1.客户端xp添加不了到myad.com,要不就是dns没有设置正确,要不就是services.msc服务中没有开启TCP/IP NetBIOS Helper.
2.ou是组织单元的简称,为了方便管理类似属性用户而设置的一个群体,类似组域指的是一个范围,由一个域加上子域构成树,多个树就够成了域林 容器指的是存储的空间,和传统的容器一个意思,只是抽象了点而已。
3.建立ou技术部里面可以添加计算机,联系人,组,组织单位,打印机,用户,共享文件夹等。点击ou属性可以添加组策略。
4.委派的用户帐户跟组里的用户帐户没什么关系,都是用户帐户。用户帐户是给用户使用电脑时登录电脑用的凭证,用户帐户加入用户组可以方便给大量用户帐户赋权限,OU是存放用户帐户等AD对象的容器。domain users的权限一般不用改。OU的委派管理一般是让一个非管理员帐户具有管理某OU下的AD对象的权限,委派什么权限要按实际的需求去做,不好说一般委派什么权限。如有一个市场部的OU,存放所有市场部的AD对象,现在想让市场部经理去管理市场部的所有用户帐户,就可以委派给市场部经理的用户帐户有管理该OU用户帐户的权限,市场部经理就可以给新员工创建用户帐户,给老员工改密码等等
5.Builtin”容器中的组
组 描述 默认用户权限
Account Operators
该组的成员可以创建、修改和删除位于“Users”或“Computers”容器中的用户、组和计算机的帐户以及该域中的组织单位,但“Domain Controllers”组织单位除外。该组的成员无权修改 Administrators 或 Domain Admins 组,也无权修改这些组的成员的帐户。该组的成员可本地登录到该域的域控制器中,并可将其关闭。由于该组在此域中有重要的作用,因此在添加用户时要特别谨慎。
允许本地登录;关闭系统。
Administrators
该组的成员具有对域中所有域控制器的完全控制。默认情况下,Domain Admins 和 Enterprise Admins 组是 Administrators 组的成员。Administrator 帐户也是默认成员。由于该组在此域中具有完全控制权限,因此在添加用户时要特别谨慎。
从网络上访问该计算机;调整进程的 内存配额;备份文件和目录;跳过遍历检查;更改系统时间;创建页面文件;调试程序;为委派启用受信任的计算机和用户帐户;从远程系统强行关机;提高调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审核和安全日志;修改固件环境值;简述单个进程;简述系统性能;从插接站删除计算机;还原文件和目录;关闭系统;获得文件或其他对象的所有权。
Backup Operators
该组的成员可备份和还原该域中域控制器上的所有文件,而不用考虑其各自对这些文件的权限。Backup Operators 还可以登录到域控制器并将其关闭。该组没有默认的成员。由于该组对域控制器有重要作用,因此在添加用户时要特别谨慎。
备份文件和目录;允许本地登录;还原文件和目录;关闭系统。
Guests
默认情况下,Domain Guests 组是该组的成员。Guest 帐户(默认情况下禁用此帐户)也是该组的默认成员。
没有默认的用户权限。
Incoming Forest Trust Builders(仅出现在林根域中)
该组的成员可创建对林根域的单向传入林信任。例如,驻留在 A 林中的该组成员能够创建来自 B 林的单向传入林信任。该单向传入林信任允许 A 林中的用户访问位于 B 林中的资源。该组的成员在林根域上会得到“创建传入林信任”权限。该组没有默认的成员。有关创建林信任的详细信息,请参阅创建林信任 。
没有默认的用户权限。
Network Configuration Operators
该组的成员可更改 TCP/IP 设置并续订和发布该域中域控制器上的 TCP/IP 地址。该组没有默认的成员。
没有默认的用户权限。
Performance Monitor Users
该组的成员可在本地或从远程客户端监视该域中域控制器上的性能计数器,不必成为 Administrators 或 Performance Log Users 组的成员。
没有默认的用户权限。
Performance Log Users
该组的成员可在本地或从远程客户端管理该域中域控制器上的性能计数器、日志和警报,不必成为 Administrators 组的成员。
没有默认的用户权限。
Pre-windows 2000 Compatible Access
该组的成员具有对该域中所有用户和组的读取访问权限。该组向后兼容运行 windows NT 4.0 及更低版本的计算机。默认情况下,特殊的 Everyone 标识是该组的成员。有关特殊标识的详细信息,请参阅特殊标识 。仅当用户在运行 windows NT 4.0 或更低版本时,将其添加到该组中。
从网络访问此计算机;跳过遍历检查。
Print Operators
该组的成员可管理、创建、共享和删除连接到该域中域控制器上的打印机。它们可以管理该域中的 Active Directory 打印机对象。该组的成员可本地登录到该域的域控制器中,并可将其关闭。该组没有默认的成员。由于该组的成员可在该域的所有域控制器上加载和卸载设备驱动程序,因此在添加用户时要特别谨慎。
允许本地登录;关闭系统。
Remote Desktop Users
该组的成员可远程登录到该域的域控制器。该组没有默认的成员。
没有默认的用户权限。
Replicator
该组支持目录复制功能,并由该域的域控制器上的“文件复制”服务使用。该组没有默认的成员。不向该组添加用户。
没有默认的用户权限。
Server Operators
在域控制器上,该组的成员可进行交互式登录、创建和删除共享资源、启动和停止某些服务、备份和还原文件、格式化硬盘,以及关闭计算机。该组没有默认的成员。由于该组对域控制器有重要作用,因此在添加用户时要特别谨慎。
备份文件和目录;更改系统时间;从远程系统强行关机;允许本地登录;还原文件和目录;关闭系统。
用户
该组的成员可执行大部分常见任务,如运行应用程序、使用本地和网络打印机,以及锁定服务器。默认情况下,Domain Users 组、Authenticated Users 或 Interactive 都是该组的成员。因此,域中创建的任意用户帐户均为该组成员。
没有默认的用户
6.Users 容器中的组
组 描述 默认用户权限
证书发行者
该组的成员获准为用户和计算机发行证书。该组没有默认的成员。
没有默认的用户权限。
DnsAdmins(随 DNS 安装)
该组的成员具有对 DNS Server 服务的管理访问权限。该组没有默认的成员。
没有默认的用户权限。
DnsUpdateProxy(随 DNS 安装)
该组的成员是可代表其他客户端(如 DHCP 服务器)执行动态更新的 DNS 客户端。该组没有默认的成员。
没有默认的用户权限。
Domain Admins
该组的成员具有对该域的完全控制权。默认情况下,该组是加入到该域中的所有域控制器、所有域工作站和所有域成员服务器上的 Administrators 组的成员。默认情况下,Administrator 帐户是该组的成员。由于该组在此域中具有完全控制权限,因此在添加用户时要特别谨慎。
从 网络上访问该计算机;调整进程的内存配额;备份文件和目录;跳过遍历检查;更改系统时间;创建页面文件;调试程序;为委派启用受信任的计算机和用户帐户;从远程系统强行关机;提高调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审核和安全日志;修改固件环境值;简述单个进程;简述系统性能;从插接站删除计算机;还原文件和目录;关闭系统;获得文件或其他对象的所有权。
域计算机
该组包含加入到此域的所有工作站和服务器。默认情况下,创建的任何计算机帐户都会自动成为该组的成员。
没有默认的用户权限。
域控制器
该组包含此域中的所有域控制器。
没有默认的用户权限。
Domain Guests
该组包含所有域来宾。
没有默认的用户权限。
Domain Users
该组包含所有域用户。默认情况下,此域中创建的任何用户帐户都会自动成为该组的成员。可以使用该组来表示此域中的所有用户。例如,如果想要所有域用户具有对打印机的访问权限,可将打印机的访问权限指派给该组(或者将 Domain Users 组添加到打印机服务器上某个具有打印机访问权限的本地组中)。
没有默认的用户权限。
Enterprise Admins(仅出现在林根域中)
该组的成员具有对林中所有域的完全控制权限。默认情况下,该组是林中所有域控制器上 Administrators 组的成员。默认情况下,Administrator 帐户是该组的成员。由于该组在林中具有完全控制权限,因此在添加用户时要特别谨慎。
从 网络上访问该计算机;调整进程的内存配额;备份文件和目录;跳过遍历检查;更改系统时间;创建页面文件;调试程序;为委派启用受信任的计算机和用户帐户;从远程系统强行关机;提高调度优先级;加载和卸载设备驱动程序;允许本地登录;管理审核和安全日志;修改固件环境值;简述单个进程;简述系统性能;从插接站删除计算机;还原文件和目录;关闭系统;获得文件或其他对象的所有权。
Group Policy Creator Owners
该组的成员可修改此域中的组策略。默认情况下,Administrator 帐户是该组的成员。由于该组在此域中有重要的作用,因此在添加用户时要特别谨慎。
没有默认的用户权限。
IIS_WPG(随 IIS 安装)
IIS_WPG 组是 Internet 信息服务 (IIS) 6.0 工作进程组。在 IIS 6.0 的工作范围内存在服务于特定命名空间的工作进程。例如,www.microsoft.com 是由一个工作进程提供的命名空间,可在添加到 IIS_WPG 组的某个标识(如 MicrosoftAccount)下运行。该组没有默认的成员。
没有默认的用户权限。
RAS 和 IAS 服务器
该组中的服务器获准访问用户的远程访问属性。
没有默认的用户权限。
Schema Admins(仅出现在林根域中)
该组的成员可修改 Active Directory 架构。默认情况下,Administrator 帐户是该组的成员。由于该组在林中有重要的作用,因此在添加用户时要特别谨慎。
没有默认的用户权限。
7活动目录AD的利用组策略分发软件
实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。
MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供,有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建,通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到,但该软件实际使用的效果并不是很理想,推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在http://www.ondemandsoftware.com/下载获得。
二、创建软件分发点
实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。
软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹,在这个文件夹的下面,再创建要部署软件的子目录,然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限,使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容,可以使用隐藏共享文件夹,即在共享名字后加$符号。
三、创建组策略对象
实现组策略软件部署第三步是要创建相对应的组策略对象。
软件部署是依靠AD中的组策略来设置的,所以我们必须要创建一个用以分发软件程序包的组策略对象 (GPO),或者是修改一个已经存在的GPO并在其中添加软件部署的设置。在配置GPO时我们需要考虑分析网络中哪些人需要的软件是一样的,哪些人需要的软件是不一样的,或者是哪些部门需要什么软件,然后做一个规划,从而决定GPO的创建位置,一般情况下我们是在容器OU上创建或者修改GPO。配置如下:
1. 在管理工具中启动“Active Directory 用户和计算机”管理单元。
2. 在控制台树中,右键单击要分发软件的OU,然后单击“属性”选择“组策略”选项卡,然后单击新建来创建一个组策略。
3. 键入希望使用的组策略名称,例如“Office2000分发”,然后回车。
4. 选中刚才新建的组策略,单击下面“编辑”进入组策略编辑状态。
5. 根据软件是部署给用户还是计算机,在相应的“用户配置”或“计算机配置”中进行设置。
软件部署有两种类型,分别为已发行和已指派
已发行软件部署方法
需要注意的是已发行的方法只能部署到用户,不能部署到计算机上,也就是说只有组策略中的用户配置可以使用这种部署方法。已发行软件部署方法可以保证:
1. 当用户登录计算机时,软件并不会自动安装,只有当用户双击与应用程序关联的文件时,软件才会自动安装。如我们双击一个ppt文档或doc文档时,会自动安装OFFICE。
2. 对于发行的软件,用户可以在控制面板中的“添加/删除”中安装或者删除,也就是说用户自己可以安装,也可以卸载。
这种部署方法的好处在于,对于一些不能确定使用用户的软件,可以以发行方法部署,是否安装由用户自已决定。
配置方法如下:
1. 右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定”软件分发点”中的MSI包文件,然后单击“打开”。
2. 在选择部署方法中,选定“已发行”。
4.2 已指派软件部署方法
已指派的方法可以将软件部署给用户和计算机,也就是说组策略中的用户策略与计算机策略都可以使用这种部署方法。这一点需要与发行方法区别开。
当我们使用此方法将软件指派给用户时可以保证:
1.软件对用户总是可用的,不管用户从哪一台计算机登陆,软件都将会在开始菜单或桌面上出现,但这时软件并没有被安装,只有在用户双击应用程序图标或与应用程序关联的文件时,软件才会被安装。
2. 如果用户删除了安装的软件,哪么当用户下次登录时软件还会出现在开始菜单或是桌面上,并在用户双击关联文件时被激活安装。
这种部署的好处在于,对于一些不常用的,但某些人却必须要使用的软件我们没有必要在每台计算机都安装,只要指派给需要的用户,不管这个用户在哪台计算机上操作,都能保证要使用的软件是可用的。
方法如下:
1. 右击“用户配置”中的“软件安装”,选择“新建”,然后单击“程序包”。在“打开对话框”中选定”软件分发点”中的MSI包文件,然后单击“打开”。
2. 在选择部署方法中,选定“已指派”。
当我们使用此方法将软件指派给用户时可以保证:
1. 对于被指派的计算机,软件总是可用的,无论哪个用户登录都可以使用被指派的软件。
2. 软件不会通过文件关联安装,而是在计算机启动时被安装。
3. 用户不能删除被指派安装的软件,只有管理员才可以。
这种部署方法的好处在于,可以将一些大家都要用到的软件指派给计算机,被指派安装在计算机上的软件对于所有用户都是可用的。
配置方法如指派给用户的步骤,只是将“用户配置”改为“计算机配置”即可。
删除部署的程序包
要删除已发行或已指派的程序包,可以在软件包上右击选择“所有任务”,“删除”。在弹出的对话框中选择“立即从用户和计算机卸载软件”或是“允许用户继续使用软件,但禁止新的安装”,然后单击确定。
W2000软件部署在域环境下可以有效的满足用户对软件的各种需求,避免网管员为了安装软件而跑来跑去的奔波之苦。希望大家多多尝试,互相交流经验,共同提高。
本文转自zh888 51CTO博客,原文链接:http://blog.51cto.com/zh888/407713,如需转载请自行联系原作者