【第
80
期实录】深入理解域之
AD
活动目录企业应用及案例分享
<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
QUOTE:
深入理解域之
AD
活动目录企业应用及案例分享
无论集中还是分散,目录服务触及企业的每个角落,而且常常超越企业延伸到商业伙伴和客户。
AD
是一个企业目录系统,可以自动进行用户数据,安全和分布的资源的控制和协调。
AD
活动目录企业应用的成功、常见的缺陷、时间选择、组织结构以及技术问题,将在这里深入探讨。欢迎大家前来参与。
参考资料:
<?xml:namespace prefix = v ns = "urn:schemas-microsoft-com:vml" />
附件
:
AD企业应用及案例.rar
(2008-8-7 17:15, 730.72 K)
该附件被下载次数
592
QUOTE:
活动时间:
此次活动时间是
08
月
14
日下午
14
:
00
点
-17
:
00
点,请大家在提问的时候保持跟这期活动的主题密切相关,方便问题有针对性的及时处理,严禁灌水,谢谢!
QUOTE:
专家介绍:宋杨
北大青鸟(西安兆隆)
benet
网络技术高级讲师
熟悉
Windows / Linux
服务搭建,广域网技术,
Voip
,
Cisco /
华为
网络技术。
行业经验:多年大型企业网站建设及系统集成经验。擅长
ERP
、
CRM
系统部署,曾长期致力于汽车服务行业的信息化解决方案。有着丰富的微软及
Sap
公司系统产品实施及部署经验。
项目经验:成功整合过
Windows
、
IBM
、
SAP
、腾讯
E
、用友、绍兴卓越软件,北京易车等知名国内外信息化系统。湖南长丰猎豹售后服务有限公司
ERP/CRM/OA
系统整合项目,一汽大众大
SAP
系列行业项目,华晨金杯售后服务信息化项目,郑州日产
ERP/CRM
项目、上汽奇瑞
ERP
项目。现任北大青鸟(西安兆隆)
benet
网络技术高级讲师。
点击进入宋杨的博客>>>
一、
开始提问:
1
、域里用组策略进行软件发布,针对计算机指派和针对用户指派的区别?
2
、组策略分发只支持发布
.msi
格式软件,能否推荐几款比较实用的
.msi
格式转换工具??
3
、我目前用的是
Advanced install
,但是有些软件(如
windows
系统补丁等)转换过来后分发的时候经常没有效果(应该非操作问题,其他软件如
office
和
winrar
等都起效果),能否给些相关说明??
4
、在企业里设置
AD
后,如何更好控制用户权限??也请给些相关说明
QUOTE:
专家回复:
1
、域里用组策略进行软件发布,针对计算机指派和针对用户指派的区别?
答:
针对计算机指派和针对用户指派在客户端进行软件安装时会有所区别:
针对计算机指派时:当成员机重启后,用户登陆前进行软件的安装(把安
装信息写入成员机的注册表)。
针对用户指派时:当成员机重启后,用户登陆后进行软件的安装(把安装
信息写入成员机的注册表)。
注:实现以上操作时,组策略所链接的
OU
中必须包含,要指派的
“
计算机
”
对象和
“
用户
”
对象。
2
、组策略分发只支持发布
.msi
格式软件,能否推荐几款比较实用的
.msi
格式转换
工具??
答:
1
、
VERITAS discover
(早期
win2000
时代微软提供的转换工具,实现过程
复杂。)
2
、
Advanced install
3
、
AdminStudio
中的
Repackager
*
其实我们还有更方便的方法:
ZAP
软件安装配置文件
".zap"
文件格式如下:
[Application]
;
软件的有好名字
FriendlyName = "Microsoft Excel 97"
;
安装路径(这里写和具体
.zap
配置文件和
.exe
安装文件的相对路径)
SetupCommand = "setup.exe"
;
版本
DisplayVersion = 8.0
;
发布人
Publisher = Microsoft
3
、我目前用的是
Advanced install
,但是有些软件(如
windows
系统补丁等)转
换过来后分发的时候经常没有效果(应该非操作问题,其他软件如
office
和
winrar
等都起效果),能否给些相关说明??
答:
组策略的软件分发一般是发布基于操作系统之上的应用软件的,而操作系
统补丁建议你使用
WSUS
去分发。关于
WSUS
的使用可以参考我的博客。
4
、在企业里设置
AD
后,如何更好控制用户权限??也请给些相关说明
答:用户权限,可以分用户的操作权限和文件的访问权限。
默认
domian users
组普通域用户组里的成员只有计算机的基本使用权限
,没有任何配置权限,而且默认创建的域用户就是在
domian users
组中。这个
也是微软给出的对于员工用户账号的最佳管理办法。而员工对于文件等资源(软
、硬件资源)的访问权限最好使用
AUGDLP
规则来使用。具体案例请见:
[url]http://angerfire.blog.51cto.com/198455/72860[/url]
二、
想了解下域
公司有个域
,
但有的进域
,
有的进本地
.
我也不知道这域的作用在哪
?
能简单的跟介绍下吗
?
像我这种小型企业
.
电脑就
40
台左右
,
这个域
,
到底能帮我做些啥事情
.
能介绍些关于
AD
的书籍吗
.
我是个初学者
QUOTE:
专家回复:
楼上的朋友,域环境的应用在于对企业账号及企业网络环境中的一切资源进行统一集中式的管理,而你面临的问题,在于怎么管理域,搭建域环境和管理域是不同的又是需要紧密结合的,域搭建起来了就一定要用组策略等管理手段来加强域的集中控制性,而你遇到的用户不自觉登陆域的问题,可以通过再
DC
上的
AD
活动目录来直接针对成员机进行禁用本地账号的方式来解决。当然还有更强硬的办法,具体实施细节请关注我的博客。加油,你的动力,域的实力
~
!
三、
宋老师您好,我想了解以下
2
个问题:
1.
多少台电脑环境适合使用
AD
管理?我公司的网络环境是全国各地几个分公司
+
总部的组成的
***
,只有一个服务器,适合使用
AD
管理吗?(比如:在总部的服务器上使用域管理员操作,管理分公司的电脑时会有什么影响?)
2.AD
能做到什么地步?(能限制个人电脑的权限到什么地步?比如我想让公司各部门只能看到和访问自己部门的电脑)
QUOTE:
专家回复:
1.
多少台电脑环境适合使用
AD
管理?我公司的网络环境是全国各地几个分公司
+
总部的组成的
***
,只有一个服务器,适合使用
AD
管理吗?(比如:在总部的服务器上使用域管理员操作,管理分公司的电脑时会有什么影响?)
答:
10
台以下的机器适合工作组的方式去管理,因为分散管理对于一个企业网络管理员来说,工作量并不大。
而
10
台以上的机器,再使用分散管理,哪出问题去哪的方式去解决,对于管理员来说就吃不消了。
你们公司的网络结构正是需要用域环境进行统一集中管理的,可以把
DC
搭建再总部,其他分公司通过加入域的方式来访问
***
,这样不仅管理严禁,而且更加强了
***
通道的安全可靠性。因为只有域中的用户才有权限使用域中的资源,尤其是
***
,其他分公司可以在当地建立域中的站点,来加快本地用户登陆域和访问域中资源的速度。
推荐你使用单域结构,以
OU
的方式对分公司的资源进行统一集中管理!
四:
2.AD
能做到什么地步?(能限制个人电脑的权限到什么地步?比如我想让公司各部门只能看到和访问自己部门的电脑)
答:
AD
是个很可怕的东西,三个好处:
1
、方便管理员统一集中的管理企业的所有资源(账号、数据、硬件资源)
2
、方便用户快速的访问,域内所有资源(单点登录)
3
、支持扩展:横向扩展
(
单域变域树、域树变森林
)
适应企业的组织结构的发展壮大。
纵向扩展
(
除了对企业的计算机账号、用户账号做
统一集中的管理,以后的企业邮件,
IM
包括
SOA
都可以和
AD
活动目录亲密结合,就像我们现在一个
QQ
账号可以聊天,可以发邮件,玩游戏一样,甚至
AD
可以做到和手机卡绑定,因为我们支持
LDAP)
AD
梦想,只要你想!
4 、
能限制个人电脑的权限到什么地步?比如我想让公司各部门只能看到和访问自己部门的电脑
QUOTE:
专家回复:
域就是微软计算机的军团,再军团内所有的物资都是由上级统一调配的。而权限也是我们
AD
管理员自己去设置的。
至于什么程度,只要我们想到的都可以做到。只是时间问题。
五、
宋老师,你好!
请教一个问题:
如果域内的主
DC
坏了,重新安装了系统,然后从备份
DC
复制配置,还会跟以前的
activeDirectory
配置一样吗?
QUOTE:
专家回复:
这位朋友的问题在于主
DC
和辅
DC
的关系不明确:
当一个域存在一台
DC
的时候,在搭建一台额外的域控制器,辅
DC
就是为了加强域的可靠性。
而通过辅
DC
如何实现可靠性呢,
AD
活动目录与主
DC
之间同步复制,正是辅
DC
的作用,所以主
DC
中的资源都会同步到辅
DC
中,自然就可以通过辅
DC
来恢复主
DC
中的数据,与此同时还要记得做好备份计划。
推荐使用:
NTBACKUP
命令的
高级模式来备份主
DC
的系统状态。
关于
NTBACKUP
的详细参考方案,请关注我的博客:
[url]http://angerfire.blog.51cto.com[/url]
六、
今天遇到一个很奇怪的问题,想请各位能把所有加不进域控的问题统计出来:
windows xp pro en
版本,因现在要修改下电脑名,入管理员用户后,直接修改电脑名,提示有共享的文件存在,无法加入域控
..
进入
cmd
,用
net use
,发现有映射网络盘,
delete
后再加域,发现一个很奇怪的提示:访问拒绝!!使用有管理员权限的用户加,一样的报错!进入到
ad
中,将以前的电脑名删掉,再加,一样的报错!进入到
dns
中发现没有纪录。在客户端自动获取,重新注册(运行过下面的
3
个命令
ipconfig/release;ipconfig/renew;ipconfig/reisterdns
),在
dns
中还是没有发现纪录!!(很奇怪!!!)发现其他都正常(运行
\\dc
后输入用户名和密码可以进入到
dc
),加域报错依旧,
nslookup dc
,也是正确的!实在不行,用
newsid
,重启后加域一样的报错!因为时间关系,没办法继续查找问题,重新安装了系统,解决了!请老师帮忙分析问题!谢谢!
ps
;这个问题已经出过一次,是一台新回来的笔记本,回来的时候供应商已经安装有正版的
window xp pro cn
版的,花了
4
个多小时也没找到原因!后来重新安装搞定了。才
1
个多小时!
希望老师能给些
总结性的东西,供我们以后查找问题!可能我们方法都知道,但是因为顺序的问题而将一个简单的问题给复杂化了!(个人理解,希望给予答复!)
QUOTE:
专家回复:
判断加入域的问题的时候秉持一个思路,先排除网络问题,再排除系统问题。
网络问题两个:
ping
(通讯问题)
DNS
问题(
NSLOOKUP
)
系统问题三个:
sid
问题(推荐用微软官方的手法解决,参考资料:
微软级DNA手术-新SID的诞生之系统封装
)
系统服务问题:本地系统的
IPC$
服务需要启动,
remote register server
需要启动,很多优化过的个人版的系统,被修改注册表或者删除管理型共享等这样操作过,手动恢复回去再时间上还不如重新安装一次。所以当我们对系统进行优化时,要考虑我们当前的网络环境,是工作组环境还是域环境。
最后就是病毒问题了,建议换干净系统。
七、
关于加入域问题的总结:
加入域--深入理解DNS在域中作用
想深入学习一下 AD ,当初学习在学校学习 AD 的时候,老师讲的太简单了,只是大概的说了一下。
QUOTE:
专家回复:
域强调的是再理解基础之上的应用。这个是微软产品的使用法则,用实验精神去学习就能获得真知,努力!
八、
域环境为双域控同步,如果一台档掉无法恢复。另外一台是否能正常运行?如不能,如何解决呢?
QUOTE:
专家回复:
答:另外一台可以正常运行,这正是辅
DC
的使命。
关于主
DC
辅
DC
的关系解释,请这位朋友参考
23
楼的回复
九、
"
宋老师,你好!
请教一个问题:
如果域内的主
DC
坏了,重新安装了系统,然后从备份
DC
复制配置,还会跟以前的
activeDirectory
配置一样吗?
QUOTE:
专家回复:
这位朋友的问题在于主
DC
和辅
DC
的关系不明确:
当一个域存在一台
DC
的时候,在搭建一台额外的域控制器,辅
DC
就是为了加强域的可靠性。
而通过辅
DC
如何实现可靠性呢,
AD
活动目录与主
DC
之间同步复制,正是辅
DC
的作用,所以主
DC
中的资源都会同步到辅
DC
中,自然就可以通过辅
DC
来恢复主
DC
中的数据,与此同时还要记得做好备份计划。
推荐使用:
NTBACKUP
命令的
高级模式来备份主
DC
的系统状态。
关于
NTBACKUP
的详细参考方案,请关注我的博客:
[url]http://angerfire.blog.51cto.com[/url]
"
十、
今天遇到一个很奇怪的问题,想请各位能把所有加不进域控的问题统计出来:
windows xp pro en
版本,因现在要修改下电脑名,入管理员用户后,直接修改电脑名,提示有共享的文件存在,无法加入域控
..
进入
cmd
,用
net use
,发现有映射网络盘,
delete
后再加域,发现一个很奇怪的提示:访问拒绝!!使用有管理员权限的用户加,一样的报错!进入到
ad
中,将以前的电脑名删掉,再加,一样的报错!进入到
dns
中发现没有纪录。在客户端自动获取,重新注册(运行过下面的
3
个命令
ipconfig/release;ipconfig/renew;ipconfig/reisterdns
),在
dns
中还是没有发现纪录!!(很奇怪!!!)发现其他都正常(运行
\\dc
后输入用户名和密码可以进入到
dc
),加域报错依旧,
nslookup dc
,也是正确的!实在不行,用
newsid
,重启后加域一样的报错!因为时间关系,没办法继续查找问题,重新安装了系统,解决了!请老师帮忙分析问题!谢谢!
ps
;这个问题已经出过一次,是一台新回来的笔记本,回来的时候供应商已经安装有正版的
window xp pro cn
版的,花了
4
个多小时也没找到原因!后来重新安装搞定了。才
1
个多小时!
希望老师能给些
总结性的东西,供我们以后查找问题!可能我们方法都知道,但是因为顺序的问题而将一个简单的问题给复杂化了!(个人理解,希望给予答复!)
QUOTE:
专家回复:
判断加入域的问题的时候秉持一个思路,先排除网络问题,再排除系统问题。
网络问题两个:
ping
(通讯问题)
DNS
问题(
NSLOOKUP
)
系统问题三个:
sid
问题(推荐用微软官方的手法解决,参考资料:
微软级DNA手术-新SID的诞生之系统封装
)
系统服务问题:本地系统的
IPC$
服务需要启动,
remote register server
需要启动,很多优化过的个人版的系统,被修改注册表或者删除管理型共享等这样操作过,手动恢复回去再时间上还不如重新安装一次。所以当我们对系统进行优化时,要考虑我们当前的网络环境,是工作组环境还是域环境。
最后就是病毒问题了,建议换干净系统。
十一、
关于加入域问题的总结:
加入域--深入理解DNS在域中作用
想深入学习一下 AD ,当初学习在学校学习 AD 的时候,老师讲的太简单了,只是大概的说了一下。
QUOTE:
专家回复:
域强调的是再理解基础之上的应用。这个是微软产品的使用法则,用实验精神去学习就能获得真知,努力!
十二、
域环境为双域控同步,如果一台档掉无法恢复。另外一台是否能正常运行?如不能,如何解决呢?
QUOTE:
专家回复:
答:另外一台可以正常运行,这正是辅
DC
的使命。
关于主
DC
辅
DC
的关系解释,请这位朋友参考
23
楼的回复
十三、
"
宋老师,你好!
请教一个问题:
如果域内的主
DC
坏了,重新安装了系统,然后从备份
DC
复制配置,还会跟以前的
activeDirectory
配置一样吗?
QUOTE:
专家回复:
这位朋友的问题在于主
DC
和辅
DC
的关系不明确:
当一个域存在一台
DC
的时候,在搭建一台额外的域控制器,辅
DC
就是为了加强域的可靠性。
而通过辅
DC
如何实现可靠性呢,
AD
活动目录与主
DC
之间同步复制,正是辅
DC
的作用,所以主
DC
中的资源都会同步到辅
DC
中,自然就可以通过辅
DC
来恢复主
DC
中的数据,与此同时还要记得做好备份计划。
推荐使用:
NTBACKUP
命令的
高级模式来备份主
DC
的系统状态。
关于
NTBACKUP
的详细参考方案,请关注我的博客:
[url]http://angerfire.blog.51cto.com[/url]"
十四、
本人正在深入学习
AD,
向宋老师提个问题
:
公司最近对网络进行了重整
,
统一用
AD
管理
,
所有的工作站加入了域
,
公司只有一台服务器
,
系统用
2003server
加入域后发现对打印机管理这方面不知怎么设置
,
1,
在
AD
里添加了打印机的
OU,
在打印机文件夹里发布打印机
,
但选择打印机后提示
"
未能发布打印机
,
发布打印机必须在打印机文件夹里发布
",
我是在新建的打印机
OU
里发布的
,
请宋老师分析一下原因所在
.
2,
在服务器里配置打印机服务器出错
,
提示
:
未能添加共享打印机到服务器
,
但我打开打印机和传真文件夹里已成功添加了共享打印机
,
不知是什么原因
.
3,
对于以上两个问题未解决的清况下
,
在工作站里添加打印机里提示出错
,
无法连接到打机印服务器
.
注
:
打印机安装在其它部门的工作站的计算机上
.
望宋老师给与分析与解决
,
谢谢
!!
QUOTE:
专家回复:
针对于您的问题,我们先要明确几个概念:
1
、
windows server2003
企业版所搭建的域环境中,打印机在活动目录中的发布是自动的,即安装完后,就自动共享并再
AD
中发布逻辑打印机。
2
、打印设备和打印机的概念:物理的看得见摸的着的是物理打印设备;而看得见摸不着在开始
--
设置
--
打印和传真中看见的是逻辑打印机。
3
、打印机服务器端与打印机客户端:与打印设备直接相连的是打印服务器(物理),在打印和传真中看见的打印机服务器端(逻辑、共享),而域中的成员所安装的就是打印客户端(与环境中让用户通过
UNC
路径的方式添加,如:
“//10.0.0.1/HPlaserJ”
逻辑打印机的共享名)
这位朋友描述的情况比较混乱,但根据经验有可能是因为域成员机或者打印服务器删除了默认的管理型共享或者相关服务没启动造成的。解决办法,重新规划打印服务器。
参考资料
[url]http://angerfire.blog.51cto.com/198455/72860[/url]
十五、
请教宋老师一个问题 : 一间公司有 40 来台客户机 , 通过 2 台 24 口的交换机上网 , 是工作组的对等网模式 , 现在想把他转为域模式 , 除了软件方面之外,交换机那边的物理接线需要改动吗 ? 整个物理拓扑需要怎样改动 ? 谢谢 ~~!
QUOTE:
专家回复:
整个网络的拓扑结构可以按照目前的方式运作,但是地基不打好,我们的域环境想发挥的
淋漓尽致也是很不容易的,
所以建议在网络规划上,使用
VLAN
、
TRUNK
、以太网通道、子网划分
等技术,给域环境的运作打下一个良好的网络环境,以免造成日后的一些麻烦问题。
因为我们的域就是建筑在网络基础设备上的上层建筑。
十六、
我想问一下 .. 虚拟机上加 AD 是可以的 .. 但为什么我每次在虚拟机上加域时 , 总是提示无法与域控制器联系 .. 这是什么原因啊 ? 机子的问题还是虚拟机的问题 .?
QUOTE:
专家回复:
这个两个原因:
1
、虚拟机的使用不当,如果是用的
VMWRAE,
请参考:
[url]http://angerfire.blog.51cto.com/198455/62341[/url]2
、
DNS
问题:
a
成员机的
DNS
未设置正确,请检查成员机的
DNS
设置为当前域的
DNS
服务器
IP
b DNS
服务器没有正常工作,一般是因为
DNS SERVER
的
SRV
资源记录没有正常生成造成的,解决方法:重新启动
DNS
服务器上的
NSLOOKUP
服务。
参考文档:
创建windows域---深入理解域概念
十七、
老师您好:
请教您个问题
A
地公司和
B
地公司同属于
一个集团,因业务需要人员会相互调动工作。如果
A
地员工
user1
要去
B
地
工作一段时间,希望还能保持在
A
地办公时的域环境下工作(软件使用、桌面布局
等),能实现吗?如何实现?
烦请老师指点
QUOTE:
专家回复:
针对单个员工的桌面环境等用户配置文件信息可以使用漫游配置文件的方法,为他实现。
具体方法:在
AD
活动目录中打开用户的属性中的配置文件,并指定配置文件的访问点(
UNC
路径)。
详细信息,请关注我的博客:
[url]http://angerfire.blog.51cto.com[/url]
十八、
我在我公司局域网中没及专门安装打印机服务,只把其中一台客户机作为打印机服务器,每次添加打印机时,都要管理员账号才可以添加,如果用普通用户添加的话,提示 “ 一个组策略阻止计算机打印列队运行 ” 请问这是什么原因?
QUOTE:
专家回复:
打印权限问题,首先要确认你的打印服务器是否在域环境中,如果在域环境中那么访问它的所有用户必须是域用户。
如果不在域环境中,请右键打印服务器上的逻辑打印机(共享)再点安全,设置
everyone
用户的打印权限。
十九、
审核员工登陆和访问文档的行为具体怎么实施,能不能把这方面详细资料传上来,若有其他具体案例传上来,这样更容易理解域之 AD 活动目录 u 在文件服务器上的重要文档有定期备份与
QUOTE:
专家回复:
这个问题需要启用审核策略中的登陆审核和文件审核来做,具体方法请关注我的博客,我和此回复我会给出详细步骤。
这里给一个基本文件审核的设置步骤:
1
、创建共享目录
2
、启用对象访问审核策略
3
、设置审核对象
4
、设置审核项
二十、
宋老师好
对于搭建一个至少有
50
台的域环境中
应该至少有哪些服务器类型呢?
像
DC
打印服务器之类的
还应该有哪些服务器需要考虑进去
QUOTE:
专家回复:
具体需要考虑企业的应用,当然如果你在写售前的方案书就要尽可能的根据用户的企业类型性质和发展规模去为用户设计更多的功能
,
如:打印服务器、文件服务器、代理服务器、
WEB
、
FTP
、
***
、
CA
、
IM
即时通讯、
SOA
办公(
sharepoint
)
RADIUS
等等
二十一、 老师好,我看了一下你的资料,基础篇比喻非常好,请问 “ 工作组,域和 OU 的区别,域中的组与 OU 的区别分别是什么 ” 让我们更加清楚了解这些概念,以达到更好的应用。谢谢。
QUOTE:
专家回复:
首先工作组和域是微软的两种网络模型,
工作组采用分散的数据信息管理方式,也就是所有的账号数据资料都存储在本地的石器时代;(分散)
域采用集中统一管理的方式,就像国家一样对国家中的资源集中管理,有了规范的管理模式;(集中)
组和
OU
:
组是用户帐户的集合,做帐户管理。
OU
是一个盛放
AD
对象的容器。对域中资源进行结构化管理。
二十二、
我想问下,服务器裸机搭建域控制的步骤???
QUOTE:
专家回复:
1
、运行里输入:
dcpromo
2
、下一步再下一步选择新域中的第一台
DC
下一步
3
、选择新林中的域下一步
4
、给域起名(要符合
DNS
命名标准)并确定
DNS
诊断
5
、选择
AD
活动目录和日志的存放位置
6
、给
SYSVOL
文件选择存放位置
7
、设置还原模式密码
8
、完成
二十三、
请问宋老师,我在打印服务器中选择将共享打印机发布到 Active Direcotry 中,这时就可以在 AD 中查询到打印机了,请问这个发布信息在 Active Directory 数据库的具体位置是什么?用哪些工具可以查看?
QUOTE:
专家回复:
默认的
AD
活动目录数据库的安装位置:
c:\windows\ntds\ntds.dit
活动目录的迁移工具
ADMT
二十四、
再请教宋老师一个问题,有时卸载域控制器时无法正常卸载,提示
DSA
查找错误,这是什么原因导致的?是因为域控制器复制关系的故障吗?遇到这种问题
一
如果怀疑是
DNS
的记录有问题,如何手工重建所有域控制器的
A
,
Cname
和
SRV
记录
二
如果
DNS
记录没问题,如何纠正
KCC
计算出的
AD
复制拓朴
三
如果在域控制器上用
Dcpromo/forceremoval
强行卸载
AD
,那其他的域控制器上还会认为这台强行降域的
DC
仍然存在,如何手工处理,谢谢。
QUOTE:
专家回复:
对于这个问题,很多学生都会问到,每次问道的时候我都会反问他们为什么要卸载。
针对这个问题给予一个官方的解释,服务器一旦成功升级到
DC
就意味着系统的架构被改写了,想把它还原回原来刚安装时候的样子是很难办到的。就算成功卸载了,此时的服务器已经不是当初刚刚装好的那样了。很多服务都废了。
如果想给域改名字或者是降低功能级别,需要用操作主机来实现。
关于操作主机请关注我的博客:
[url]http://angerfire.blog.51cto.com[/url]
二十五、
我在域环境中配置了客户机只有一些程序能运行。另外的程序都不能运行。
但如果客户端把非法程序的名字改成合法的程序的名字那些非法程序就能运行了。
请问有什么办法能解决。客户端都是
windows2000.
QUOTE:
专家回复:
猜测一下这位朋友的意思,给出解决方法,可以使用软件限制策略中的哈希规则来限制用户使用的软件,哈希规则是通过唯一的哈希值来判定软件的这样即使用户为软件改名也无法使用了。
二十六、
我在域环境中配置了客户机只有一些程序能运行。另外的程序都不能运行。
但如果客户端把非法程序的名字改成合法的程序的名字那些非法程序就能运行了。
请问有什么办法能解决。客户端都是
windows2000.
QUOTE:
专家回复:
猜测一下这位朋友的意思,给出解决方法,可以使用软件限制策略中的哈希规则来限制用户使用的软件,哈希规则是通过唯一的哈希值来判定软件的这样即使用户为软件改名也无法使用了。
二十七、
想问专家一个问题,我们公司有一台服务器中的域用户,在客户端登陆的时候不定期的就会自动从域中退出来,需要重新进域,这样很是麻烦,我们公司的所有客户端机器都安装有还原卡。请问专家这是怎么回事?谢谢!
QUOTE:
专家回复:
只有一台机器是这样那很可能是这个机器自动还原了,你检查一下
AD
活动目录里
COMPUTERS
容器中的计算机数量是否正常,另外也不排除和还原卡配合使用的冲突问题。
二十八、
请教一下 AD 可以与微软的 RMS 结合 , 以实现对公司文档的管理 , 但关于 AD 的组策略我想请教一下 , 一般是如何做 ?
QUOTE:
专家回复:
RMS
是微软再
AD
基础上构建的专门针对文档管理的解决方案之一,类似与
RMS
的还有
sharepoint
等
组策略想实现文档管理是不能完全实现的,组策略可以实现文件访问的审核,而访问控制需要通过权限规划来实现请参考
AUGDLP
规则。
二十九、
在 AD 里面一个管理员到底有多大的权限 . 不知道大家有没有想过 .. 而当管理员有权力过大的时候 , 又怎么解决管理员的权力问题呢
QUOTE:
专家回复:
管理员的权利不能滥用,解决这个问题是治理
AD
的关键,所以建议平常不使用
administator
用户。
三十、
请问专家 , 对于一个已经好的 AD 部署 , 我们要进行域迁移 , 准备工作要注意哪些 ?
QUOTE:
专家回复:
AD
活动目录迁移工具,操作主机,
AD
及时备份。
三十一、
我们知道在域用户中
,
如果要限制客户机不能使用
IE
浏览网页
,
可以对客户做策略
,
但如果客户知道修改注册表的话就没有什么作用了
,
对这种问题
,
除了再对客户做个禁止修改注册表外
,
还有什么解决办法
,
这是问题
1
问题
2:
要限制客户机不能使用
IE
浏览网页
,
在域用户中有几种办法
问题
3:
现在大家都想看奥运
,
我也很想看
,
但上班就是上班
,
办公室不是看奥运的地方
.
在我们公司的防火墙上做了设置
,
已经无法使用电驴
,BT
等软件
,
但现在还可以使用
UUsee
看网络电视,我想问的是在域中可不可以做相应的策略加限制。谢谢
QUOTE:
专家回复:
组策略中软件限制策略的
路径规则
证书规则
哈希规则
都是可行的办法。直接通过应用层解决,尤其是哈希规则,通过唯一哈希值的方法限制的
随客户怎么改名
改路径
改注册表
顺便说一句,用域环境做
IT
管理
就不要给用户使用本地注册表的权限。
三十二、
关于域中的漫游用户专家可以讲解下吗
?
漫游用户的配置文件一般放置在什么地方
?
是不是在每次下了域环境时
,AD
服务器都会自动保存域用户工作环境界面
?
QUOTE:
专家回复:
漫游配置不宜多用,漫游配置文件都会存放再一个专门的共享点
漫游用户登陆时从网络共享点下载配置文件,漫游用户注销时向网络共享点上传配置文件。
如果
100
个漫游用户这个域就有危机了
三十三、
尊敬的宋老师,您好!
我有几个问题有点迷惑,麻烦您帮忙指点下
1.
域中的全局组,本地域组,安全组,通讯组,他们应用的具体场合是什么?实际应用的时候要不要分得很细呢?
2.
在创建域的时候,并没有先安装
DNS
,等域安装后再安装
DNS
服务,然后我用命令
1)
、
net stop dns net stop netlogon
;
2)
、
net start dns ,net start netlogon
;
3)
、
ipconfig /flushdns,ipconfig /registerdns.
通过以上步骤,在
DNS
中能看到相关的记录,但有时候不行,不过是在
VM
中的测试
QUOTE:
专家回复:
1
、
首先域中的组
的类型分为两类:安全组(管理账号和资源)和通讯组(发邮件
为了和
exchange
结合)
组的作用域分三种:全局作用域
(域账号管理)、本地作用域(域资源管理)、通用作用域(账号管理,比全局组登陆速度快,多域环境下)
2
、最好将
DNS
配置安装在
DC
上,建议使用
DCPROMO
通过向导界面安装。
三十四、
继续一下:尊敬的宋老师
如果要对域改名。应该怎么做呢?要不要备份原来的?
QUOTE:
专家回复:
要及时备份(系统状态
和
策略),并通过操作主机完成,改名其实是个很危险的举动
三十五、
专家好,有个问题请教一下?
当我为我的客户端重新安装了一个系统,并且加入了域,当客户端用户登陆(属于
Domain Users
权限)域,运行一些需要修改或者写入注册表的应用软件时是无法正常运行的,每次我为客户重新安装系统之后都必须把该系统下
C
盘的
Users
权限改成允许修改后才能解决问题。
1
:请问出现这种情况的原因是什么?
2
:有没有更好的方法去解决或者避免?
QUOTE:
专家回复:
Domain Users
组没有权限修改,可以在
DC
上做一条策略针对一个特定组给他修改注册表的权限,并且把这个用户加入这个组。
三十六、
我的 xp sp3 在加入域时,老是提示找不到网络路径,但是不使用后缀可以加入域中,但是在加入域以后无法应该组策略。 dns 解析正常,我查了很多资料,说是启动 tcp/ip netbiso 服务,在 tcp/ip 高级属性里启用了,但是我在服务里没有看到这个服务,请问该如何解决?谢谢!
QUOTE:
专家回复:
这个问题应该是
DNS
的问题,不使用后缀加入域是使用的
NETBIOS
名加入域也就是使用
netbios
协议。
建议把成员机的
DNS
设置为
DC
的
IP
(
DNS
安装在
DC
上),然后用
NSLOOKUP
命令解析。如果解析不成功请
在
DC
上重启
NETLONGON
服务
三十七、
宋杨老师
:
您好!
我们公司原先加入域的用户登录域很正常;现在重新安装的操作系统可以加入域
;
但是登陆域超慢!!
DNS
的指向也是正确的;希望您能教我一些排错的方法!
谢谢!
[email]nevergone520@hotmail.com[/email]
QUOTE:
专家回复:
把域功能级别升级到
2003
纯模式,再将用户加入通用组。
三十八、
宋老师,你好!
安装活动目录的时候我们一般是将
DNS
一块自动安装好。
如果我在安装过程中没有选择将
DNS
自动安装,而是跳过!
那装完活动目录后我们要怎么去设置
DNS
呢?
QUOTE:
专家回复:
安装
DNS
后
再为
DC
指定
DNS
但建议最好按正确顺序执行
三十九、
宋老师好,新手请教:创建域对网络环境有什么要求?我们单位大约有 500 机器,各楼层的网段不同,不同楼层的机器有时不能互相访问。请问该如何创建域?我们办公室有一台网络打印机,其 IP 为 10.0.4.× ,我的机器 IP 如果是 10.0.6.× 就不能访问打印机,这种情况下能否创建域?创建域是否可解决互通问题?谢谢!
QUOTE:
专家回复:
安装域控制器的基本条件:
1
、
windows server2003
版本不能为
web
版
2
、要有
administrator
管理员权限
3
、至少有一个
ntfs
分区
4
、要有
IP
和子网掩码
5
、要有
dns
的支持
6
、要有足够的磁盘空间
---------------------------------
你的网络环境建议单域结构管理。
具体创建部署方法
请参考下面两篇文章:
[url]http://angerfire.blog.51cto.com/198455/92715[/url]
[url]http://angerfire.blog.51cto.com/198455/72860[/url]
四十、
软件的分发是否是否会对网络速度影响很大!比如说分发比较大的软件?
是不是任何客户端需要用的软件都可以用
DC
分发?还是说分发软件的大小应该控制在一个范围内?
QUOTE:
专家回复:
这位朋友的问题狠尖锐,组策略进行软件分发的时候默认情况下是不会辨认大小的。当然如果我们给网络中
100
台计算机分发
700M
的软件结果其中
50
台
C
盘的可用空间都不足
700M
那么安装的结果就是
50%
成功安装,而软件分发却是
100%
的,因为咱们的组策略进行软件分发的时候只是把软件安装的连接信息告诉了成员机,也就是在成员机上创建了一个快捷方式,等用户第一次执行的时候才进行安装。而一条软件安装的
GPO
在域成员机安装软件完毕后就可以备份
并删除了。只要是应用软件都可以进行分发,而分发是不考虑大小的,只有安装才考虑。
四十一、
AD 组策略中有一个软件限制策略,如何使用其来限制域中 PC 的特定软件限制?
QUOTE:
专家回复:
推荐使用哈希规则,具体操作步骤说明请见
[url]http://angerfire.blog.51cto.com/198455/d-3[/url]
四十二、
如何将笔记本用户更好的纳入到域管理中来。
QUOTE:
专家回复:
在
AD
活动目录中为移动
PC
创建单独的
OU
,并做单独的策略来管理企业中的移动
PC
四十三、
如何将原来的域环境改到工作组的网络环境来?
QUOTE:
专家回复:
选择了域环境,就很难回到过去了,就算删除
AD
活动目录了也会留下域的烙印,建议想回工作组模式的重新安装服务器操作系统。
四十四、
很早以前我碰到过类似的问题。
1.
若你的域控是盗版的
OS
,则正版客户端无法正常加入域。
2.
在确认网络设置都正确的情况下,以及
net use
确认没有与域控有任何连接后,重新启动计算机或注销,一般都可以加入域。
QUOTE:
专家回复:
盗版问题在微软产品这里限制的非常严格,如果一个企业要推行域环境,请使用正版。
在产品特性和功能上可能没有什么区别,但在使用效率和技术支持上却势单力孤了。
加入域的问题请参考:
[url]http://angerfire.blog.51cto.com/198455/62738[/url]
四十五、
一般的系统管理员 .. 需要掌握域的那些知识 ?? 感觉域的问题千奇百怪的 .. 很难完全掌握和排错 .. 感觉很郁闷 !! 无从下手 !! 还有就是公司原来是工作组模式的 .. 如果转为域 .. 普通的用户会不会很难适应的 ?? 因为公司有些人年纪比较的大 .. 怕不适应到时就麻烦了 !!
QUOTE:
专家回复:
推行域确实是比较花费功夫的,在网络环境和系统环境设置上需要严谨,在人性化培训上需要耐心。在整体的工作协调性上需要周全,而域环境正是解决这一问题,为企业带来信息化
IT
办公环境的福音,如果楼上的朋友还在为域环境的实现而担忧,请大胆放心的选择吧,因为不选择才会后悔。域为企业带来的不只是工作效率的提高,更多的是思维意识的提高。
详细参考资料:
[url]http://angerfire.blog.51cto.com/198455/72860[/url]
四十六、
域管理能限制用户安装软件吗?
用户组策略能彻底的禁止软件的运行吗?(如
QQ,
迅雷等)
具体操作步骤如何
QUOTE:
专家回复:
a
普通域用户就没有软件安装等更改系统设置的权限,只能使用计算机,
b
防火墙或者代理服务器封锁端口都限制不了的软件都可以使用组策略的方式限制,
1
、将组策略对象(
GPO
)创建并链接到放有要限制对象的
OU
中
2
、编辑
GPO
,选择计算机配置
--
安全设置
--
软件限制策略,右键创建软件限制策略。
3
、右键其他规则,可以选择证书规则、
散列规则
、路径规则、哈希规则等去做具体的限制。
详细图例,近期请关注我的博客:
[url]http://angerfire.blog.51cto.com[/url]
四十七、
能否详细介绍一下域策略的推广
!
QUOTE:
专家回复:
在一个已经用惯了传统的工作组模式分散工作惯了的企业去推行域,确实是一件比较痛苦的事,原因就是因为你的策略做的太软弱!而再与环境中制定强硬的管理策略正是推行域环境,统一协调工作的最佳手段!
