域服務器的作用是:
1.安全集中管理,統一安全策略 。
2.軟件集中管理,按照公司要求限定所有機器只能運行必需的辦公軟件。
3.環境集中管理,利用AD可以統一客戶端桌面,IE,TCP/IP等設置
4.活動目錄是企業基礎架構的根本,爲公司整體統一管理做基礎。其它isa,exchange,防病毒服務器,補丁分發服務器,文件服務器等服務依賴於域服務器。
1、域控下更改客戶端桌面壁紙
前提:確保網絡是可通達,防火牆處於關閉狀態,圖片格式爲.jpg,共享目錄應爲域控C盤。
步驟:
(1)在域控C盤建立共享文件夾desk,爲可讀模式,將共享圖片desk.jpg存放在共享目錄下。
(2)開始菜單→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“壁紙”→右擊編輯→用戶下配置→策略→管理模板→桌面→Active Desktop→啓用Active Desktop、啓用不允許更改、啓用桌面牆紙(牆紙名稱爲\192.168.200.20\desk\desk.jpg)→強制刷新組策略(gpupdate /force)→重新啓動客戶端生效。
2、發佈通告信息
前提:在AD用戶與計算機中將Computer中的計算機移動到與其相對應的組織單位中。
步驟:開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“通告”→右擊編輯→計算機配置下→策略→windows設置→安全設置→本地策略→安全選項→交互式登陸:試圖登陸的用戶的消息標題、消息文本→輸入要求內容→強制刷新組策略(gpupdate /force)→重新啓動客戶端生效。
3、禁用命令行
步驟:開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“禁用命令行”→右擊編輯→用戶配置下→策略→管理模板→“開始”菜單和任務欄→從開始菜單中刪除“運行”菜單→強制刷新組策略(gpupdate /force)→重新啓動客戶端生效。
注意事項:此操作不收computer下計算機是否在用戶組織單位下影響。
4、發佈辦公室軟件
步驟:
(1)下載office2003(尋找PRO11.MSI)→cmd→msiexec -a+(拖拽第一步的路徑)→Enter→彈出管理員安裝→填寫產品祕鑰→放在C盤下共享文件夾下。
(2)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“禁用命令行”→右擊編輯→用戶配置下→策略→軟件設置→軟件安裝→右擊新建→數據包→網絡(此路徑必須爲網絡)→源PC→找到共享文件夾下的.MSI軟件→打開→已分配(分配爲強制安裝,發佈時客戶端具有自主性)。
5、更改客戶端用戶密碼策略
步驟:開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“禁用命令行”→右擊編輯→計算機配置→策略→windows設置→安全設置→賬戶策略→密碼策略、密碼長度最小值等,可依據需要定製→在AD用戶與計算機→找到相應計算機重置密碼。
6、文檔共享(漫遊用戶)
步驟:
(1)在域控C盤下新建共享文件夾“文檔共享”→右擊共享→給everyone讀寫權限→開始→管理工具→AD用戶與計算機→選中需要漫遊用戶→右擊屬性→配置文件→配置文件路徑:\192.168.1.10\文檔共享%username%→應用確定→刷新組策略。
(2)進入C盤下→右擊“文檔共享”文件夾→屬性→安全→高級→所有者→編輯→選中Administrator和(替換子容器和對象的所有者)→應用確定,重啓客戶端。
(3)進入“共享文檔”→右擊用戶文件夾→屬性→安全→編輯→添加→高級→立即查找→選中對應的客戶端→確定一鍵到底→刷新組策略(guupdate /force),重啓客戶端,此時,域內添加到漫遊中的可以脫離物理機,文件隨賬號漫遊。
7、文件夾重定向
步驟:
(1)在域控C盤下新建共享文件夾“文件”→右擊共享→給everyone讀寫權限→開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“文件夾重定向”→右擊編輯→用戶配置下→策略→windows設置→文件夾重定向→文檔→右擊屬性→目標下設置行:基本–將每個人的文件夾重定向到同一個位置(注意在右面設置選項下含增加兼容性操作)→目標文件夾位置行:在根目錄路徑下位每一用戶創建一個文件夾→根路徑行:瀏覽(注意此處應爲網絡路徑)應用、確定→刷新組策略。
(2)進入C盤下→右擊“文件”→屬性→安全→高級→所有者→編輯→選中administrator和替換子容器和對象的所有者→確定。再次進入“文件”→訪問用戶文件夾→右擊My Documents→右擊屬性→安全→編輯→添加→高級→立即查找→添加相應的用戶→給完整權限→確定到底。
8、遠程調用(2003)
前提:防火牆是個問題,注意關閉。
步驟:
(1)域控端→右擊計算機→勾選“啓用遠程協助病允許從這臺計算機發送邀請”→勾選“啓用這臺計算機上的遠程桌面病選擇遠程用戶”→添加→高級→立即查找→對應的客戶端用戶→確定關係。
(2)客戶端→cmd→mstsc→輸入目的計算機Ip地址→勾選“資源可互相複製”。
9、壓縮數據庫
步驟:cmd→services.msc–右擊停止Active Directory Domain Services→cmd→cd /→mkdir temp→ntdsutil(進入域控模式)→?(顯示幫助參數)→Activate Instance ntds(激活域控)→file(對文件進行操作)→?(顯示幫助參數)→compact to c (壓縮到指定目錄)→copy c:”\temp\ntds.dit” ”c:\Windows\NTDS\ntds.dit”→Enter→yes(到此時壓縮數據庫結束)
10、遷移數據庫
步驟:在C盤下建立兩個文件夾targetntds(存放數據庫)、targetlog(存放日誌)→cmd→
ntdsutil→Activate InStance ntds→file→info(列出磁盤信息)→?(顯示幫助參數)→Move DB to c:\targetndtds 和 Move logs to c:\targetlog→info(查看日誌、數據存放位置)→啓動服務Active Directory Domain Services→打開AD用戶與計算機驗證是否操作成功。
11、windows 2008 封裝
:
查看系統sid :win+R→cmd→whoami /user →回車。
2008封裝:cmd→sysprep→雙擊sysprep開始封裝,whoami /user(查看SID是否更改);windows 2003 封裝:將第一張安裝光盤插入光驅,打開光驅→support→Tools→DEPLOY.CAB→ 提取setupca.exe、setupmgr.exe、sysprep.exe →雙擊sysprep.exe→下一步→重新封裝。升級域控:cmd→dcpromo→ok(注意在進行操作前確定域控制器的ip地址)
12、禁止所有用戶加入域,只允許主管可以將計算機加入域
步驟:
(1)開始→管理工具→ADSI編輯器→右擊ADSI編輯器→連接到→勾選“選擇或鍵入域服務器(s)”:lv.com(域控的域名)→確定→點擊“默認命名上下文”→右擊“DC=lv,DC=com”→屬性→將“ms-DS-MachineAccountQuota”→”10”修改成”0”.
(2)AD用戶與計算機→右擊“市場部”(組織單位)→委派控制(E)→下一步→添加→高級→立即查找→王經理(主管)→確定→下一步→勾選要委派的任務→創建、刪除和管理用戶賬戶、重置用戶密碼並強制在下次登錄時更改密碼、讀取所有用戶信息→下一步→完成→強制刷新組策略→重新啓動客戶端。
13、禁用客戶端ip功能
注意:策略實施應該是在域策略下,而非部門下 步驟:開始→管理工具→組策略編輯→Default Domain Policy 右擊→編輯→計算機配置→策略→windows設置→安全設置→系統服務→Network Connections→改成自動→編輯安全設置→刪除所有組或用戶名→添加→Domain Admins、Everyone→前者給完整權限,後者給讀取權限→應用,確定→刷新全區策略,重啓客戶端。
14、權限的委派與回收
步驟:
(1)AD用戶與計算機→右擊“部門”→委派控制→添加→高級→立即查找→下一步→勾選權限→下一步→完成,刷新組策略。
(2)AD用戶與計算機→查看(對話框的菜單欄)→高級功能→右擊“部門”→屬性→安全→選中需要收回權限的部門或用戶→高級→刪除相應權限(注意此時顯示的權限和添加時的字樣不同,可以拉長對話框)→應用→確定,刷新組策略。
15、設置客戶端IE主頁及其相應權限設置
步驟:
(1)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“修改主頁”→右擊編輯→用戶配置下→策略→windows設置→Internet Explor 維護→URL→重要URL→自定義主頁:http//www.google.com.hk(公司主頁)→應用,確定,刷新組策略。
(2)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“修改主頁”→右擊編輯→計算機配置下→管理模板→windows組件→Internet Explorer→Internet 控制面板→Internet 區域→安全頁→Internet 區域→允許下載等設置。
16、限制軟件使用
步驟:
(1)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“修改主頁”→右擊編輯→用戶配置下→策略→管理模板→系統(在最右側尋找策略)→不要運行指定的windows應用程序→啓用→顯示→添加應用程序的啓動項名稱(192.168.200.20/pub/sample/cal.exe)→應用,確定,刷新策略,重啓客戶端。
(2)開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“修改主頁”→右擊編輯→計算機配置下→策略→windows設置→安全設置→軟件限制策略→右擊創建→安全級別→設置“不受限”爲默認→進入“其他規則”→右擊新建哈希規則、路徑規則→確認到相同路徑下的軟件即可。
17、禁用註冊表編輯器、命令提示符
步驟:開始→管理工具→組策略管理→找到對應的組織單位→創建相應OU→命名爲“修改主頁”→右擊編輯→用戶配置下→策略→管理模板→系統(在最右側尋找策略)→系統阻止訪問註冊表編輯工具、命令提示符→啓用→刷新組策略,重新啓動客戶端。
18、關閉事件跟蹤器
步驟:cmd→gpedit.msc→計算機配置→管理模板→系統→顯示“關閉事件跟蹤器”→禁用
19、審覈策略(審覈登錄事件)
步驟:
(1)策略→計算機配置→windows設置→安全設置→本地策略→審覈策略→啓動
(2)查看審覈策略:服務器管理器→診斷→事件查看器→windows日誌→安全→即可查看