:
專家回覆:
答:另外一臺可以正常運行,這正是輔DC的使命。
關於主DC 輔DC的關係解釋,請這位朋友參考23樓的回覆
十三、
"宋老師,你好!
請教一個問題:
如果域內的主DC壞了,重新安裝了系統,然後從備份DC複製配置,還會跟以前的activeDirectory配置一樣嗎?
QUOTE:
專家回覆:
這位朋友的問題在於主DC和輔DC的關係不明確:
當一個域存在一臺DC的時候,在搭建一臺額外的域控制器,輔DC就是爲了加強域的可靠性。
而通過輔DC如何實現可靠性呢,AD活動目錄與主DC之間同步複製,正是輔DC的作用,所以主DC中的資源都會同步到輔DC中,自然就可以通過輔DC來恢復主DC中的數據,與此同時還要記得做好備份計劃。
推薦使用:NTBACKUP命令的高級模式來備份主DC的系統狀態。
關於NTBACKUP的詳細參考方案,請關注我的博客:
[url]http://angerfire.blog.51cto.com[/url]"
十四、
本人正在深入學習AD,向宋老師提個問題:
公司最近對網絡進行了重整,統一用AD管理,所有的工作站加入了域,公司只有一臺服務器,系統用2003server加入域後發現對打印機管理這方面不知怎麼設置,
1,在AD裏添加了打印機的OU,在打印機文件夾裏發佈打印機,但選擇打印機後提示"未能發佈打印機,發佈打印機必須在打印機文件夾裏發佈",我是在新建的打印機OU裏發佈的,請宋老師分析一下原因所在.
2,在服務器裏配置打印機服務器出錯,提示:未能添加共享打印機到服務器,但我打開打印機和傳真文件夾裏已成功添加了共享打印機,不知是什麼原因.
3,對於以上兩個問題未解決的清況下,在工作站裏添加打印機裏提示出錯,無法連接到打機印服務器.
注:打印機安裝在其它部門的工作站的計算機上.
望宋老師給與分析與解決,謝謝!!
QUOTE:
專家回覆:
針對於您的問題,我們先要明確幾個概念:
1、windows server2003 企業版所搭建的域環境中,打印機在活動目錄中的發佈是自動的,即安裝完後,就自動共享並再AD中發佈邏輯打印機。
2、打印設備和打印機的概念:物理的看得見摸的着的是物理打印設備;而看得見摸不着在開始--設置--打印和傳真中看見的是邏輯打印機。
3、打印機服務器端與打印機客戶端:與打印設備直接相連的是打印服務器(物理),在打印和傳真中看見的打印機服務器端(邏輯、共享),而域中的成員所安裝的就是打印客戶端(與環境中讓用戶通過UNC路徑的方式添加,如:“//10.0.0.1/HPlaserJ”邏輯打印機的共享名)
這位朋友描述的情況比較混亂,但根據經驗有可能是因爲域成員機或者打印服務器刪除了默認的管理型共享或者相關服務沒啓動造成的。解決辦法,重新規劃打印服務器。
參考資料[url]http://angerfire.blog.51cto.com/198455/72860[/url]
十五、
請教宋老師一個問題:一間公司有40來臺客戶機,通過2臺24口的交換機上網,是工作組的對等網模式,現在想把他轉爲域模式,除了軟件方面之外,交換機那邊的物理接線需要改動嗎?整個物理拓撲需要怎樣改動?謝謝~~!
QUOTE:
專家回覆:
整個網絡的拓撲結構可以按照目前的方式運作,但是地基不打好,我們的域環境想發揮的淋漓盡致也是很不容易的,
所以建議在網絡規劃上,使用VLAN、TRUNK 、以太網通道、子網劃分等技術,給域環境的運作打下一個良好的網絡環境,以免造成日後的一些麻煩問題。
因爲我們的域就是建築在網絡基礎設備上的上層建築。
十六、
我想問一下..虛擬機上加AD是可以的..但爲什麼我每次在虛擬機上加域時,總是提示無法與域控制器聯繫..這是什麼原因啊?機子的問題還是虛擬機的問題.?
QUOTE:
專家回覆:
這個兩個原因:
1、虛擬機的使用不當,如果是用的VMWRAE,請參考:[url]http://angerfire.blog.51cto.com/198455/62341[/url]
2、DNS問題:
a 成員機的DNS未設置正確,請檢查成員機的DNS設置爲當前域的DNS服務器IP
b DNS服務器沒有正常工作,一般是因爲DNS SERVER的 SRV資源記錄沒有正常生成造成的,解決方法:重新啓動DNS服務器上的NSLOOKUP服務。
參考文檔:創建windows域---深入理解域概念
十七、
老師您好:
請教您個問題 A地公司和B地公司同屬於一個集團,因業務需要人員會相互調動工作。如果A地員工user1要去B地工作一段時間,希望還能保持在A地辦公時的域環境下工作(軟件使用、桌面佈局等),能實現嗎?如何實現?
煩請老師指點
QUOTE:
專家回覆:
針對單個員工的桌面環境等用戶配置文件信息可以使用漫遊配置文件的方法,爲他實現。
具體方法:在AD活動目錄中打開用戶的屬性中的配置文件,並指定配置文件的訪問點(UNC路徑)。
詳細信息,請關注我的博客:[url]http://angerfire.blog.51cto.com[/url]
十八、
我在我公司局域網中沒及專門安裝打印機服務,只把其中一臺客戶機作爲打印機服務器,每次添加打印機時,都要管理員賬號纔可以添加,如果用普通用戶添加的話,提示“一個組策略阻止計算機打印列隊運行”請問這是什麼原因?
QUOTE:
專家回覆:
打印權限問題,首先要確認你的打印服務器是否在域環境中,如果在域環境中那麼訪問它的所有用戶必須是域用戶。
如果不在域環境中,請右鍵打印服務器上的邏輯打印機(共享)再點安全,設置everyone用戶的打印權限。
十九、
審覈員工登陸和訪問文檔的行爲具體怎麼實施,能不能把這方面詳細資料傳上來,若有其他具體案例傳上來,這樣更容易理解域之AD活動目錄u在文件服務器上的重要文檔有定期備份與
QUOTE:
專家回覆:
這個問題需要啓用審覈策略中的登陸審覈和文件審覈來做,具體方法請關注我的博客,我和此回覆我會給出詳細步驟。
這裏給一個基本文件審覈的設置步驟:1、創建共享目錄2、啓用對象訪問審覈策略3、設置審覈對象4、設置審覈項
二十、
宋老師好
對於搭建一個至少有50臺的域環境中應該至少有哪些服務器類型呢?像 DC 打印服務器之類的還應該有哪些服務器需要考慮進去
QUOTE:
專家回覆:
具體需要考慮企業的應用,當然如果你在寫售前的方案書就要儘可能的根據用戶的企業類型性質和發展規模去爲用戶設計更多的功能,如:打印服務器、文件服務器、代理服務器、WEB、FTP、***、CA、IM即時通訊、SOA辦公(sharepoint)RADIUS等等
二十一、老師好,我看了一下你的資料,基礎篇比喻非常好,請問“工作組,域和OU的區別,域中的組與OU的區別分別是什麼”讓我們更加清楚瞭解這些概念,以達到更好的應用。謝謝。
QUOTE:
專家回覆:
首先工作組和域是微軟的兩種網絡模型,
工作組採用分散的數據信息管理方式,也就是所有的賬號數據資料都存儲在本地的石器時代;(分散)
域採用集中統一管理的方式,就像國家一樣對國家中的資源集中管理,有了規範的管理模式;(集中)
組和OU:
組是用戶帳戶的集合,做帳戶管理。
OU是一個盛放AD對象的容器。對域中資源進行結構化管理。
二十二、
我想問下,服務器裸機搭建域控制的步驟???
QUOTE:
專家回覆:
1、運行裏輸入:dcpromo
2、下一步再下一步選擇新域中的第一臺DC下一步
3、選擇新林中的域下一步
4、給域起名(要符合 DNS命名標準)並確定DNS診斷
5、選擇AD活動目錄和日誌的存放位置
6、給SYSVOL文件選擇存放位置
7、設置還原模式密碼
8、完成
二十三、
請問宋老師,我在打印服務器中選擇將共享打印機發布到Active Direcotry中,這時就可以在AD中查詢到打印機了,請問這個發佈信息在Active Directory數據庫的具體位置是什麼?用哪些工具可以查看?
QUOTE:
專家回覆:
默認的AD活動目錄數據庫的安裝位置:c:\windows\ntds\ntds.dit
活動目錄的遷移工具ADMT
二十四、
再請教宋老師一個問題,有時卸載域控制器時無法正常卸載,提示DSA查找錯誤,這是什麼原因導致的?是因爲域控制器複製關係的故障嗎?遇到這種問題
一如果懷疑是DNS的記錄有問題,如何手工重建所有域控制器的A,Cname和SRV記錄
二如果DNS記錄沒問題,如何糾正KCC計算出的AD複製拓樸
三如果在域控制器上用Dcpromo/forceremoval強行卸載AD,那其他的域控制器上還會認爲這臺強行降域的DC仍然存在,如何手工處理,謝謝。
QUOTE:
專家回覆:
對於這個問題,很多學生都會問到,每次問道的時候我都會反問他們爲什麼要卸載。
針對這個問題給予一個官方的解釋,服務器一旦成功升級到DC就意味着系統的架構被改寫了,想把它還原回原來剛安裝時候的樣子是很難辦到的。就算成功卸載了,此時的服務器已經不是當初剛剛裝好的那樣了。很多服務都廢了。
如果想給域改名字或者是降低功能級別,需要用操作主機來實現。
關於操作主機請關注我的博客:[url]http://angerfire.blog.51cto.com[/url]
二十五、
我在域環境中配置了客戶機只有一些程序能運行。另外的程序都不能運行。
但如果客戶端把非法程序的名字改成合法的程序的名字那些非法程序就能運行了。
請問有什麼辦法能解決。客戶端都是 windows2000.
QUOTE:
專家回覆:
猜測一下這位朋友的意思,給出解決方法,可以使用軟件限制策略中的哈希規則來限制用戶使用的軟件,哈希規則是通過唯一的哈希值來判定軟件的這樣即使用戶爲軟件改名也無法使用了。
二十六、
我在域環境中配置了客戶機只有一些程序能運行。另外的程序都不能運行。
但如果客戶端把非法程序的名字改成合法的程序的名字那些非法程序就能運行了。
請問有什麼辦法能解決。客戶端都是 windows2000.
QUOTE:
專家回覆:
猜測一下這位朋友的意思,給出解決方法,可以使用軟件限制策略中的哈希規則來限制用戶使用的軟件,哈希規則是通過唯一的哈希值來判定軟件的這樣即使用戶爲軟件改名也無法使用了。
二十七、
想問專家一個問題,我們公司有一臺服務器中的域用戶,在客戶端登陸的時候不定期的就會自動從域中退出來,需要重新進域,這樣很是麻煩,我們公司的所有客戶端機器都安裝有還原卡。請問專家這是怎麼回事?謝謝!
QUOTE:
專家回覆:
只有一臺機器是這樣那很可能是這個機器自動還原了,你檢查一下AD活動目錄裏COMPUTERS容器中的計算機數量是否正常,另外也不排除和還原卡配合使用的衝突問題。
二十八、
請教一下AD可以與微軟的RMS結合,以實現對公司文檔的管理,但關於AD的組策略我想請教一下,一般是如何做?
QUOTE:
專家回覆:
RMS是微軟再AD基礎上構建的專門針對文檔管理的解決方案之一,類似與RMS的還有sharepoint等
組策略想實現文檔管理是不能完全實現的,組策略可以實現文件訪問的審覈,而訪問控制需要通過權限規劃來實現請參考AUGDLP規則。
二十九、
在AD裏面一個管理員到底有多大的權限.不知道大家有沒有想過..而當管理員有權力過大的時候,又怎麼解決管理員的權力問題呢
QUOTE:
專家回覆:
管理員的權利不能濫用,解決這個問題是治理AD的關鍵,所以建議平常不使用administator用戶。
三十、
請問專家,對於一個已經好的AD部署,我們要進行域遷移,準備工作要注意哪些?
QUOTE:
專家回覆:
AD活動目錄遷移工具,操作主機,AD及時備份。
三十一、
我們知道在域用戶中,如果要限制客戶機不能使用IE瀏覽網頁,可以對客戶做策略,但如果客戶知道修改註冊表的話就沒有什麼作用了,對這種問題,除了再對客戶做個禁止修改註冊表外,還有什麼解決辦法,這是問題1
問題2:要限制客戶機不能使用IE瀏覽網頁,在域用戶中有幾種辦法
問題3:現在大家都想看奧運,我也很想看,但上班就是上班,辦公室不是看奧運的地方.在我們公司的防火牆上做了設置,已經無法使用電驢,BT等軟件,但現在還可以使用UUsee看網絡電視,我想問的是在域中可不可以做相應的策略加限制。謝謝
QUOTE:
專家回覆:
組策略中軟件限制策略的路徑規則證書規則哈希規則都是可行的辦法。直接通過應用層解決,尤其是哈希規則,通過唯一哈希值的方法限制的隨客戶怎麼改名改路徑改註冊表
順便說一句,用域環境做IT管理就不要給用戶使用本地註冊表的權限。
三十二、
關於域中的漫遊用戶專家可以講解下嗎?
漫遊用戶的配置文件一般放置在什麼地方?是不是在每次下了域環境時,AD服務器都會自動保存域用戶工作環境界面?
QUOTE:
專家回覆:
漫遊配置不宜多用,漫遊配置文件都會存放再一個專門的共享點
漫遊用戶登陸時從網絡共享點下載配置文件,漫遊用戶註銷時向網絡共享點上傳配置文件。
如果100個漫遊用戶這個域就有危機了
三十三、
尊敬的宋老師,您好!
我有幾個問題有點迷惑,麻煩您幫忙指點下
1.域中的全局組,本地域組,安全組,通訊組,他們應用的具體場合是什麼?實際應用的時候要不要分得很細呢?
2.在創建域的時候,並沒有先安裝DNS,等域安裝後再安裝DNS服務,然後我用命令 1)、net stop dns net stop netlogon;2)、net start dns ,net start netlogon ;3)、ipconfig /flushdns,ipconfig /registerdns. 通過以上步驟,在DNS中能看到相關的記錄,但有時候不行,不過是在VM中的測試
QUOTE:
專家回覆:
1、首先域中的組的類型分爲兩類:安全組(管理賬號和資源)和通訊組(發郵件爲了和exchange結合)
組的作用域分三種:全局作用域(域賬號管理)、本地作用域(域資源管理)、通用作用域(賬號管理,比全局組登陸速度快,多域環境下)
2、最好將DNS配置安裝在DC上,建議使用DCPROMO 通過嚮導界面安裝。
三十四、
繼續一下:尊敬的宋老師
如果要對域改名。應該怎麼做呢?要不要備份原來的?
QUOTE:
專家回覆:
要及時備份(系統狀態和策略),並通過操作主機完成,改名其實是個很危險的舉動
三十五、
專家好,有個問題請教一下?
當我爲我的客戶端重新安裝了一個系統,並且加入了域,當客戶端用戶登陸(屬於Domain Users權限)域,運行一些需要修改或者寫入註冊表的應用軟件時是無法正常運行的,每次我爲客戶重新安裝系統之後都必須把該系統下C盤的Users權限改成允許修改後才能解決問題。
1:請問出現這種情況的原因是什麼?
2:有沒有更好的方法去解決或者避免?
QUOTE:
專家回覆:
Domain Users組沒有權限修改,可以在DC上做一條策略針對一個特定組給他修改註冊表的權限,並且把這個用戶加入這個組。
三十六、
我的xp sp3在加入域時,老是提示找不到網絡路徑,但是不使用後綴可以加入域中,但是在加入域以後無法應該組策略。 dns解析正常,我查了很多資料,說是啓動tcp/ip netbiso服務,在tcp/ip高級屬性裏啓用了,但是我在服務裏沒有看到這個服務,請問該如何解決?謝謝!
QUOTE:
專家回覆:
這個問題應該是DNS的問題,不使用後綴加入域是使用的NETBIOS名加入域也就是使用netbios協議。
建議把成員機的DNS設置爲DC的IP (DNS安裝在 DC上),然後用 NSLOOKUP命令解析。如果解析不成功請在DC上重啓NETLONGON服務
三十七、
宋楊老師:您好!
我們公司原先加入域的用戶登錄域很正常;現在重新安裝的操作系統可以加入域;
但是登陸域超慢!! DNS的指向也是正確的;希望您能教我一些排錯的方法!
謝謝! [email protected]
QUOTE:
專家回覆:
把域功能級別升級到2003純模式,再將用戶加入通用組。
三十八、
宋老師,你好!
安裝活動目錄的時候我們一般是將DNS一塊自動安裝好。
如果我在安裝過程中沒有選擇將DNS自動安裝,而是跳過!
那裝完活動目錄後我們要怎麼去設置DNS呢?
QUOTE:
專家回覆:
安裝DNS後再爲DC指定DNS 但建議最好按正確順序執行
三十九、
宋老師好,新手請教:創建域對網絡環境有什麼要求?我們單位大約有500機器,各樓層的網段不同,不同樓層的機器有時不能互相訪問。請問該如何創建域?我們辦公室有一臺網絡打印機,其IP爲10.0.4.×,我的機器IP如果是10.0.6.×就不能訪問打印機,這種情況下能否創建域?創建域是否可解決互通問題?謝謝!
QUOTE:
專家回覆:
安裝域控制器的基本條件:
1、windows server2003版本不能爲web版
2、要有administrator管理員權限
3、至少有一個ntfs分區
4、要有IP和子網掩碼
5、要有dns的支持
6、要有足夠的磁盤空間
---------------------------------
你的網絡環境建議單域結構管理。
具體創建部署方法請參考下面兩篇文章:
[url]http://angerfire.blog.51cto.com/198455/92715[/url]
[url]http://angerfire.blog.51cto.com/198455/72860[/url]
四十、
軟件的分發是否是否會對網絡速度影響很大!比如說分發比較大的軟件?
是不是任何客戶端需要用的軟件都可以用DC分發?還是說分發軟件的大小應該控制在一個範圍內?
QUOTE:
專家回覆:
這位朋友的問題狠尖銳,組策略進行軟件分發的時候默認情況下是不會辨認大小的。當然如果我們給網絡中100臺計算機分發700M的軟件結果其中50臺C盤的可用空間都不足700M那麼安裝的結果就是50%成功安裝,而軟件分發卻是100%的,因爲咱們的組策略進行軟件分發的時候只是把軟件安裝的連接信息告訴了成員機,也就是在成員機上創建了一個快捷方式,等用戶第一次執行的時候才進行安裝。而一條軟件安裝的GPO在域成員機安裝軟件完畢後就可以備份並刪除了。只要是應用軟件都可以進行分發,而分發是不考慮大小的,只有安裝才考慮。
四十一、
AD組策略中有一個軟件限制策略,如何使用其來限制域中PC的特定軟件限制?
QUOTE:
專家回覆:
推薦使用哈希規則,具體操作步驟說明請見 [url]http://angerfire.blog.51cto.com/198455/d-3[/url]
四十二、
如何將筆記本用戶更好的納入到域管理中來。
QUOTE:
專家回覆:
在AD活動目錄中爲移動PC創建單獨的OU,並做單獨的策略來管理企業中的移動PC
四十三、
如何將原來的域環境改到工作組的網絡環境來?
QUOTE:
專家回覆:
選擇了域環境,就很難回到過去了,就算刪除AD活動目錄了也會留下域的烙印,建議想回工作組模式的重新安裝服務器操作系統。
四十四、
很早以前我碰到過類似的問題。
1.若你的域控是盜版的OS,則正版客戶端無法正常加入域。
2.在確認網絡設置都正確的情況下,以及net use確認沒有與域控有任何連接後,重新啓動計算機或註銷,一般都可以加入域。
QUOTE:
專家回覆:
盜版問題在微軟產品這裏限制的非常嚴格,如果一個企業要推行域環境,請使用正版。
在產品特性和功能上可能沒有什麼區別,但在使用效率和技術支持上卻勢單力孤了。
加入域的問題請參考:[url]http://angerfire.blog.51cto.com/198455/62738[/url]
四十五、
一般的系統管理員..需要掌握域的那些知識??感覺域的問題千奇百怪的..很難完全掌握和排錯..感覺很鬱悶!!無從下手!!還有就是公司原來是工作組模式的..如果轉爲域..普通的用戶會不會很難適應的??因爲公司有些人年紀比較的大..怕不適應到時就麻煩了!!
QUOTE:
專家回覆:
推行域確實是比較花費功夫的,在網絡環境和系統環境設置上需要嚴謹,在人性化培訓上需要耐心。在整體的工作協調性上需要周全,而域環境正是解決這一問題,爲企業帶來信息化IT辦公環境的福音,如果樓上的朋友還在爲域環境的實現而擔憂,請大膽放心的選擇吧,因爲不選擇纔會後悔。域爲企業帶來的不只是工作效率的提高,更多的是思維意識的提高。
詳細參考資料:[url]http://angerfire.blog.51cto.com/198455/72860[/url]
四十六、
域管理能限制用戶安裝軟件嗎?
用戶組策略能徹底的禁止軟件的運行嗎?(如QQ,迅雷等)
具體操作步驟如何
QUOTE:
專家回覆:
a 普通域用戶就沒有軟件安裝等更改系統設置的權限,只能使用計算機,
b 防火牆或者代理服務器封鎖端口都限制不了的軟件都可以使用組策略的方式限制,
1、將組策略對象(GPO)創建並鏈接到放有要限制對象的OU中
2、編輯GPO,選擇計算機配置--安全設置--軟件限制策略,右鍵創建軟件限制策略。
3、右鍵其他規則,可以選擇證書規則、散列規則、路徑規則、哈希規則等去做具體的限制。
詳細圖例,近期請關注我的博客:[url]http://angerfire.blog.51cto.com[/url]
四十七、
能否詳細介紹一下域策略的推廣!
QUOTE:
專家回覆:
在一個已經用慣了傳統的工作組模式分散工作慣了的企業去推行域,確實是一件比較痛苦的事,原因就是因爲你的策略做的太軟弱!而再與環境中制定強硬的管理策略正是推行域環境,統一協調工作的最佳手段!