AD活動目錄問題總結(jié)
上一篇 / 下一篇 2010-11-18 11:12:11
1.客戶端xp添加不了到myad.com,要不就是dns沒有設(shè)置正確����,要不就是services.msc服務(wù)中沒有開啟TCP/IP NetBIOS Helper.
2.ou是組織單元的簡稱��,為了方便管理類似屬性用戶而設(shè)置的一個群體�,類似組域指的是一個范圍���,由一個域加上子域構(gòu)成樹���,多個樹就夠成了域林 容器指的是存儲的空間,和傳統(tǒng)的容器一個意思����,只是抽象了點而已。
3.建立ou技術(shù)部里面可以添加計算機�,聯(lián)系人,組���,組織單位����,打印機�����,用戶,共享文件夾等�。點擊ou屬性可以添加組策略。
4.委派的用戶帳戶跟組里的用戶帳戶沒什么關(guān)系���,都是用戶帳戶����。用戶帳戶是給用戶使用電腦時登錄電腦用的憑證�,用戶帳戶加入用戶組可以方便給大量用戶帳戶賦權(quán)限,OU是存放用戶帳戶等AD對象的容器�����。domain users的權(quán)限一般不用改�����。OU的委派管理一般是讓一個非管理員帳戶具有管理某OU下的AD對象的權(quán)限����,委派什么權(quán)限要按實際的需求去做,不好說一般委派什么權(quán)限�。如有一個市場部的OU,存放所有市場部的AD對象,現(xiàn)在想讓市場部經(jīng)理去管理市場部的所有用戶帳戶����,就可以委派給市場部經(jīng)理的用戶帳戶有管理該OU用戶帳戶的權(quán)限�����,市場部經(jīng)理就可以給新員工創(chuàng)建用戶帳戶���,給老員工改密碼等等
5.Builtin”容器中的組
組 描述 默認用戶權(quán)限
Account Operators
該組的成員可以創(chuàng)建�����、修改和刪除位于“Users”或“Computers”容器中的用戶���、組和計算機的帳戶以及該域中的組織單位,但“Domain Controllers”組織單位除外����。該組的成員無權(quán)修改 Administrators 或 Domain Admins 組,也無權(quán)修改這些組的成員的帳戶�����。該組的成員可本地登錄到該域的域控制器中,并可將其關(guān)閉�。由于該組在此域中有重要的作用,因此在添加用戶時要特別謹慎���。
允許本地登錄���;關(guān)閉系統(tǒng)。
Administrators
該組的成員具有對域中所有域控制器的完全控制���。默認情況下�����,Domain Admins 和 Enterprise Admins 組是 Administrators 組的成員����。Administrator 帳戶也是默認成員��。由于該組在此域中具有完全控制權(quán)限��,因此在添加用戶時要特別謹慎�。
從網(wǎng)絡(luò)上訪問該計算機;調(diào)整進程的 內(nèi)存配額�����;備份文件和目錄;跳過遍歷檢查�;更改系統(tǒng)時間;創(chuàng)建頁面文件�����;調(diào)試程序�����;為委派啟用受信任的計算機和用戶帳戶�;從遠程系統(tǒng)強行關(guān)機�����;提高調(diào)度優(yōu)先級����;加載和卸載設(shè)備驅(qū)動程序;允許本地登錄�����;管理審核和安全日志;修改固件環(huán)境值����;簡述單個進程;簡述系統(tǒng)性能���;從插接站刪除計算機����;還原文件和目錄�����;關(guān)閉系統(tǒng)����;獲得文件或其他對象的所有權(quán)。
Backup Operators
該組的成員可備份和還原該域中域控制器上的所有文件�,而不用考慮其各自對這些文件的權(quán)限。Backup Operators 還可以登錄到域控制器并將其關(guān)閉�����。該組沒有默認的成員��。由于該組對域控制器有重要作用,因此在添加用戶時要特別謹慎�。
備份文件和目錄;允許本地登錄��;還原文件和目錄�;關(guān)閉系統(tǒng)。
Guests
默認情況下���,Domain Guests 組是該組的成員。Guest 帳戶(默認情況下禁用此帳戶)也是該組的默認成員���。
沒有默認的用戶權(quán)限��。
Incoming Forest Trust Builders(僅出現(xiàn)在林根域中)
該組的成員可創(chuàng)建對林根域的單向傳入林信任��。例如����,駐留在 A 林中的該組成員能夠創(chuàng)建來自 B 林的單向傳入林信任�����。該單向傳入林信任允許 A 林中的用戶訪問位于 B 林中的資源�。該組的成員在林根域上會得到“創(chuàng)建傳入林信任”權(quán)限�。該組沒有默認的成員�。有關(guān)創(chuàng)建林信任的詳細信息,請參閱創(chuàng)建林信任 ��。
沒有默認的用戶權(quán)限��。
Network Configuration Operators
該組的成員可更改 TCP/IP 設(shè)置并續(xù)訂和發(fā)布該域中域控制器上的 TCP/IP 地址����。該組沒有默認的成員。
沒有默認的用戶權(quán)限����。
Performance Monitor Users
該組的成員可在本地或從遠程客戶端監(jiān)視該域中域控制器上的性能計數(shù)器,不必成為 Administrators 或 Performance Log Users 組的成員�����。
沒有默認的用戶權(quán)限��。
Performance Log Users
該組的成員可在本地或從遠程客戶端管理該域中域控制器上的性能計數(shù)器��、日志和警報��,不必成為 Administrators 組的成員�。
沒有默認的用戶權(quán)限���。
Pre-windows 2000 Compatible Access
該組的成員具有對該域中所有用戶和組的讀取訪問權(quán)限。該組向后兼容運行 windows NT 4.0 及更低版本的計算機��。默認情況下����,特殊的 Everyone 標識是該組的成員。有關(guān)特殊標識的詳細信息��,請參閱特殊標識 ���。僅當用戶在運行 windows NT 4.0 或更低版本時,將其添加到該組中���。
從網(wǎng)絡(luò)訪問此計算機���;跳過遍歷檢查。
Print Operators
該組的成員可管理��、創(chuàng)建���、共享和刪除連接到該域中域控制器上的打印機�����。它們可以管理該域中的 Active Directory 打印機對象�����。該組的成員可本地登錄到該域的域控制器中��,并可將其關(guān)閉�。該組沒有默認的成員。由于該組的成員可在該域的所有域控制器上加載和卸載設(shè)備驅(qū)動程序�,因此在添加用戶時要特別謹慎。
允許本地登錄��;關(guān)閉系統(tǒng)����。
Remote Desktop Users
該組的成員可遠程登錄到該域的域控制器。該組沒有默認的成員�����。
沒有默認的用戶權(quán)限���。
Replicator
該組支持目錄復(fù)制功能�,并由該域的域控制器上的“文件復(fù)制”服務(wù)使用。該組沒有默認的成員��。不向該組添加用戶�����。
沒有默認的用戶權(quán)限�。
Server Operators
在域控制器上,該組的成員可進行交互式登錄�、創(chuàng)建和刪除共享資源、啟動和停止某些服務(wù)����、備份和還原文件、格式化硬盤�����,以及關(guān)閉計算機�。該組沒有默認的成員���。由于該組對域控制器有重要作用���,因此在添加用戶時要特別謹慎�����。
備份文件和目錄����;更改系統(tǒng)時間�;從遠程系統(tǒng)強行關(guān)機;允許本地登錄�;還原文件和目錄;關(guān)閉系統(tǒng)���。
用戶
該組的成員可執(zhí)行大部分常見任務(wù)��,如運行應(yīng)用程序���、使用本地和網(wǎng)絡(luò)打印機,以及鎖定服務(wù)器�。默認情況下,Domain Users 組���、Authenticated Users 或 Interactive 都是該組的成員�����。因此����,域中創(chuàng)建的任意用戶帳戶均為該組成員。
沒有默認的用戶
6.Users 容器中的組
組 描述 默認用戶權(quán)限
證書發(fā)行者
該組的成員獲準為用戶和計算機發(fā)行證書�。該組沒有默認的成員。
沒有默認的用戶權(quán)限�。
DnsAdmins(隨 DNS 安裝)
該組的成員具有對 DNS Server 服務(wù)的管理訪問權(quán)限。該組沒有默認的成員���。
沒有默認的用戶權(quán)限�����。
DnsUpdateProxy(隨 DNS 安裝)
該組的成員是可代表其他客戶端(如 DHCP 服務(wù)器)執(zhí)行動態(tài)更新的 DNS 客戶端���。該組沒有默認的成員。
沒有默認的用戶權(quán)限����。
Domain Admins
該組的成員具有對該域的完全控制權(quán)����。默認情況下��,該組是加入到該域中的所有域控制器����、所有域工作站和所有域成員服務(wù)器上的 Administrators 組的成員��。默認情況下����,Administrator 帳戶是該組的成員。由于該組在此域中具有完全控制權(quán)限��,因此在添加用戶時要特別謹慎��。
從 網(wǎng)絡(luò)上訪問該計算機��;調(diào)整進程的內(nèi)存配額�����;備份文件和目錄�����;跳過遍歷檢查;更改系統(tǒng)時間�����;創(chuàng)建頁面文件�;調(diào)試程序;為委派啟用受信任的計算機和用戶帳戶���;從遠程系統(tǒng)強行關(guān)機����;提高調(diào)度優(yōu)先級���;加載和卸載設(shè)備驅(qū)動程序��;允許本地登錄���;管理審核和安全日志;修改固件環(huán)境值�;簡述單個進程;簡述系統(tǒng)性能���;從插接站刪除計算機���;還原文件和目錄;關(guān)閉系統(tǒng)��;獲得文件或其他對象的所有權(quán)���。
域計算機
該組包含加入到此域的所有工作站和服務(wù)器�����。默認情況下��,創(chuàng)建的任何計算機帳戶都會自動成為該組的成員��。
沒有默認的用戶權(quán)限����。
域控制器
該組包含此域中的所有域控制器�����。
沒有默認的用戶權(quán)限���。
Domain Guests
該組包含所有域來賓���。
沒有默認的用戶權(quán)限���。
Domain Users
該組包含所有域用戶。默認情況下�,此域中創(chuàng)建的任何用戶帳戶都會自動成為該組的成員?�?梢允褂迷摻M來表示此域中的所有用戶���。例如�����,如果想要所有域用戶具有對打印機的訪問權(quán)限�����,可將打印機的訪問權(quán)限指派給該組(或者將 Domain Users 組添加到打印機服務(wù)器上某個具有打印機訪問權(quán)限的本地組中)��。
沒有默認的用戶權(quán)限����。
Enterprise Admins(僅出現(xiàn)在林根域中)
該組的成員具有對林中所有域的完全控制權(quán)限���。默認情況下�,該組是林中所有域控制器上 Administrators 組的成員。默認情況下����,Administrator 帳戶是該組的成員����。由于該組在林中具有完全控制權(quán)限,因此在添加用戶時要特別謹慎��。
從 網(wǎng)絡(luò)上訪問該計算機���;調(diào)整進程的內(nèi)存配額���;備份文件和目錄;跳過遍歷檢查���;更改系統(tǒng)時間�����;創(chuàng)建頁面文件���;調(diào)試程序����;為委派啟用受信任的計算機和用戶帳戶���;從遠程系統(tǒng)強行關(guān)機�����;提高調(diào)度優(yōu)先級�����;加載和卸載設(shè)備驅(qū)動程序����;允許本地登錄��;管理審核和安全日志�����;修改固件環(huán)境值;簡述單個進程�����;簡述系統(tǒng)性能�;從插接站刪除計算機;還原文件和目錄�����;關(guān)閉系統(tǒng)���;獲得文件或其他對象的所有權(quán)。
Group Policy Creator Owners
該組的成員可修改此域中的組策略����。默認情況下,Administrator 帳戶是該組的成員�����。由于該組在此域中有重要的作用�,因此在添加用戶時要特別謹慎。
沒有默認的用戶權(quán)限�。
IIS_WPG(隨 IIS 安裝)
IIS_WPG 組是 Internet 信息服務(wù) (IIS) 6.0 工作進程組。在 IIS 6.0 的工作范圍內(nèi)存在服務(wù)于特定命名空間的工作進程。例如���,http://www.microsoft.com/是由一個工作進程提供的命名空間��,可在添加到 IIS_WPG 組的某個標識(如 MicrosoftAccount)下運行����。該組沒有默認的成員���。
沒有默認的用戶權(quán)限��。
RAS 和 IAS 服務(wù)器
該組中的服務(wù)器獲準訪問用戶的遠程訪問屬性��。
沒有默認的用戶權(quán)限�����。
Schema Admins(僅出現(xiàn)在林根域中)
該組的成員可修改 Active Directory 架構(gòu)�。默認情況下����,Administrator 帳戶是該組的成員。由于該組在林中有重要的作用����,因此在添加用戶時要特別謹慎��。
沒有默認的用戶權(quán)限�����。
7活動目錄AD的利用組策略分發(fā)軟件
實現(xiàn)組策略軟件部署的第一步是獲取以ZAP或MSI為擴展名的安裝文件包�。
MSI安裝文件包是微軟專門為軟件部署而開發(fā)的�����。這兩個文件有些軟件的安裝程序會直接提供��,有些軟件的安裝程序是不提供的����。對于不提供MSI文件的軟件我們可以使用一個叫WinINSTALL LE的打包工具來創(chuàng)建���,通過使用它可以將一些沒有提供MSI文件的軟件打包生成MSI文件以便于實現(xiàn)組策略軟件布署�����。WinINSTALLLE工具我們可以從Windows 2000安裝光盤的\VALUEADD\3RDPARTY\MGMT目錄下找到�����,但該軟件實際使用的效果并不是很理想�,推薦有條件的朋友使用它的升級版本 WinINSTALL LE2003。軟件界面如圖1��?�?梢栽?A href="http://www./">http://www./下載獲得����。
二、創(chuàng)建軟件分發(fā)點
實現(xiàn)組策略軟件部署的第二步是必須在網(wǎng)絡(luò)上創(chuàng)建一個軟件分發(fā)點���。
軟件分發(fā)點就是包含MSI包文件的共享文件夾��。即在文件服務(wù)器上創(chuàng)建一個共享的文件夾��,在這個文件夾的下面��,再創(chuàng)建要部署軟件的子目錄�����,然后將MSI包文件及所有需要的安裝源文件放于其中�����。再給共享文件夾設(shè)置相應(yīng)的權(quán)限����,使用戶具有只讀的權(quán)限即可。如果擔心某些用戶非法瀏覽分發(fā)點中的的內(nèi)容��,可以使用隱藏共享文件夾���,即在共享名字后加$符號�。
三����、創(chuàng)建組策略對象
實現(xiàn)組策略軟件部署第三步是要創(chuàng)建相對應(yīng)的組策略對象。
軟件部署是依靠AD中的組策略來設(shè)置的��,所以我們必須要創(chuàng)建一個用以分發(fā)軟件程序包的組策略對象 (GPO)�����,或者是修改一個已經(jīng)存在的GPO并在其中添加軟件部署的設(shè)置��。在配置GPO時我們需要考慮分析網(wǎng)絡(luò)中哪些人需要的軟件是一樣的��,哪些人需要的軟件是不一樣的�����,或者是哪些部門需要什么軟件�,然后做一個規(guī)劃,從而決定GPO的創(chuàng)建位置�����,一般情況下我們是在容器OU上創(chuàng)建或者修改GPO�。配置如下:
1. 在管理工具中啟動“Active Directory 用戶和計算機”管理單元。
2. 在控制臺樹中�,右鍵單擊要分發(fā)軟件的OU,然后單擊“屬性”選擇“組策略”選項卡��,然后單擊新建來創(chuàng)建一個組策略����。
3. 鍵入希望使用的組策略名稱,例如“Office2000分發(fā)”���,然后回車�。
4. 選中剛才新建的組策略�����,單擊下面“編輯”進入組策略編輯狀態(tài)。
5. 根據(jù)軟件是部署給用戶還是計算機�,在相應(yīng)的“用戶配置”或“計算機配置”中進行設(shè)置。
軟件部署有兩種類型��,分別為已發(fā)行和已指派
已發(fā)行軟件部署方法
需要注意的是已發(fā)行的方法只能部署到用戶��,不能部署到計算機上����,也就是說只有組策略中的用戶配置可以使用這種部署方法。已發(fā)行軟件部署方法可以保證:
1. 當用戶登錄計算機時���,軟件并不會自動安裝�,只有當用戶雙擊與應(yīng)用程序關(guān)聯(lián)的文件時�����,軟件才會自動安裝��。如我們雙擊一個ppt文檔或doc文檔時��,會自動安裝OFFICE���。
2. 對于發(fā)行的軟件�����,用戶可以在控制面板中的“添加/刪除”中安裝或者刪除��,也就是說用戶自己可以安裝����,也可以卸載���。
這種部署方法的好處在于��,對于一些不能確定使用用戶的軟件�����,可以以發(fā)行方法部署���,是否安裝由用戶自已決定。
配置方法如下:
1. 右擊“用戶配置”中的“軟件安裝”��,選擇“新建”����,然后單擊“程序包”�����。在“打開對話框”中選定”軟件分發(fā)點”中的MSI包文件����,然后單擊“打開”����。
2. 在選擇部署方法中,選定“已發(fā)行”���。
4.2 已指派軟件部署方法
已指派的方法可以將軟件部署給用戶和計算機���,也就是說組策略中的用戶策略與計算機策略都可以使用這種部署方法。這一點需要與發(fā)行方法區(qū)別開���。
當我們使用此方法將軟件指派給用戶時可以保證:
1.軟件對用戶總是可用的����,不管用戶從哪一臺計算機登陸,軟件都將會在開始菜單或桌面上出現(xiàn)��,但這時軟件并沒有被安裝�����,只有在用戶雙擊應(yīng)用程序圖標或與應(yīng)用程序關(guān)聯(lián)的文件時�����,軟件才會被安裝����。
2. 如果用戶刪除了安裝的軟件�,哪么當用戶下次登錄時軟件還會出現(xiàn)在開始菜單或是桌面上,并在用戶雙擊關(guān)聯(lián)文件時被激活安裝���。
這種部署的好處在于���,對于一些不常用的,但某些人卻必須要使用的軟件我們沒有必要在每臺計算機都安裝��,只要指派給需要的用戶����,不管這個用戶在哪臺計算機上操作���,都能保證要使用的軟件是可用的。
方法如下:
1. 右擊“用戶配置”中的“軟件安裝”��,選擇“新建”���,然后單擊“程序包”�。在“打開對話框”中選定”軟件分發(fā)點”中的MSI包文件��,然后單擊“打開”�。
2. 在選擇部署方法中,選定“已指派”���。
當我們使用此方法將軟件指派給用戶時可以保證:
1. 對于被指派的計算機�����,軟件總是可用的�����,無論哪個用戶登錄都可以使用被指派的軟件���。
2. 軟件不會通過文件關(guān)聯(lián)安裝����,而是在計算機啟動時被安裝�����。
3. 用戶不能刪除被指派安裝的軟件����,只有管理員才可以��。
這種部署方法的好處在于�����,可以將一些大家都要用到的軟件指派給計算機��,被指派安裝在計算機上的軟件對于所有用戶都是可用的����。
配置方法如指派給用戶的步驟,只是將“用戶配置”改為“計算機配置”即可�����。
刪除部署的程序包
要刪除已發(fā)行或已指派的程序包,可以在軟件包上右擊選擇“所有任務(wù)”��,“刪除”�����。在彈出的對話框中選擇“立即從用戶和計算機卸載軟件”或是“允許用戶繼續(xù)使用軟件�����,但禁止新的安裝”�����,然后單擊確定�。
W2000軟件部署在域環(huán)境下可以有效的滿足用戶對軟件的各種需求,避免網(wǎng)管員為了安裝軟件而跑來跑去的奔波之苦�����。希望大家多多嘗試���,互相交流經(jīng)驗���,共同提高���。
|
