AD域控制服务器教程2003Server
AD 域控制服务器教程
把一台成员服务器提升为域控制器( 把一台成员服务器提升为域控制器(一)
目前很多公司的网络中的 PC 数量均超过 10 台:按照微软的说法,一般 网络中的 PC 数目低于 10 台,则建议建议采对等网的工作模式,而如果超过 10 台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对 等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控: 服务器采用 Windows2003Server 为例,客户端以 XP 为例(专业版,home 版的 不支持)。 域控制器名字:server IP:192。168。88。119 子网掩码:255。255。255。0 网关:192。168。88。159(当然,这些可以根据具体需要设置) DNS:192。168。88。119(因为我要把这台机器配置成 DNS 服务器,升级成 DC 以后首选 DNS 变成 127。0。0。1 不用怕这是正常的 由于 Windows Server 2003 在默认的安装过程中 DNS 是不被安装的,所 以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程 序”,然后再点击“添加/删除 Windows 组件”,则可以看到如下画面:
向下拖动右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加, 可以点击下面的“详细信息”进行自定 义安装,由于在这里只需要 DNS,所以把其它的全都去掉了,以后需要的时候再 安装:
然后就是点“确定”,一直点“下一步”就可以完成整个 DNS 的安装。在整个安 装过程中请保证 Windows Server 2003 安装光盘位于光驱中,否则会出现找不到 文件的提示,那就需要手动定位了。
安装完 DNS 以后,就可以进行提升操作了,先点击“开始—运行”,输入 “Dcpromo”,然后回车就可以看到“Active Directory 安装向导”直接下一步 就可以了`
这里是一个兼容性的要求,Windows 95 及 NT 4 SP3 以前的版本无法登陆运行到 Windows Server 2003 的域控制器,我建议大家尽量采用 Windows 2000 及以上 的操作系统来做为客户端。然后点击“下一步”:
在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后 点“下一步”:
既然是第一台域控,那么当然也是选择“在新林中的域”:
在这里我们要指定一个域名,我在这里指定的是 https://www.360docs.net/doc/e017872196.html,,
这里是指定 NetBIOS 名,注意千万别和下面的客户端冲突,也就是说整个网络里 不能再有一台 PC 的计算机名叫“demo”,虽然这里可以修改,但个人建议还是 采用默认的好,省得以后麻烦。
在这里要指定 AD 数据库和日志的存放位置,如果不是 C 盘的空间有问题的话, 建议采用默认。
这里是指定 SYSVOL 文件夹的位置,还是那句话,没有特殊情况
,不建议修改:
第一次部署时总会出现上面那个 DNS 注册诊断出错的画面, 主要是因为虽然安装 了 DNS,但由于并没有配置它,网络上还没有可用的 DNS 服务器,所以才会出现 响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置 DNS,并将 这台 DNS 服务器设为这台计算机的首选 DNS 服务器”。
“这是一个权限的选择项,在这里,我选择第二项:“只与 Windows 2000 或 Window 2003 操作系统兼容的权限”,因为在我做实验的整个环境里,并没有 Windows 2000 以前的操作系统存在”(可根据需要)
这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别 忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。
这是确认画面, 请仔细检查刚刚输入的信息是否有误, 尤其是域名书写是否正确, 因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误 的话,那么点“下一步”就正式开安装了:
几分钟后,安装完成,有时可能要久一点`特别是 DNS 服务时可能会慢点`给点耐 心``
点完成 点“立即重新启动”。
然后来看一下安装了 AD 后和没有安装的时候有些什么区别,首先第一感觉就是 关机和开机的速度明显变慢了,再看一下登陆界面:哈哈`是不是不一样了`?
多出了一个“登陆到”的选择框,进入系统后,右键点击“我的电脑”选“属 性”,点“计算机”
哈哈`是不是好简单啊``这样就把普通一台 2003Server 升级成 DC(主域控制器 啦) 不过后面的配置还多着呢`
建议升级之前把补丁打好` 的补丁`` 建议升级之前把补丁打好`最好打 SP2 的补丁``如果你的
2003 是盗版的话有可能会打不进补丁` 不怕`现在的“高人”多的是`只要导入这个注册表文件就可以导入啦` aa.rar 是一个打包 WinRAR 文件`` 前面讲了把 2003Server 提升成 DC(主域控制器)接下来转到客户端,看看怎么 把 XP 进来,在实验中采用的客户端操作系统是 Windows XP 专业版,需要大家注 意的是 Windows XP 的 Home 版由于针对的是家庭用户,所以不能加入域,大家 别弄错了哟,我们先来设置一下这台 XP 的网络: 计算机名:TestXP IP:192.168.88.100 网关:192。168。88。159
子网掩码:255.255.225.0 DNS 服务器:192.168.5.119(这里要特别注意要把客户
端的首选 DNS 指向 DC 的 IP 地址, 否则加入 DC 时会慢 到你晕` 又或者说勉强加进去了`但是登陆也是
慢到晕`而且问题会多多)
设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。
在这里把“隶属于”改成域,并输入:“https://www.360docs.net/doc/e017872196.html,”,并点确定,这是会出现如 下画面:
输入在域控上建的那个“swg”的帐号,点确定:
出现上述画面就表示成功加入了,然后点确定,点重启就算 OK 了。来看一下登 陆画面有没有什么不一样:
看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域 “DEMO”,这样就可以用域用户进行登陆了。进入系统后,在“我的电脑”上击 右键,选“属性”,点“计算机名”:
看到用黑框标出来的地方和没有加入到域的时候的区别的吧
活动目录之用户配置文件 活动目录之用户配置文件
什么是用户配置文件根据微软的官方解释:用户配置文件就是在用户登陆 时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设 置。 用户配置文件存在于系统的什么位置呢那么用户配置文件包括哪些内容呢 大家看一副截图: 用户配置文件的保存位置在:系统盘(一般是 C 盘)下的“Documents and Settings”文件 夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里, 顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会 出现在同名文件夹后面拖后缀的情况,举个例子:比如在一个域(https://www.360docs.net/doc/e017872196.html,)里面有 一台计算机(testxp),本地有一个 swg 的帐号,域上也有一个 swg 的帐号,并且 都登陆过这台计算机,那么会发生如下情况: 本地帐号先登陆:那么本地的 swg 的用户配置文件夹为 swg,而域用户的用 户配置文件夹为 swg.demo。 域帐号先登陆:那么域用户的用户配置文件夹为 swg,本地用户的配置文件 夹为 swg.testxp。 通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收 藏夹、 设置等一些个性化的配置。 IE 另外需要说明的是在“Documents and Settings” 文件夹下有一个名为“All Users”的文件夹,如果你在这个文件夹下的“桌面”文件 夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所 以这个文件夹里的配置是对这台计算机的每个用户均起作用的。
当网络变成域构架后, 所有的域用户可以在任意一台域内的计算机登陆, 当你在一台计算机 上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并 没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都 是保存在那台登陆的计算机上。 我们可以在“我的电脑”上击“右键”, 选“属性”, 点“高 级”,然后在“用户配置文件”里点“设置”:
请注意“类型”里用红框标出的部分, 全部是“本地”, 这就说明用户配置文件保存在本地, 那么如何才能让用户的配置文件
随着帐号走, 也就是不管用户在哪台计算机上登陆都能保持 用户配置文件一致呢为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配 置文件保存在一个网络的公共位置, 当用户在计算机上登陆里, 会从网络公共位置把用户配 置文件下载到本地并加以应用, 然后当用户注销时, 会把本地的用户配置文件同步到网络公 共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。那么如何来实现这个功 能呢现在就来实践一下:
首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实 验里,就在域控制器上开设一个为 share 的共享文件夹,并开放权限
然后,点击“开始-设置-控制面板-管理工具”,双击“AD 用户和计算机”,并选中相应的 用户,这里以“swg”帐号为例:
在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输 入:\\192.168.5.1\share\%username%,“192.168.5.1”是域控制器的 IP 地址,如下图所 示:
然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。
如上图所示,DEMO\swg 的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那 么就会自动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外
的域内计算机上去登陆的话, 会发现所有的用户配置文件和这台计算机上是一样的。 那么服 务器上发生了些什么变化呢
如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹, 默认情况下这个文件夹只允许对应的用户打开:
画面很熟悉吧 目前很多公司的 IT Pro 都有共同的感叹, 就是用户喜欢把自己的桌面什么的搞得 乱七八糟,虽然通过组策略可以限制掉一部份,但总觉得不是很完善,在这里, 向大家推荐使用强制用户配置文件,用户可以对自己个人配置文件任意修改,但 是一旦注销后,这些修改将不会被保存,这样用户下次登陆里,用户的配置文件 还是保持和原来一样,那么如何实现这个功能呢其实只要将用户配置文件夹下 的“Ntuser.dat”改成“Ntuser.man”就可以了,来看一下修改过程: 首先,在显示隐藏文件和已知文件的扩展名,可以在“工具-文件夹选项-查 看”里进行修改:
点“确定”后,就可以在看到那个“Ntuser.dat”文件了,但此时会有一个问题,如果去修 改 C:\Documents and Settings\swg 下的“Ntuser.dat”,会发现根本没有办法修改这个文 件,因为文件在使用中,无法修改;如果去修改网络公共位置的“Ntuser.dat”,也就是 \\192.168.5.1\share\swg 下的
“Ntuser.dat”,修改当然可以修改,但是由于在“swg” 用户注销的时候, 本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉, 也就 是等于没有修改。 很多人都想直接在服务器上更改 “swg”文件夹的所有者, 然后给管理员 帐号添加权限,这样就可以直接在服务器上把“Ntuser.dat”改掉,但本人实践过几次,都 发现这样的操作会引起一些权限无法继承,而导致出错的情况,所以不建议大家使用,这里 推荐一种方法:
先把“swg”帐号注销掉,然后用另外一个帐号登陆,比如管理员,当然,如果在登陆 成功后直接去访问\\192.168..5.1\share\swg 以试图修改的话,那么你将会感到失望,因 为还是拒绝访问的,那么如何访问并修改呢,可以这样操作,“开始-运行-cmd”然后回车, 这样就启动了命令行,在命令行下输入:net use \\192.168.5.1 password /user:swg,显 示“命令成功完成”,这样就利用“swg”和服务器建立一个连接,此时就可以 \\192.168.5.1\share\swg,里进行修改了, 然后再注销管理员帐号,用“swg”登陆,看看 有没有成功:
看到了吧,类型由“漫游”变成了“强制”,现在可以在桌面这些地方进行任意的修改,你 会发现注销再登陆,又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。
最后再请大家注意两个问题:
1、 在配置强制用户配置文件时,当用其它用户登陆修改时,请保证被修改的用户处于 注销状态,为什么大家不妨自己想一想!
2、 当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因 为用户在登陆和注销过程中会下载和上传配置文件, 如果文件过大, 会影响登陆和注销的速 度。
win2003:简化 Windows 2003 域控制器密码 简化
笔者最近将公司的 Windows 2003 服务器升级到域控制器后,遇到了一个问题,公司领导不 喜欢在每次进行登录时,输入复杂的密码(既有大写字母,还有小写字母,同时还要输入数 字) 。笔者在为他们创建账户并设置简单密码时,提示无法设置密码。
笔者本以为只要点击“开始→运行” ,在“运行”对话框中键入“gpedit.msc”进入“组 策略编辑器”就能进行修改,没想到在“组策略编辑器”中根本不能修改。
在经过多次尝试后,笔者找到了解决此问题的方法,依次点击“开始→设置→控制面板
→管理工具→域安全策略” ,进入“默认域安全设置”后,点击“Windows 设置→安全设置 →密码策略” ,双击右侧窗口中的“密码必须符合复杂性要求”项,会弹出一个窗口,选中 “已禁用”选项并点击“确定”后,重新启动电脑即可。同时密码长度也是
在此设置。
组策略
一、 什么是组策略? 组策略有什么用?组策略是将系统重要的配置功能汇集成各种配置模块, 供管 理员直接使用,从而达到方便管理计算机的 目的。简单说,组策略就是修改 注册表中的配置。 对各种对象中的设置进行管理和配置, 比手工修改注册表方 便、灵活,功能也更加强大。 二、Windows xp 组策略控制台 在“开始--运行”中,输入 gpedit.msc 并确定,即可运行程序。 1、打开 Microsoft 管理控制台(开始-运行,输入 MMC,运行控制台程序。 ) 2、在“文件”菜单上,单击“添加/删除管理单元”。 3、在“独立”选项卡中,单击“添加”。 4、在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。 5、在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象, 或单击“浏览”查找所需的组策略对象。 6、单击“完成”、“关闭”,然后点“确定”。组策略管理单元即打开要编辑的组 策略对象。
组策略应用实例
一、“桌面”设置:位置“组策略控制台--用户配置--管理模板”。 二、轻松实现 windows 高级功能 1、设置并锁定 windows media player 外观。 打开“组策略控制台--用户配置-管理模板--windows 组件--windows media player--用户界面中的设置并锁定外 观”启用此策略台。 2、禁止 windows media player 播放时运行屏保。打开“组策略控制台--用户配
置--管理模板--windows 组件--windows media player--播放中的允许运行屏幕保 护程序”并将期设置为“已禁用”状态。 3、优化配置 windows media player 网络缓冲。打开“组策略控制台--用户配置-管理模板--windows 组件--windows media player--网络中的配置网络缓冲”并设 置为启用状态。在出现的缓冲时间(秒数)配置选项中,根据网络的带宽情况 进行自定义(最多 60 秒) 。 (提示:如果此策略已启用,windows media player“性能”选项卡上的缓存选项 将不能再配。 ) 4、屏蔽使用所有 windows update 功能的访问。打开“组策略控制台--用户配置 --管理模板--windows 组 件--windows update”中的“删除使用所有 windows update 功能的访问”组策略并启用上策略。 5、在 windows xp/2003 中实现远程关机。 在 windows xp/2003 中,用“shutdown”实现定时远程关机。 该命令的语法格式 如下: shutdown [-i│-l│-s│-r│-a][-f][-m \\computerName]][-t xx][-c "comment"][-d [p]:xx:yy]
该命令的一些基本用法: 点“开始-运行”,在“打开”中输入以下命令: 1)注销本机用户。shutdown -1 只对本机用户。 2)-m \\computerName 远程关机/重启/放弃 3)关闭本地计算机。shutdown -s 4)重启本地计算机。shutdown -r 5) 定时关机
。shutdown -s -t 30 6)中止计算机的关闭。用 shutdown -a
三、用组策略提升系统性能。 1、让 windows 的上网速度提升 20%(windows xp/2003)。默认情况下,windows 网络连接数据包高度程序将系统限制在 80%带宽之内,可以用组策略设置来 代替默认值,中网速率提高 20%。
打开“组策略控制台--用户配置--管理模板--网络中的“Qos 数据包高度程序”并
启用此策略,然后使用“带宽限制”将它设置为 0%却可,然后按确定奶出,就 可以使用另外 20%的带宽了。 2、关闭缩略图的缓存(windows xp/2003)。 windows xp/2003 系统具有缩略图视图功能,为了加快那些被频繁浏览的缩略 图显示速度, 系统将这些被除数显示过的图片进行缓存, 以便下次打开时直接 读取缓存中的信息,从而达到快速显示目的。但如不不希望系统缓冲的话(如 只浏览一次的图片) ,则可利用组策略关闭缩略图缓存的功能,这样和一次浏 览速度反而会大大加快(因为不进行缓存处理) 。
打开“组策略控制台--用户配置--管理模板--windows 组件--windows 资源管理 器”中的“关闭缩略图的缓存”并启用此策略。 3、屏蔽系统自带的 CD 记录功能(windows xp/2003)。 windows xp/2003 系统自带 CD 记录功能,如果有 CD 记录机接在计算机上, windows 资源管理器允许你制作并修改诃重写式 CD,但会影响系统性能和资 源管理器的执行速度。 回此可利用组策略来屏蔽此功能 (大部分用户都使用专 用的 CD 记录软件) 。 打开“组策略控制台--用户配置--管理模板--网络”中的“删除 CD 记录功能”并启 用组策略。 4、关闭系统还原功能(windows xp/2003)。 系统还原是 windows xp/2003 中集成的强大功能,它在系统运行的同时,备份 那些被更改的文件和数据, 如果出现问题, 系统还原使用户能够在不丢失个人 数据文件的情况下,将其计算机还原到以前的状态。默认情况下,系统还原处 于打开状态。
但为这一功能付出的代价也是相当大的。 系统性能会明显下降, 磁盘空间也会 被占用很多。对于配置不高的计算机来说,强烈建议关闭此功能。
打开“组策略控制台--计算机配置--管理模板--系统--系统系统还原”中的“关闭 系统还原”并启用此策略。启用此设置后即可关闭系统还原功能,并且不能访 问“系统还原向导”和“配置界面”。 5、禁止 windows messenger 自动运行(windows xp/2003)。 在 windows 系统中集成的优秀应用软件越来越多,但这此系统内置的软件都 没有卸载选项, 比如 windows xp 自带的 windows messenger,不但卸载不方便且 还随系统一起自动运行。对于不上网的计算机用户或者根本就不用 windows messenger 的用记,当然要屏蔽
此软件的自动运行功能。
打 开 “ 组 策 略 控 制 台 -- 计 算 机 配 置 -- 管 理 模 板 --windows 组 件 --windows messenger”中的“不允许运行 windows messenger”并启用此策略。
提示:这个设置出现在“计算机配置”和“用户配置”文件夹中。如果两个设置都 配置,前者设置优先。
用组策略打造系统铜墙铁壁 1、隐藏“我的电脑”中指定的驱动器(windows xp/2003)。打开“组策略控制台-用户配置--管理模板--windows 组件--windows 资源管理器”中的“隐藏‘我的电 脑’访问驱动器”并启用此策略。 2、防止从“我的电脑”访问驱动器(windows xp/2003)。打开“组策略控制台--用 户配置--管理模板--windows 组件--windows 资源管理器”中的“防止从‘我的电 脑’访问驱动器”并启用此策略。 3、禁止使用命令提示符。 4、禁止更改显示属性。 5、禁用注册表编辑器。 6、彻底禁止访问“控制面板”。 7、禁止建立新的拨号连接。8、禁用“添加/删除程序”。 9、限制使用应用程序。
筹帷幄之中,决胜千里之外。这大概就是用兵的最高境界了吧! 作为一个生于和平年代的网络管理人员,这辈子带兵是没戏了。不过在域环境的帮助下,这个决胜千里的 最高境界努力一下倒是可以体会体会的。所借助的神兵利器就是——组策略。 实际上组策略的设置工具在我们常用的 XP 系统上一直存在,通过在运行栏中输入 gpedit.msc 就可以启动
本地计算机的组策略编辑器。截图如下:
马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器,所见即所得一直都 是微软的看家本领啊。 有了域环境之后,通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计 算机的管理与控制。在实际使用中,我感觉这种管理与控制几乎覆盖了使用中的方方面面,反正现在我只 要在域控制器上动动手指头,就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用 计算机。理论上这是完全可以实现的,有兴趣的可以在看完本文后自己实践一下(后果自负哈)。 闲话少说,书归正传。按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。现在在域 控制器上打开组策略编辑器,注意这里不能使用 gpedit.msc(那是编辑本机策略的),而要打开“开始—— 程序——管理工具——Active Directory 用户和计算机”。截图如下:
在打开的窗口中选择你的域名,并在其上右击选择属性,然后在弹出的属性对话框中选择组策略。现在你
就会看到默认域策略——Default Domain Policy,截图如下:
单击编辑按钮就可以打开
组策略编辑器。更改其中的选项就会对所有加入域中的用户和计算机产生影响。 这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。不过建议大家一般不要 改动默认域策略——Default Domain Policy,这样便于我们随时恢复到系统默认的设置。呵呵,留条出迷 宫的路,是所有操作前的必修课。 默认的不让动,那我们怎么编辑组策略呢?答案就是通过组织单位上次我们在建立用户和计算机时 就已经新建了两个组织单位——全部用户和全部计算机, 注意组织单位将是一个我们经常使用的划分方式, 组策略可以按层次模式很好的在其上运行,这样也便于对今后一定会日趋复杂的组策略进行有效的管理。 注意这里我提到了层次模式,组策略是可以按层次逐级继承的。这不但可以使策略设置简洁明了,出了问 题还便于排查错误。 为了演示这种层次模式,我新建一个名为“用户和计算机”的组织单位,并将原来的两个组织单位移入其中。
截图如下:
现在打开“用户和计算机”组织单位的属性对话框,并进入组策略编辑界面,新建一个作用于该组织单位的 组策略对象并命名为——通用策略(当然你也可以其别的名字)。截图如下:
下面让我们与组策略近距离亲密接触一下。别害怕只是接触一下,看看我们都可以对最终用户施放那些魔 法和大招。进入编辑模式,截图如下:
组策略分为两大部分:计算机配置和用户配置,这也是为什么我建立两个组织单位分别放置用户和计算机, 这样设置起来比较清楚。当然你要想难得糊涂,放一起我也不拦着。 配置给计算机还是用户有什么区别呢?首先计算机配置应用于计算机(看起来象废话哈),因此对所有使 用计算机的用户都起作用;其次计算机配置所使用的权限是系统级的(这里的权限是指的配置被应用到计 算机上时用到的权限),就是说 Administrator 账户能做的它都能做(这句不理解没关系,记住它接着往下 看)。而用户配置是针对我们在域控制器上建立的用户,就是说不管用户使用哪台计算机它都产生作用。 已经被绕蒙了的同志听我通俗的说一下:计算机配置跟着机器走,谁用都这样;用户配置跟着人走,用谁 都这样。再不懂那啥……别难为自己换个活干干吧!呵呵! 以后再看到这两部分中有重复的就明白是怎么回事了吧!当然还要注意设置的时候,尽量不要引起使用中 的冲突。虽然重复的配置项大多都在描述中说明了冲突的配置项哪一部分会最终起作用,但是让傻实在的 计算机玩自相矛盾,恐怕会在使用中出怪毛病。 一、计算机配置 1、软件设置 这里
面就一个项目——软件安装,而且没有描述,因为要完全搞定这个问题足可以写篇文章了,还 不一定能给你整明白了。这里我只说明重要的几点内容如下: 设置软件安装的属性对话框。使用本机或网络共享的 UNC 路径设置软件安装包的位置,以免每次
添加软件包都要查找。安装用户界面选项设为基本就可以实现透明安装,用户不会见到任何提示或设置窗 口。截图如下:
右击软件安装,选择新建——程序包即可。当然你要先把软件安装包放到上面设置的路径下才行。包的格 式必须是 MSI 的,这是最困难和复杂的部分,这种包大多需要自己做,我发过制作五笔安装包的帖子,自 己找找看吧。如果使用 EXE 的文件需要写一个以“.zap”结尾的特殊格式的文本文件(网上有,自己搜), 而且 EXE 安装包还要支持静默模式,否则会弹出设置对话框,那你就等着接用户的电话吧。 XP 的计算机需要启动两次才能够安装软件包,因为默认有登录优化设置。 这里安装的软件包只在客户机上运行一次,而且可以供任何一个使用此计算机的用户使用。后面用户配置 里还有一个软件安装,那里安装的就不一样了。 注意,实践证明:如果在网络路径上存放安装包,要放到速度较快的服务器上,不然会出现找得到装不上 的怪毛病。 2、Windows 设置(项目太多只说常用的) 项目:脚本(启动/关机) 此项目中可以放置 Windows 系统能够运行的一切文件。 我一般使用批处理或 vbs 脚本, 不要太复杂否则会 拖慢系统启动速度。合理有效的使用这一功能,发挥你的想象,只有想不到没有做不到哦。举个简单的例 子——自动添加网络打印机。使用记事本输入代码如下并保存为 vbs 脚本
On Error Resume Next Set WshNetwork = WScript.CreateObject("https://www.360docs.net/doc/e017872196.html,work") 'Add the network printer 1 & 2 WshNetwork.AddwindowsPrinterConnection "\\printerserver\printer1" WshNetwork.AddwindowsPrinterConnection "\\printerserver\printer2"
'Default printer1 WshNetwork.SetDefaultPrinter "\\printerserver\printer1"
注意:\\printerserver\printer1、\\printerserver\printer2 这种东东要换成你的打印机共享路径。
放置方法如图所示:
这样,用户不需要做任何设置就可以直接打印了。 启动里的脚本是在开机时执行,关机里的脚本是在关机时执行,其他设置方法都一样。
项目:安全设置 账户策略设置对密码长度及格式的要求以及输错密码后账户的锁定状态。每个选项打开后都有解释,建议 认真阅读后再进行设置。对于不同安全级别的用户和计算机要区别对待。一刀切的结果要么是服务器很快 被攻破,要么是电脑超菜的 BOOS 怒气冲冲的质问你为什么打不开自己的计
算机。这就是为什么要逐级建 立组织单位,按层级模式设置组策略。一般原则是保障关键设备账户的安全(比如服务器和域管理员), 保证对普通用户的简单友好(空密码都是允许的)。 本地策略的本地指的是组织单位里的计算机账户所代表的机器。在这里甚至可以监控用户对文件的建立、 删除等操作,审核对象访问就可以了,不过对于操作频繁的位置开启审核会产生大量的日志文件。如果你 一年半载的也不看回日志的话,只开如图的几个就可以了。截图如下:
用户权限分配中,我常用的是网络访问和本地登录(指坐在机器面前使用),注意拒绝优先于允许,同时 设置允许不起作用。还有一个要说明的是域中添加工作站,默认每个域用户可以添加 10 个计算机账户,即 把 10 台计算机加入域。安全要求不高的地方可以让用户自己做(偷个懒呵呵),控制欲较高的就设置自己 一个(如果自己不是域管理员,要记着加上域管理员账户)。 安全选项如图所示:
系统服务设置客户机上各种服务的状态。比如 Terminal Services 设为自动就会开启客户机的终端服务,然
后就可以通过远程桌面使用管理员账户进行操作控制。截图如下:
XP 的防火墙我直接禁用了,设置截图如下:
3、管理模板(选项太多了,只说我用到的) Windows 组件——终端服务——允许用户使用终端服务远程连接,启用这一选项与上文中的终端服务配合 就可以自动启用远程桌面访问功能了。截图如下: 3、管理模板 Windows 组件——Windows 资源管理器项目比较常用。这个项目中的大多数选项都会直接影响用 户的使用操作。比如隐藏指定的驱动器、启用经典外观等。 Windows Components——Internet Explorer 项目中的丰富选项可以实现对 IE 的颗粒级控制。通过 合理的设置可以将 IE 打造为真正的铜头铁臂,甚至不借助其他辅助工具也可以实现安全无忧的上网冲浪。 最后在特别介绍一下系统——用户配置文件——不包括漫游配置文件中的目录这个选项。这一项可
以手动指定需要排除在漫游配置之外文件夹,以便在同步时减轻网络及服务器的压力。截图如下:
其他的各种选项功能上各具特色,因为我的工作中不常用,就不一一说明了。 因为组策略的强大与复杂, 微软为其组策略专门设计了管理单元, 2003 的系统需要单独安装这个组 件(网上搜索吧)。这个管理单元不但将域环境中使用的所有组策略按层级集中在一个统一的使用界面下, 而且提供了组策略建模和生成结果的功能,可以让你清楚的看到组策略在客户机上的应用情况。如图所示:
神兵利器在手,接下来就请大
家尽情施展绝世武功吧!
Windows 组件——Windows Update——配置自动更新,如图设置可以强制安装补丁包。截图如下:
如果你在内网中建立了 WSUS 服务,可以在这里指定 Intranet Microsoft 更新服务位置。截图如下:
Internet Explorer 中的选项——禁用显示初始屏幕的功能很有趣,当 XP 系统的 IE 版本有 IE6 自动更新为 IE7 时,首次使用的如果是 USER 权限的用户,IE 窗口就会一闪而过无法打开。然而如果首次使用的是更 高级别用户,就会看到初始屏幕并能够进行设置进而使用。我据此判断是 IE 初始屏幕的问题,当把禁用显 示初始屏幕的选项启用后问题果然解决了。设置如图:
管理模板——系统——指定 Windows 安装文件位置,启用后输入网络共享的 UNC 路径,以后系统添加个 设备、服务什么的就不用满世界的找系统盘了,即便没光驱的机器也照样搞定。截图如下:
在上文中我们直接禁用了 Windows 防火墙服务, 如果觉得不太安全可以通过管理模板——网络——网络连
接——Windows 防火墙中的具体配置选项进行细粒度的调整,而不必完全关闭防火墙。截图如下:
二、用户配置 1、软件设置 这个项目极少使用,不要忘了这里的所有东东是跟着用户走的。除非是用户以前用过的电脑,否则 他换台机器软件就会安装一次。用户崩溃了,离你崩溃也就不远了。再有一点就是这里的权限和用户的级 别一致,Users 也确实装不了太复杂的东东。 2、Windows 设置 远程安装服务需要非常复杂的配套服务支持。配套服务需要自己另行建立,其难度足以单独写本书 了。在实际使用中感觉不如同样是支持网络启动的赛门铁克网络 Ghost 服务好用。建议大家试试网络 Ghost,它比较简单(至少是比微软的简单)。 脚本(登录/注销)项目的使用与计算机配置中的大同小异。牢记一点即可,这里的执行权限是跟用 户一样的,不要让脚本执行超出权限的命令就可以了。 Windows 设置——安全设置——软件限制策略是控制狂的最爱。 计算机配置里的那个是通过限制机 器进而限制所有使用该机器的人,换台机器就没问题了。这里的是直接限制人(实际是对应的账户),用 所有机器都一样除非换个人(就是换个登录账户)。控制太过,没实践经验,有兴趣的自己试。 文件夹重定向功能强悍,建议网络环境稳定的使用。我的用法是将用户的桌面和我的文档重定向的 服务器存储,在服务器上设置定期备份并开启卷影副本的功能。卷影副本可以将用户的数据形成快照以便 随时恢复,服务器的功能够强悍的话,卷影副本可以设置为每一小时备份一次(最高了)。每小时啊!以
后还怕什么误操作、误删除啊!文件夹重定向在项目上用右键菜单设置。桌面重定向设置的截图如下:
我的文档的设置与此类似不再赘述。文件夹重定向后可以为客户数据提供有效的保护,客户机系统 崩溃也不会对用户存储在这些位置的个人数据造成破坏。因为电脑上的软件环境不会完全相同所以其他两 项建议不设置重定向。 Internet Explorer 维护中的浏览器用户界面项一般不用改动。浏览的页面良莠不齐,标题和徽标都 带有单位的标志有时会让人啼笑皆非。 URL 选项是我经常用到的,使用方法截图如下:
3、管理模板 Windows 组件——Windows 资源管理器项目比较常用。这个项目中的大多数选项都会直接影响用 户的使用操作。比如隐藏指定的驱动器、启用经典外观等。
Windows Components——Internet Explorer 项目中的丰富选项可以实现对 IE 的颗粒级控制。通过 合理的设置可以将 IE 打造为真正的铜头铁臂,甚至不借助其他辅助工具也可以实现安全无忧的上网冲浪。 最后在特别介绍一下系统——用户配置文件——不包括漫游配置文件中的目录这个选项。这一项可 以手动指定需要排除在漫游配置之外文件夹,以便在同步时减轻网络及服务器的压力。截图如下:
其他的各种选项功能上各具特色,因为我的工作中不常用,就不一一说明了。 因为组策略的强大与复杂, 微软为其组策略专门设计了管理单元, 2003 的系统需要单独安装这个组 件(网上搜索吧)。这个管理单元不但将域环境中使用的所有组策略按层级集中在一个统一的使用界面下, 而且提供了组策略建模和生成结果的功能,可以让你清楚的看到组策略在客户机上的应用情况。