浅谈企业活动目录设计实例方案
发表时间:2009-12-01T15:02:30.623Z 来源:《中小企业管理与科技》2009年9月下旬刊供稿作者:钱春花
[导读] 本文基与活动目录如此强大的功能优势下主要分析企业活动目录设计方案,来更好的满足企业管理的需求
钱春花(苏州农业职业技术学院)
摘要:随着系统信息化工作的不断深入,人们对信息系统及应用平台的安全性、可管理性、可维护性具有更高的要求,在Windows平台下,通过采用活动目录(Active Directory,简称AD)来架构整个网络来达到用户所需,当前中小型企业为了满足公司未来的发展和企业运营的需求,迫切希望重新进行集中化的企业网络部署,提高办公效率和安全。本文结合就对活动目录的功能,结构包括逻辑结构(OU,域,域树,域森林)和物理结构(域控制器和站点)进行了探讨。
关键词:活动目录企业网络部署域控制器
0 引言
在Windows平台下,通过采用活动目录(Active Directory,简称AD)来架构整个网络来达到用户所需,比如人们通常使用活动目录来执行的管理用户帐户,管理用户权限,管理组,规划域控制器,创建和管理域间信任关系,审核策略,管理Exchange邮件用户,文件服务器等等。
本文基与活动目录如此强大的功能优势下主要分析企业活动目录设计方案,来更好的满足企业管理的需求。
1 活动目录的概念
目录是存储有关网络上对象信息的层次结构。目录服务也即活动目录(Active Directory)简称AD,是用于Windows 20030 Server的目录服务。它存储着网络上各种对象的有关信息,如用户帐户、组、打印机、共享文件夹等对像的数据库,并且提供目录数据库的存储、添加、删除、修改、查询等服务,并使该信息易于管理员和用户查找及使用。Active Directory目录服务使用结构化的数据存储作为目录信息的逻辑层次结构的基础。
通过登录验证以及目录中对象的访问控制,将安全性集成到Active Directory中。通过一次网络登录,管理员可管理整个网络中的目录数据和单位,而且获得授权的网络用户可访问网络上任何地方的资源。基于策略的管理减轻了即使是最复杂的网络的管理。
2 活动目录的特点
2.1 数据存储以层次化结构存储着与活动目录对象相关的信息,这些对象通常包括各种共享资源,如:打印机、用户、计算机、组织单位(OU)等。
2.2 通过网络分发目录数据的数据复制域中所有的域控制器(DC)都参与复制并包含他们所控制的域的所有目录信息的完整副本。对目录数据所做的任何更改都被复制到域中的所有域控制器。
2.3 定义了一套规则定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。
2.4 包含目录中每个对象信息的全局编录允许用户和管理员查找目录信息,而与目录中实际包含数据的域无关。
2.5 与网络安全登录过程的安全子系统的集成,以及对目录数据查询和数据修改的访问控制。
3 活动目录的逻辑结构
“逻辑”两个字相信大家平时见的比较多,如我们常说的“逻辑思维、逻辑分析”等,也许大家一讲到“逻辑”两个字就觉得十分抽象,难以理解。其实我们在这里所讲的“逻辑结构”,我觉得还是很好理解的,“逻辑”一般与“物理”是对等的,我们知道“物理上的”是指实实在在的,那么“逻辑上的”不就是指非物理上的,非实体的东西,它是一种抽象的东西,比如讲一种“关系”、一个“空间、范围”等。网络对象呈现给用户和管理员的方法,活动目录有目录树、域、域树、域林等,这些名字都不是实实在在的一种实体,只是代表了一种关系,一种范围,如目录树就是由同一名字空间上的目录组成,而域又是由不同的目录树组成,同理域树是由不同的域组成,域林是由多个域树组成。它们是一种完全的树状、层次结构视图,这种关系我们可以看成是一种动态关系。
4 活动目录的物理结构
活动目录中,物理结构与逻辑结构有很大的不同,它们是彼此独立的两个概念。逻辑结构侧重于网络资源的管理,而物理结构则侧重于网络的配置和优化。活动目录的物理结构主要着眼于活动目录信息的复制和用户登录网络时的性能优化。物理结构的两个重要概念是站点和域控制器,它们是针对LAN和WAN中服务器的工作方式而言的。
4.1 站点站点是由一个或多个IP子网组成,这些子网通过高速网络设备连接在一起。站点往往由企业的物理位置分布情况决定,可以依据站点结构配置活动目录的访问和复制拓扑关系,这样能使得网络更有效地连接,并且可使复制策略更合理,用户登录更快速,活动目录中的站点与域是两个完全独立的概念,一个站点中可以有多个域,多个站点也可以位于同一域中。
4.2 域控制器域控制器(DC,Domain Controller)是实际存储活动目录的地方,用来管理用户登录进程,验证和目录搜索的任务。它是指运行Windows 2003 Server版本的服务器,它保存了活动目录信息的副本。域控制器管理目录信息的变化,并把这些变化复制到同一个域中的其他域控制器上,使各域控制器上的目录信息处于同步。
5 中小型企业AD活动目录设计实例
公司简单介绍:
XX公司是北京一家网络项目集成企业。通过公司合理的运营和管理。发展迅速,员工人数已经有200人左右,且在苏州有家分公司。为了满足公司未来的发展和企业运营的需求,公司决定重新部署企业的网络。公司计划部署一个由约100台计算机组成的局域网。由于计算机较多,管理上缺乏层次。公司希望利用windows域环境管理所有的网络资源,提高办公效率。
本方案中逻辑结构采用单域,域名为https://www.doczj.com/doc/b35739856.html,,与多域结构相比,实现网络资源集中管理,并保障管理上的简单性和低成本,在域内按照部门名称划分组织单位(OU),如财务部,技术部,销售部,研发部等等。
本方案中物理结构设计成单站点,原因有两点:①优化客户端的登录。当域用户在两个不同物理位置的客户端上登录时,DNS会替客户端找本站点内的DC,这样就加快了身份验证过程;②优化AD的复制。每个DC之间要同步AD数据库,如果不划分站点,这个同步无时无刻都在进行,而且数据是不压缩的。如果划分了站点这个过程变的可控,特别是在多站点的情况下,优越性更加突出。
为保证可靠性,需要安装2台域控制器,主DC在北京,而附加DC在上海,企业管理人员不可能在上海直接安装,因为这样复制流量会
活动目录 2010年9月1号行为规范月————————————附件一2010年9月10号财经一家人————————————附件二2010年12月4号冬季越野赛————————————附件三2011年3月8号雷锋进宿舍———————————附件四2011年3月9号学雷锋、树新风、讲文明——————附件五2011年3月11号“公寓促和谐、绿色筑我家”植树活动—附件六2011年3月12号早说晚写作品展示—————————附件七2011年3月21号宿舍文化艺术节——————————附件八2011年4月11号美化校园活动———————————附件九2011年4月22号学院春季运动会——————————附件十2011年5月4号五四文艺晚会———————————附件十一2011年5月10号兵乓球赛—————————————附件十二2011年6月14号合唱比赛—————————————附件十三2011年9月1-2号迎新生————————————-_附件十四2011年9月14号新生军训————————————附件十五2011年9月21号财经一家人之曙光活动——————附件十六2011年10月20-21号学院秋季运动会————————附件十六2011年10月24号学生会竞选———————————附件十七
附件一 活动记录
附: 财经系开展“行为规范月”活动的方案 为进一步贯彻我院从严制系的精神,增强学生遵纪守法的自觉性,逐步实现由他律到自律的转变,规范自身行为,自觉遵守学院的规章 制度,培养树立良好的系风,财经系决定在9月份以2010级同学为重点,开展“行为规范月”活动,具体事宜如下: 一、活动目标 1.提高学生的文明水平,促进学生行为规范。 2.教育学生遵守公德、严于律己,养成良好的行为习惯。 3.振奋全体师生精神,使其以饱满的热情、昂扬的斗志、崭新的姿态投入到学习和工作中。 二、组织领导 为切实把活动组织好,全面推动系的学生工作上一个新台阶,成立“行为规范月”活动领导小组: 组长:李志强 副组长:钱长松张子学 成员:李东平张丽张建明傅晓玉刘明敏班主任(辅导员) 三、活动内容 “行为规范月”活动内容主要围绕“从严治系”要求,对学生的日常行为进行规范,使学生的日常行为规范化。主要内容包括:(一)开展行为规范教育 1.教室行为规范:按时上课,不迟到、不早退、尊敬师长、认真听讲,上课不睡觉、不说话、不换位。保持教室卫生,禁止“课桌文化”。. 2.宿舍行为规范:按时就寝,不影响他人休息,无彻夜不归。保持寝室卫生清洁,用品摆放整齐,无乱贴乱画,无违章用电,无吸烟赌博,无打架斗殴。“寝室文化”格调高雅。 3.就餐行为规范:遵守秩序,文明就餐,自觉排队。爱惜粮食,节约用水。
通过我前几篇文章的介绍,我想大家对活动目录的配置以及域控制器在网络中的作用已经有了一个大致的了解了。当然,我写的都是一些关于操作上的文章,至于原理性的东西建议大家自己到网上搜一下或者到书店里去买几本微软的官方教材看一下,因为原理性的东西实在是没什么好写的,要写也是抄书,会被别人以为我在骗稿费的。:)OK,那么现在大家应该知道在域构架网络中,域控制器是多么的重要,所以一台域控制器的崩溃对于网络管理员而言,无疑是一场恶梦,那么活动目录应该如何来备份和恢复呢?在这里我将详细的为大家讲一下这个问题,我们一般把活动目录的备份和恢复分成两种情况: 1、整个网络中有且仅有一台域控制器; 首先,本人并不成赞成网络中存在这种情况,也就是说网络中最好是存在两台或两台以上的域控制器,当然有些朋友可能会说:买服务器你给钱啊?我先声明:我没钱。而且现在的老板都很精哟,一般是能用就行,至于坏了怎么办?那当然是网络管理员来想办法解决了,难道白给你工资啊?所以有些网络中的确存在着只有一台域控制器的现象,那么对于这种情况,备份是必不可少的了,而且建议备份到网络上,别备份到本地计算机上,因为备份在本地的话,万一服务器的硬盘烧毁,那么你的备份也会随之而去,这样的话和没有备份没什么区别。那么,怎么备份?我们要用到Windows 2003自带的备份工具Ntbackup。点击“开始-运行”,输入:“Ntbackup”回车,也可以点击“开始-程序-附件-备份”,其实是一回事,我们就可以看到如下的画面:
点击我用箭头指出的“高级模式”:
再点击用红框标出的“备份向导(高级)”,这时会出现一个备份向导: 在这里请大家注意,直接点“取消”,这样可以进入备份工具控制器,以便有更多的可以自定义的项目:
活动目录AD规划方案 1.1. 活动目录介绍 活动目录是Windows网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。
1.2. 应用Windows 2012 Server AD的好处 Windows 2012 AD简化了管理,加强了安全性,扩展了互操作性。它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。 应用Windows 2012 AD之后,企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 2、安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。 5、使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。 6、方便用户使用各种资源。 7、SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。 8、资源共享 用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。 9、管理 A、域控制器集中管理用户对网络的访问,如登录、验证、访问目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 B、域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以访问该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法访问未登陆域服务器中的资源或无法获得未登陆域的服务。 10、可扩展性 在活动目录中,目录通过将目录组织成几个部分存储信息从而允许存储大量的对象。因此,目录可以随着组织的增长而一同扩展,允许用户从一个具有几百个对象的小的安装环境发展
中国银行活动目录方案建议书 上海赛卫思信息技术有限公司 客户服务部 2007-03-28 V1.0 上海浦东向城路15号锦城大厦11E 中国银行活动名目部署建议书 上海赛卫思信息技术有限公司客户服务部
讲明 本文档中所包含的内容是上海赛卫思信息技术有限公司为中国银行提供的活动名目部署方案,其中可能用到了赛卫思公司产品和技术的专有信息。这些信息仅在中国银行活动名目部署过程中使用,不应该被扩散到中国银行以外,同样也不应该在参考此手册的前提下,复制、使用和扩散本手册。 Microsoft Windows Server、Internet Security and Acceleration Server 200 6、Microsoft SQL Server 或其它本手册中提及的 Microsoft 产品,是Microsoft 的商标或注册商标。本文档所提到的真实的公司和产品名称可能是其各自所有者的商标。
项目概况 随着中国银行业务的扩展和IT应用的增加,爱护整个网络系统的稳固、安全、高效越来越重要。 微软是企业IT基础架构领域的技术领先者,其活动名目技术被业界广泛认可,世界财宝五百强的跨国公司大多采纳活动名目技术来提供IT基础架构服务。中国银行和微软有着良好的合作关系,在IT应用的各个领域都有专门多微软的解决方案。为利用新技术全面提升IT治理能力,决定在此次项目中全面部署基于Windows Server 2003的网络基础服务和活动名目服务。 Windows 2003 操作系统集成了IT基础架构所需要的各种网络服务,让企业来建立和治理网络、连接远程工作人员、连接分支机构同时建立兄弟单位的外部网。Windows 2003 Server在开放的平台上遵循标准的协议,它提供了增强的安全性和策略操纵,同时提升性能同时简化了系统的安装、治理和使用。 此次项目将以建立完善的网络基础服务,集中统一规划结构合理的基于Windows Server 2003活动名目为目标,赛卫思将关心中国银行建立更加大大的IT基础架构,以适应业务的高速进展。 二、项目方案 下文中将就网络基础服务、活动名目服务、远程安装服务三个方面进行详细介绍。 2.1 网络基础服务 2.1.1 背景简介 Windows Server 2003的基础的网络服务包括以下两大方面: 地址分配 地址分配即IP地址的分配和治理。
AD活动目录域信任关系图解 有时候要给学员们讲解AD活动目录域信任关系,所以特地写了这篇文章来说明信任是在域之间建立的关系。AD活动目录域信任关系就是可以使一个域中的用户由其他域中域控制器进行身份验证。 一个林中的域之间的所有 Active Directory 信任都是双向的、可传递的信任。如下图所示:域 A 信任域 B,且域 B 信任域 C,则域 C 中的用户可以访问域 A 中的资源(如果这些用户被分配了适当的权限). 只有 Domain Admins 组中的成员才能管理信任关系. 信任协议 域控制器使用两种协议之一对用户和应用程序进行身份验证:Kerberos version 5 (V5) 协议或 NTLM。Kerberos V5 协议 是 Active Directory 域中的计算机的默认协议。如果事务中的任何计算机都不支持 Kerberos V5 协议,则使用 NTLM 协议.
信任方向 单向信任: 单向信任是在两个域之间创建的单向身份验证路径。这表示在域 A 和域 B 之间的单向信任中,域 A 中的用户可以访问域 B 中的资源。但是域 B 中的用户无法访问域 A 中的资源。单向信任可以是不可传递信任,也可以是可传递信任,这取决于创建的信任类型。 双向信任: Active Directory 林中的所有域信任都是双向的、可传递的信任。创建新的子域时,系统将在新的子域和父域之间自动创建双向可传递信任。在双向信任中,域 A 信任域 B,并且域 B 信任域 A。这表示可以在两个域之间双向传递身份验证请求。双向关系可以是不可传递的,也可以是可传递的,这取决于所创建的信任类型。 信任类型 包括外部信任(不可传递)、快捷方式信任(可传递)、领域信任(可传递或不可传递)、林信任(可传递)。 下面以实例讲解配置两个域之间的信任关系。 域A: 域B 要求域A <—> 域B 两个域相互信任,部分用户资源互访。 配置双向信任关系:
活动目录系列之一:基本概念 目录服务可以集中实现组织、管理、控制各种用户、组、计算机、共享文件夹、打印机各种资源等。使用LDAP(端口389)轻量级目录访问协议工作,在域环境下所有用户及计算机等帐户信息均保存在一个数据库中,这个数据库位置%systemroot%\ntds\ntds.dit。 AD(活动目录)的逻辑结构包含如下组件:域/子域/树/森林/OU等。主要侧重于对网络资源的组织。 AD的物理结构包含如下组件:DC(域控制器)/site(站点)/OM(操作主机)。主要侧重于对网络资源的配置和优化。下面介绍有关几个重要的概念: 1.DN:(可辨别名称)--用来表示一个对象在AD中具体存储位置,类似于文件的绝对路径。 如:cn=user1,ou=sails, dc=blog,dc=com 该用户存在https://www.doczj.com/doc/b35739856.html,域的sails OU下,用户名为user1. cn=users (默认的容器users也以cn表示) dsadd user cn=test,ou=sails,dc=blog,dc=com 利用DN来创建用户的例子。 2.UPN(用户主名)用户名@域名,即用户登录时可以采用,如jack@https://www.doczj.com/doc/b35739856.html,,也可以更改此后缀。 修改:domain.msc后,在根右击--属性--更改UPN后缀,
然后在用户属性-帐号中选择其后缀。用户登录可以使用此UPN.但必须在用户属性里进行相应的更改(即启用此Upn 后缀) 3.SID (安全标识符)用户/组都有唯一 whoami /user 当前用户的SID whoami /all 当前用户的详细信息(包含所属组的SID)getsid \\dc1 test \\dc1 test (安装suptools) psgetsid \\dc1 test 下载工具包。 4.AD数据库的目录分区:(AD数据库虽然是一个文件,但却是以目录分区的形式组成的) schema 架构分区---森林的对象类和属性,在森林级别复制。 configuration 配置分区--所有DC的位置、site,在森林级别复制。 domain 域分区--每个域的各种对象等信息,在域级别复制。application 应用程序分区—DNS,可以自定义。 通过adsiedit.msc来查看前三个目录(事先装支持工具)5.site:在物理位置上区分,一组高速可靠的一个子网或多个子网。(管理AD复制) 优点:
IT基础架构优化活动目录设计
目录 一、域结构设计 (3) 二、站点设计 (4) 三、活动目录数据同步 (5) 四、操作主机角色设计 (6) 五、组织单元结构设计 (7) 六、组策略设计 (8) 七、权限设计 (9) 八、用户和群组 (11) 九、容灾和备份 (12)
一、域结构设计 1.域结构概述 域结构设计是活动目录中最重要,也是最基础的工作,是多种因素权衡的结果,它既要尽可能贴近用户的管理模式和组织结构,也要考虑网络情况和未来的变化. IT部门的最终目标是能够实现集中管理.对比单域结构和目录林结构: 1)集中管理整个公司的安全策略 2)集中管理整个公司的组策略 3)完全利用组织单元反映企业的管理结构 4)当公司机构重组时可以非常灵活的进行调整 5)当资源和用户需要在组织机构内迁移时可以非常灵活 6)简单的名字空间设计 7)查找AD信息时相对简单 2.域结构设计 根据公司实际环境,采用单域多站点的模式. 3.域功能级别 Windows 2008R2 4.Domain Name
二、站点设计 1.站点的概念: “站点”由一个或数个IP子网(subnet)所组成,这些子网之间是通过”高速且可靠的链接”串联起来的,子网之间的链接速度要够快,稳定且符合需要,否则,需将他分别规划为不同的站点.具体表现为: A.一个LAN之内的各个子网之间的链接都符合速度快(高于10MB)且高可靠度的要求, 可以将一个LAN规划为一个站点: B.WAN(广域网)内的各个LAN之间的链接速度一般都不快.因此WAN之中的各个LAN应 分别规划为不同的站点 2.站点的设计 A.公司总部位于深圳,各分公司分别位于: 沈阳,大连,天津,重庆,成都,云南,后续根据业 务发展还会有新的分公司 B.总部和分公司之间通过2M专线连接 根据以上信息, 站点设计参考下图:
活动目录常见故障排错工具 “兵欲善其事,必先利其器”,这句话放在网络排错上可谓是再合适不过了,如果你去问一名从事网络工程师,在平时的网络排错中最希望得到什么?我估计十有八九都会跟你说――好工具!的确,对于技术人员而言,工具就像是一款精良的武器,可以帮助你迅速掌握网络情况,找到问题的症结所在。在本文中,笔者结合平时对活动目录排错的经验,来向广大读者展示一些非常实用的工具,希望能够起到抛砖引玉,举一反三之功效。 在这里,笔者拿一个简单的活动目录域作为案例:现在有一家企业,AAA集团,为了提高企业效益和员工的生产力,该集团组建了自己的办公网络,申请了一个域名:http://aaa.ad。(在这里,笔者用虚拟的域名来做演示)。AAA集团的网络管理采用了Windows 2003活动目录域。为了方便员工间的交流和对外宣传,AAA集团还搭建了基于Exchange平台的电子邮件系统。域的规模不是很大,域控制器和Exchange邮件服务器各两台, 场景一:每周的星期一,AAA集团的IT技术工程师都要对活动目录进行常规检查,就像医生给病人做体检一样,对于工程师来说,每一次的常规检查怎样才能做到迅速、准确呢? TOOL: l 活动目录状态检测工具:DCDiag 活动目录状态检测工具DCDiag可以说是一款检查活动目录状态的必备工具,它有助于工程师方便查看现有的活动目录状态以及今后可能出现的问题,做到未雨绸缪。这款工具可以在Windows 2000/2003的安装光盘support\tools下找到。双击SUPTOOLS软件包,安装好之后,开始菜单会生成一个Command Prompt,单击打开,键入dcdiag /?先来查看一下帮助,从长长的帮助信息中我们能够感受到该命令是非常强大的。不过,在实际使用中,我们更多的还是会用dcdiag /v > c:\ad.txt来把活动目录于域的详细状态导出到一个文本文件,便于我们今后查看。(其中,/v表示详细输出,c:\ad.txt可以根据实际情况调整导出位置及文件名。)Dcdiag检测的信息相当丰富,限于文章篇幅,笔者不可能一一解释,这里笔者只解释一些经常关注的信息,请看下表: 总的说来,DCDiag是一款功能强大,高效便捷的命令行工具,微软的网站上有专门的Dcdiag Examples,有兴趣的读者可以去看一看。这里,笔者给出其链接: https://www.doczj.com/doc/b35739856.html,/technet/prodtechnol/windowsserver2003/library/TechRef/824f106c-a90b-421b-aa44-eb c1403c8b4c.mspx 信息搜集工具MPS Report 信息搜集工具MPS Report是用来搜集信息的工具,也是一款在微软历史悠久的工具。它比较适合每月(或更长时间)对域内的服务器(如Exchange、DC等)检测时使用,详尽的报告可以让你对你的服务器
活动目录解决方案 成都伊登软件技术有限公司 二〇一七年九月八日
目录 1概述 (2) 1.1背景介绍 (2) 1.2现状描述 (2) 1.3问题分析 (2) 2总体功能需求 (3) 2.1集中的组织与管理网络内的服务器及客户端 (3) 2.2 统一的数据组织与资源管理 (3) 2.3 单一登录的网络环境 (4) 2.4 集中化的软件部署与运行限制 (4) 2.5 功能强大并易于扩展的IT基础架构 (4) 3解决方案建议 (4) 3.1概念描述 (4) 3.2建设内容 (6) 3.2.1建立基础平台 (6) 3.2.2整合现有信息技术环境 (6) 3.3建设策略 (6) 4解决方案实施 (7) 4.1AD域命名和DNS的规划 (7) 4.2确定AD逻辑结构 (7) 4.3确定AD物理结构 (9) 4.4规划OU结构和组策略 (9) 4.5创建OU 以管理和委派 (10) 4.6创建OU 支持组策略 (11) 4.7应用组策略选项 (12) 4.8硬件设备选型建议 (13) 5解决方案优势 (14) 5.1为什么选择微软 (14) 5.2Windows Server 2008 R2 活动目录的优点 (14) 6服务内容 (17) 6.1可行性调查 (17) 6.2规划活动目录部署方案 (17) 6.3部署活动目录服务 (18) 6.4制订活动目录管理维护规范 (18) 6.5工程师定时上门进行活动目录日常维护 (18) 6.6处理活动目录紧急情况 (18) 6.7整理和存档资料 (19) 6.8培训系统管理员 (19) 7服务质量保证 (20) 8部分成功案例......................................................................................... 错误!未定义书签。
ad活动目录,解决方案,ppt 篇一:活动目录AD解决方案 客户现状:现在客户在各地共有4个办公点。每个点采用的是独立的域环境。现在客户希望将分散在各地的办公点连接起来,能够实现各地间的访问与共享。 一、客户方案:通过VPN技术实现网络的互联,并通过林间的信任来实现各地间的互相信任,以达到共享与访问。 客户的方案如下:拓扑图如下: 由于客户各地点域已经建立,现在需要做的如下: 1、DNS的转发: 作用:处理本地没有应答的DNS查询。 方法:每个域内的DNS服务器都需要做到其他域的DNS 转发,以便于DNS的解析。 2、信任关系的建立 作用:为了使不同域可以互相访问。 方法:在每台DC的“Active Directory域和信任关系”中建立到不同域的双向信任关系。在这里建立A,B的相互信任,B,C的相互信任,C,D的相互信任,A,D的相互信任(一但前三个相互信任形成,则第四个A,D的相互信任自动形成。) 3、 WINS服务器的安装
作用:信任域间可以通过主机名称进行访问。 方法:每个域建立独立的WINS服务器,并与其他域内的WINS服务器建立“推/拉”伙伴关系,实现域间WINS服务器的同步。各域客户端WINS服务器指向本地服务器。 说明:每个域内的DC可以承担包括AD,DNS, WINS在内的服务以节省资源。 二、单域多站点结构 方案拓扑图: 方案描述如下: 所有站点处于同一个域下,每个站点的子网不相同。在A站点建立主DC服务器,其他站点分别建立额外DC,如, , 实现方法: 1. 子网划分:分配各个站点的子网,要求子网不能够相同,比如A站点/24 B站点 /24; C站点/24; D站点/24 2. 主DC的建立:A站点域控制器集成AD与DNS服务,并且在DNS 上做转发,实现对外网的访问。在A站点建立域内主DC,DNS地址指向本地地址。 3. 额外DC的建立:首先DC
APOLLO安保系统 设计方案 目录 第一章设计依据 第二章平面布防图 第三章系统构成框图 第四章系统功能说明 1、中央管理系统 2、出入门禁控制子系统 3、防盗报警子系统 4、CCTV监控子系统 5、电梯管理子系统 第五章系统工作环境条件 第六章工程实施与质量保障 第七章设备、器材配置明细表 第八章施工图纸 第九章测试和调试说明 第十章其他文件
第一章设计依据 1、《用户设计任务书》 2、《门禁系统招标文件》 3、《防盗报警控制器通用技术条件》GB12663-90 4、《安全防范系统通用图形符号》GT/T74-94 5、《安全防范工程程序与要求》GT/T75-94 6、《智能化建筑设计标准》DBJ08-47-95 7、《高层民用建筑设计防火规范》JGJ/T 16-92 8、《民用建筑电气设计规范》(JGJ/T16—92)。 9、《电气装置安装工程施工及验收规范》(G8J32—82)。 10、《安 全防范工程费用概预算编制办法》GT/T70-94 11、《不间断电源设备》 12、《建筑设计防火规范》 第二章平面布防图 见文件??平面布防图一、二、三。 第三章系统构成框图 见文件??系统构成框图一、二、三 门禁控制系统由三级数据存储来确保系统的可靠性。数据库作为主存储有全部数据(一级)。每个主控制器存储系统相关部分的数据:卡,事件,通行级别,时间区域,假日,如果/然后联动等等(二极)。如主控器实效,所有主控器都可继续保持全部的运行功能。每个门控器存储系统所有与其相关数据:卡,事件,通行级别,事件区域,假日,如果/然后联动等等。(三级)。如主控器实效,所有门控器将继续保持其全部运行功能。
企业活动AD域控规划方案活动目录介绍 活动目录是Windows 2003网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.1. 应用Windows 2003 Server AD的好处 Windows 2003 Server是微软最新推出的网络操作系统服务器,它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2003 Server的好处如下表所示: 优势描述 可靠性Windows Server 2003 是迄今为止最快、最可靠和最安全的Windows 服务器操作系统。 ●提供集成结构,用于帮助您确保商业信息的安全性。 ●提供可靠性、实用性和可伸缩性,使您可以提供用户需要的网络结构。
XXXX集团 活动目录规划方案
目录 1. 前言 (3) 2. 活动目录规划 (3) 2.1. 活动目录介绍 (3) 2.2. 应用 Windows 2003 Server AD 的好处 (4) 2.3. 明确系统规划目标 (7) 2.4. 活动目录设计方案 (8) 3. 用户关心问题解答 (9) 3.1. 活动目录优势 (9) 3.2. 重要组策略介绍 (11) 3.3. 计算机从工作组加入到域可能存在的问题和解决方法 (15) 4. 活动目录方案实施 (16) 4.1. AD 域命名和 DNS 的规划 (16) 4.2. 确定 AD 逻辑结构 (16) 4.3. 确定 AD 物理结构 (17) 4.4. 规划 OU 结构和组策略 (18) 4.5. 创建OU 以管理和委派 (19) 4.6. 创建OU 支持组策略 (19) 4.7. 应用组策略选项 (20) 4.8. 硬件设备选型建议 (21) 5. 活动目录服务内容 (22) 5.1. 可行性调查 (22) 5.2. 规划活动目录部署方案 (22) 5.3. 部署活动目录服务 (22) 5.4. 制订活动目录管理维护规范 (23) 5.5. 工程师定时上门进行活动目录日常维护 (23) 5.6. 处理活动目录紧急情况 (23) 5.7. 整理和存档资料 (24) 5.8. 培训系统管理员 (24) 6. 服务质量保证 (25) 7. 部分成功案例 (28)
1.前言 本文档是张家港保税区金凯迪电脑贸易有限公司结合自身长期为客户提供全面的 IT 顾问咨询服务和应用解决方案积累起来的丰富经验,为企业规划 Windows 2003 AD 企业目录服务的解决方案建议。 由于计算机安全和管理的需要,IT 部门计划部署活动目录,希望所有的计算机分阶段加入到域,通过活动目录加强计算机安全和桌面管理,并为进一步部署 Exchange、SMS 等微软产品打下坚实的基础架构。 方案包括以下组成部分: 活动目录整体规划 用户关心问题解答 活动目录方案实施 活动目录服务项目 服务质量保证 2.活动目录规划 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如 Exchange 等具有举足轻重和决定性的重要意义。 2.1. 活动目录介绍 活动目录是 Windows 2003 网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
AD域部署方案 一、综述: 活动目录(AD)为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。 二、客户题: 客户方随着企业规模扩大,办公电脑数量增多,员工数量增加,随之而来就是管理题的突显;各种软件的安装,网上冲浪,聊天工具的使用;都对公司的正常业务带来影响; 三、解决方案的架构: 1、公司采用单域单站点管理模式,建设AD与BAD,即主域控器与备份域控制器,在其下面采用U(组织单元)的模式进行集中管理各部门人员与电脑。此种管理模式,成本降低,且减少管理复杂度和维护量。 2、AD(主域控制器):公司所有权限管理,用户建立以及各种策略、软件等的管理及实施到每台电脑。 3、BAD(备份域控制器):采用与AD完全相同的设置,继承AD上的所有管理资料,防止AD出现故障后,公司电脑无法登陆AD和使用网络资源,在BAD服务器上,建立资源共享件夹,即Fileserver,进行公司种件的共享和使用,将BAD 服务器做成WSUS服务器(indos补丁服务器),管理公司所有电脑的补丁的下载与提供安装的服务,如有需要还可集成SASERVER服务器,进行公司网络的管控(上外网的的控制)。 四、解决方案的优势: 1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。 n域控制器集中管理用户对网络的,如登录、验证、目录和共享资源。为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。 n域的实施通过提供对网络上所有对象的单点管理进一步简化了管理。因为域控制器提供了对网络上所有资源的单点登录,管理远可以登录到一台计算机来管理网络中任何计算机上的管理对象。在NT网络中,当用户一次登陆一个域服务器后,就可以该域中已经开放的全部资源,而无需对同一域进行多次登陆。但在需要共享不同域中的服务时,对每个域都必须要登陆一次,否则无法未登陆域服务器中的资源或无法获得未登陆域的服务。 2、安全性高,有利于企业的一些保密资料的管理,比如一个件只能让某一个人看,或者指定人员可以看,但不可以删改移等。 3、方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。 4、很多服务必须建立在域环境中,对管理员来说有好处统一管理,方便在S 软件方面集成,如SAEXCHANGE(邮件服务器)、SASERVER(上网的各种设置与管理)等。 5、使用漫游账户和件夹重定向技术,个人账户的工作件及数据等可以存储
XXX公司 活动目录规划方案文档信息:
目录 ----------------------------------------------------------------------------------------- 第一章项目概述 (3) 1.系统目标 (3) 第二章基础服务规划 (3) 1.核心基础结构服务 (4) 2.辅助服务 (5) 3.W INDOWS S ERVER 基础服务 (7) 4.DNS名称解析 (7) 5.关键服务推荐布局 (9) 第三章活动目录设计 (9) 1.A CTIVE D IRECTORY基本概念 (9) 2.安全、统一的目录服务机制 (10) 3.严格、周密的客户端桌面管理 (10) 4.系统实现 (11) ●域结构 (11) ●站点设计 (12) ●AD FSMO主机角色设计 (12) ●组织单元结构 (13) ●委派管理 (14) ●账号和口令管理 (15) 5.客户端管理 (17) ●本地用户和组介绍 (17) ●默认安全设置(Administrators 组、Power Users 组、Users 组) (18) 6.实现功能描述 (20) ●主要功能实现 (20) ●组策略功能实现 (21) 7.灾难恢复考虑 (22) 第四章文件服务的规划 (22) 第五章物理实现 (24)
第一章项目概述 1. 系统目标 此次我们系统建设的目标为: 1) 提供一个安全、高效、灵活的企业级操作系统平台,为整个企业的IT应用奠定坚实基础。 2) XXX 3) XXXX 4)XXXX 第二章基础服务规划 通常一个企业的IT 环境从一个简单的IT 服务开始,这个服务一般旨在满足特定的当前业务需要,例如传真、电子邮件、业务应用程序或办公室的远程连接。随着时间的推移,由于新需求的出现,新的IT 服务会无规划的添加到这个环境中。这样创建的IT 环境在技术上种类烦杂、难以支持和运行,并且难以使用,因此给IT 管理人员和最终用户都带来额外的负担。 采用具有标准化IT 基础结构的IT 环境,这是一种运用IT 为企业创造价值的具有成本效益的方法。我们的方案将帮助中小企业构建此类IT 环境。采用此解决方案中提供的指南能带来下列好处: ●经过测试的可靠文档:此解决方案已经由微软及合作伙伴进行了测试,并且通过了大量客户部署的检验。
深圳市XXX电子有限公司活动目录规划方案 文档信息: 作者: Toretto QQ:84621087
目录 第一章项目概述 1.系统目标 第二章基础服务规划 1.核心基础结构服务 2.辅助服务 3.WINDOWS SERVER 基础服务 4.DNS名称解析 5.关键服务推荐布局 第三章活动目录设计 1.ACTIVE DIRECTORY基本概念 2.安全、统一的目录服务机制 3.严格、周密的客户端桌面管理 4.系统实现 ●域结构 ●站点设计 ●AD FSMO主机角色设计
●组织单元结构 ●委派管理 ●账号和口令管理 5.客户端管理 ●本地用户和组介绍 ●默认安全设置(Administrators 组、Power Users 组、Users 组)6实现功能描述 ●主要功能实现 ●组策略功能实现 7灾难恢复考虑 第四章文件服务的规划 第五章物于实现
第一章项目概述 1. 系统目标 此次我们系统建设的目标为: 提供一个安全、高效、灵活的企业级操作系统平台,为整个企业的IT应用奠定坚实础。 第二章基础服务规划 通常一个企业的IT 环境仍一个简单的IT 服务开始,这个服务一般旨在满足特定的当前业务需要,例如传真、电子邮件、业务应用程序或办公室的进程连接。随着时间的推移,由于新需求的出现,新的IT 服务会无规划的添加到这个环境中。这样创建的IT 环境在技术上种类烦杂、难以支持和运行,并且难以使用,因此给IT 管理人员和最终用户都带来额外的负担。 采用具有标准化IT 基础结构的IT 环境,这是一种运用IT 为企业创造价值的具有成本效益的方法。我们的方案将帮助中小企业构建此类IT 环境。采用此解决方案中提供的指南能带来下列好处: ●经过测试的可靠文档:此解决方案已经由微软及合作伙伴进行了测试,并且通过了大量客户部署的检验. ●可预测的环境:此方案提供了众所周知的基础结构,它是根据微软支持、合作伙伴和客户的建议来构建的。这些建议来源于多年的经验教训. ●能够采用更新的技术:常问题和故障诊断使IT 与家很少有时间参加培训或学习新的技术。采用此方案能够降低IT 与家在部署新技术时的实施和操作风险,仍而节约时间,减少工作量. ●集成的解决方案:户可通过基于Microsoft Windows Server System 技术的标准化体系结构,获得可扩展的平台,使其随着业务的增长而增长。在需要时,也可实现其他IT 服务。 网络基础服务描述 企业要求IT 基础结构提供所需的服务,使得员工能够完成工作,并与客户也业务合作伙伴进行交流。所有的企业组织都需要一个核心基础结构,用来承载或支持基本服务,例如打印、文件服务、账户系统。下表列出了核心基础结构必须提供的一组服务。
AD安全优化解决方 案
AD安全优化解决方案 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如Exchange 等具有举足轻重和决定性的重要意义。 1.1. 活动目录介绍 活动目录是Windows 网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构能够有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统能够轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构能够将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构经过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也能够使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.2. 应用Windows Server AD的好处 Windows Server是微软最新推出的网络操作系统服务器,它沿用了 Windows Server 的先进技术而且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。
AD安全优化解决方案 设计一个稳定、可靠和扩展性良好的活动目录架构对一个企业网络的管理及安全具有重大意义,并对部署微软的相关产品如Exchange 等具有举足轻重和决定性的重要意义。 1.1. 活动目录介绍 活动目录是Windows 2012网络体系结构中一个基本且不可分割的部分,它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。 总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。 活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。同时,它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成,从而实现巩固目录服务并简化对整个网络操作系统的管理。公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。活动目录因此使现有网络投资升值,同时,降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。 活动目录是微软各种应用软件运行的必要和基础的条件。下图表示出活动目录成为各种应用软件的中心。 1.2. 应用Windows 2012 Server AD的好处 Windows 2012 Server是微软最新推出的网络操作系统服务器,它沿用了Windows 2000 Server 的先进技术并且使之更易于部署、管理和使用。其结果是:其高效结构有助于使您的网络成为单位的战略性资产。 应用Windows 2012 Server的好处如下表所示:
常见活动目录AD故障解决集锦 2009-11-15 13:32 A1、客户机无法加入到域? 一、权限问题。 要想把一台计算机加入到域,必须得以这台计算机上的本地管理员(默认为administrator)身份登录,保证对这台计算机有管理控制权限。普通用户登录进来,更改按钮为灰色不可用。并按照提示输入一个域用户帐号或域管理员帐号,保证能在域内为这台计算机创建一个计算机帐号。 二、不是说“在2000/03域中,默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。”吗?这时如何在这台计算机上登录到域呀! 显然这位网管误解了这名话的意思,此时计算机尚未加入到域,当然无法登录到域。也有人有办法,在本地上建了一个与域用户同名同口令的用户,结果可想而知。这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号,但你想把一台计算机加入到域,首先你得对这台计算机的管理权限才行。再有就是当你加第11台新计算机帐号时,会有出错提示,此时可在组策略中,将帐号复位,或干脆删了再新建一个域用户帐号,如joindomain。注意:域管理员不受10台的限制。 三、用同一个普通域帐户加计算机到域,有时没问题,有时却出现“拒绝访问”提示。 这个问题的产生是由于AD已有同名计算机帐户,这通常是由于非正常脱离域,计算机帐户没有被自动禁用或 手动删除,而普通域帐户无权覆盖而产生的。解决办法:1、手动在AD中删除该计算机帐户;2、改用管理员帐户 将计算机加入到域;3、在最初预建帐户时就指明可加入域的用户。 四、域xxx不是AD域,或用于域的AD域控制器无法联系上。 在2000/03域中,2000及以上客户机主要靠DNS来查找域控制器,获得DC的IP 地址,然后开始进行网络身份 验证。DNS不可用时,也可以利用浏览服务,但会比较慢。2000以前老版本计算机,不能利用DNS来定位DC,只能 利用浏览服务、WINS、lmhosts文件来定位DC。所以加入域时,为了能找到DC,应首先将客户机TCP/IP配置中所配 的DNS服务器,指向DC所用的DNS服务器。 加入域时,如果输入的域名为FQDN格式,形如https://www.doczj.com/doc/b35739856.html,,必须利用DNS中的SRV记录来找到DC,如果客户机的 DNS指的不对,就无法加入到域,出错提示为“域xxx不是AD域,或用于域的AD域控制器无法联系上。”2000及以 上版本的计算机跨子网(路由)加入域时,也就是说,加入域的计算机是2000及以上,且与DC不在同一子网时, 应该用此方法。 加入域时,如果输入的域名为NetBIOS格式,如mcse,也可以利用浏览服务(广播方式)直接找到DC,但浏览 服务不是一个完善的服务,经常会不好使。而且这样虽然也可以把计算机加入到域,但在加入域和以后登录时,