下载文档原格式
AD域服务器配置使用手册目录•简介•安装AD域服务器•配置AD域服务器•使用AD域服务器•常见问题与解决方案简介Active Directory(简称AD)是由微软公司开发的一种目录服务,用于管理和组织网络中的用户、计算机、应用程序等资源。
AD域服务器是一个核心组件,用于集中管理和分发资源,提供统一的身份验证和访问控制。
本文档将指导您进行AD域服务器的安装、配置和使用,以便在企业网络中实现集中管理和统一认证。
在安装AD域服务器之前,您需要确保以下条件已满足:•一台运行Windows Server操作系统的服务器•具有管理员权限的帐户•确保网络连接正常按照以下步骤进行AD域服务器的安装:1.在服务器上运行Windows Server安装程序。
2.选择“自定义安装”选项,并选择“域控制器”角色。
3.指定域的名称,并设置管理员密码。
4.安装必要的依赖项和组件。
5.完成安装过程。
安装完成后,您需要进行AD域服务器的配置,以满足特定的网络需求。
以下是一些常见的AD域服务器配置任务:•添加组织单位(OU)和用户组:用于组织和管理用户和计算机资源。
•配置组策略:通过组策略设置实施安全和配置要求。
•创建用户账户和共享文件夹:用于授权和权限管理。
•配置安全认证和访问控制:用于保护网络资源免受未经授权的访问。
•配置域名服务器(DNS)和动态主机配置协议(DHCP):用于自动分配IP地址和解析域名。
您可以通过Windows Server管理工具如Active Directory用户和计算机、组策略管理等进行以上配置任务。
使用AD域服务器一旦AD域服务器配置完成,您可以开始使用其提供的功能:•用户身份验证和访问控制:用户可以使用域帐户登录到域中的任何计算机,并访问授权的资源。
•统一管理:通过AD域服务器,您可以集中管理用户、计算机和应用程序的配置和访问权限。
•自动化管理:通过组策略和脚本,可以自动化管理和配置群组策略、软件安装等。
. Windows Terminal Service 终端服务器安装配置文档一:将服务器提升为域服务器如果你的Win2003高级服务器版,没有升级到域控制器,就是nt下常说的dc。
在开始菜单的管理工具中选择“配置服务器”。
next选择“active directory”。
下一步选择“启动active directory向导”。
nextnext默认即可。
next nextnext这里指定一个dns名机子会去搜寻dns服务器,next我的输入"kelaode",你们自定。
默认得,nextnext 确定。
这里我不配置dns,根据自己的情况配置。
next 默认即可。
nextnext next这个需要一些时间。
完成。
重起。
二:用户登录1:设置策略组添加受策略控制组时注意画圈位置,必须使用“应用组策略”,否则策略不能生效右面,可以继续“添加”受此策略控制的组,该组现可管理“政治处”和“指挥处”两个组2:编辑策略组交互登录设置(1)编辑本地策略(如在“管理策略”),添加“通过终端服务容许登录”和“允许本地登录“(2)打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“(下图)(3)打开“默认域安全策略”,在下图中添加远程登录的组此时,即可已完成交互登录的设定!受策略控制组的权限设定1:Netmeeting 禁止文件发送设定2:在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定,禁用命令提示符,禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定,在“用户配置---管理模板---桌面”中如下配置控制面板设定1、完全禁用控制面板设定,将“禁止访问控制面板“起用”即可!2、控制面板部分禁用设定,不起用“禁止访问控制面板”,然后在起用“直显示指定控制面板程序”,并添加相应的程序名,只显示“键盘、鼠标和字体”等设定如下如,添加intl.cpl 为只显示“字体”,添加main.cpl为显示键盘和鼠标!设置后效果如下图:控制面板程序对照表(见最后附加表)禁止添加删除程序设定,如下图:打印机添加设定在“控制面板——打印机”中,可进行禁止用户添加、删除打印机设定,如下图Ctrl+Alt+Del设定使用Ctrl+Alt+Del时,只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定,将“注销“添加到开始菜单的设定,开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定,如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令!网络设定禁止普通用户访问Tcp/IP高级设置,禁用新建连接,禁止访问LAN连接属性等的设置文件夹重定向1.网络设定:注意DNS设定!2.重定向文件夹权限设定此处注意,最好加入Domain User的共享权限(默认为Everyone)为完全控制,否则会发生不能重定向的现象。
AD域中如何布置软件自动分发本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。
您可以通过以下方法使用组策略分发计算机程序:• 分配软件您可以将程序分发分配到用户或计算机。
如果将程序分配给一个用户,在该用户登录到计算机时就会安装此程序。
在该用户第一次运行此程序时,安装过程最终完成。
如果将程序分配给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它。
在某一用户第一次运行此程序时,安装过程最终完成。
• 发布软件您可以将一个程序分发发布给用户。
当用户登录到计算机上时,发布的程序会显示在“添加或删除程序”对话框中,并且可以从这里安装。
注意:Windows Server 2003 组策略自动程序安装要求客户端计算机运行Microsoft Windows 2000 或更高版本。
创建分发点要发布或分配计算机程序,必须在发布服务器上创建一个分发点:1. 以管理员身份登录到服务器计算机。
2. 创建一个共享网络文件夹,将您要分发的Microsoft Windows 安装程序包(.msi 文件)放入此文件夹。
3. 对该共享设置权限以允许访问此分发程序包。
4. 将该程序包复制或安装到分发点。
例如,要分发Microsoft Office XP,请运行管理员安装(setup.exe /a) 以将文件复制到分发点。
创建组策略对象要创建一个用以分发软件程序包的组策略对象(GPO),请执行以下操作: 1. 启动“Active Directory 用户和计算机”管理单元,方法是:单击“开始”,指向“管理工具”,然后单击“Active Directory 用户和计算机”。
2. 在控制台树中,右键单击您的域,然后单击“属性”。
3. 单击“组策略”选项卡,然后单击“新建”。
4. 为此新策略键入名称(例如,Office XP 分发),然后按Enter。
5. 单击“属性”,然后单击“安全”选项卡。
6. 对于您不希望应用该策略的安全组,请单击以清除与其对应的“应用组策略”复选框。
Windows Terminal Service 终端服务器安装配置文档一:将服务器提升为域服务器如果你的Win2003高级服务器版,没有升级到域控制器,就是nt 下常说的dc。
在开始菜单的管理工具中选择“配置服务器”。
next选择“active directory”。
下一步选择“启动active directory向导”。
nextnext默认即可。
nextnextnext这里指定一个dns名机子会去搜寻dns服务器,next我的输入"kelaode",你们自定。
默认得,nextnext确定。
这里我不配置dns,根据自己的情况配置。
next默认即可。
nextnextnext这个需要一些时间。
完成。
重起。
二:用户登录1:设置策略组添加受策略控制组时注意画圈位置,必须使用“应用组策略”,否则策略不能生效右面,可以继续“添加”受此策略控制的组,该组现可管理“政治处”和“指挥处”两个组2:编辑策略组交互登录设置(1)编辑本地策略(如在“管理策略”),添加“通过终端服务容许登录”和“允许本地登录“(2)打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“(下图)(3)打开“默认域安全策略”,在下图中添加远程登录的组此时,即可已完成交互登录的设定!受策略控制组的权限设定1:Netmeeting 禁止文件发送设定2:在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定“系统”中如图设定在“用户配置---管理模板---桌面”中如下配置1、完全禁用控制面板设定,将“禁止访问控制面板“起用”即可!2、控制面板部分禁用设定,不起用“禁止访问控制面板”,然后在起用“直显示指定控制面板程序”,并添加相应的程序名,只显示“键盘、鼠标和字体”等设定如下设置后效果如下图:控制面板程序对照表(见最后附加表)禁止添加删除程序设定,如下图:打印机添加设定在“控制面板——打印机”中,可进行禁止用户添加、删除打印机设定,如下图使用Ctrl+Alt+Del时,只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定,将“注销“添加到开始菜单的设定,开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定,如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令!网络设定禁止普通用户访问Tcp/IP高级设置,禁用新建连接,禁止访问LAN连接属性等的设置1. 网络设定:注意DNS设定!2. 重定向文件夹权限设定此处注意,最好加入Domain User的共享权限(默认为Everyone)为完全控制,否则会发生不能重定向的现象。
AD域服务器设置AD域服务器设置文档范本:⒈介绍⑴本文档描述了如何设置和配置AD域服务器。
⑵ AD域服务器是用于管理网络中的用户、计算机和其他资源的中心化身份认证和访问控制解决方案。
⒉准备工作⑴确认系统要求和硬件要求,包括操作系统版本、处理器和内存要求。
⑵安装并配置适当的网络连接、电源和硬盘存储。
⑶确保网络连接稳定,并且可以与其他计算机通信。
⒊安装AD域服务器⑴ AD域服务器安装文件。
⑵运行安装程序。
⑶按照安装向导的指示进行安装。
⑷配置AD域服务器的名称和域名称。
⒋配置域控制器⑴登录到AD域服务器。
⑵打开“服务器管理器”。
⑶单击“角色和功能”。
⑷单击“添加角色和功能”。
⑸选择“Active Directory域服务”。
⑹按照向导的指示进行配置。
⑺设置域管理员和域用户的账户。
⒌配置DNS服务器⑴打开“服务器管理器”。
⑵单击“工具”。
⑶单击“DNS”。
⑷添加AD域服务器的DNS记录。
⑸配置适当的DNS转发。
⑹确保DNS服务器正常运行。
⒍管理AD域服务器⑴打开“Active Directory用户和计算机”控制台。
⑵管理用户和组。
⑶管理计算机和设备。
⑷配置组策略。
⑸监控AD域服务器的性能和状态。
⑹定期备份AD域服务器数据。
⒎故障排除和维护⑴检查系统日志和事件查看器以解决问题。
⑵更新和维护AD域服务器的操作系统和安全补丁。
⑶定期检查AD域服务器的健康状态。
⑷备份和恢复AD域服务器数据。
附件:本文档没有附件。
法律名词及注释:●AD: Active Directory的缩写,是一种目录服务,用于在Windows域网络中存储和组织网络资源和用户标识。
●域控制器(Domn Controller): 运行Active Directory服务的服务器,用于认证和授权网络中的用户和计算机。
●DNS: 域名系统(Domn Name System)是一种分布式数据库,用于将域名转换为IP地址。
AD域控配置步骤1.确定服务器角色:首先需要确定一台服务器来配置AD域控。
这台服务器应具备足够的处理能力和存储空间。
2. 安装操作系统:在所选择的服务器上安装适用于AD域控的操作系统。
常用的操作系统包括Windows Server 2024、Windows Server 2024、Windows Server 2024等。
3. 安装Active Directory服务角色:打开服务器管理器,选择“添加角色和功能”,然后在“服务器角色”页面中选择“Active Directory域服务”并点击“下一步”进行安装。
4. 安装Active Directory域服务:在“服务器角色”页面中选择“Active Directory域服务”并点击“添加所需的角色服务”按钮,然后点击“下一步”继续安装。
5.配置域控名称和域名称:在“配置域控制器”页面中选择“新增一个新的森林”以创建新的域控,然后输入域控名称和域名称。
6. 选择功能级别:在“功能级别”页面中选择所需的功能级别,可选择较低的级别以支持更早期版本的Windows客户端。
7.安装ADDS必要功能:在“DNS服务器”页面中选择“安装并配置DNS服务器”以自动安装和配置所需的DNS服务器。
8.ADDS数据库路径和日志文件路径:在“数据库路径”和“日志文件路径”页面中选择合适的存储路径,这些路径应位于硬盘驱动器上,具有足够的可用空间。
9. 分配Sysvol文件夹路径:在“Sysvol文件夹”页面中选择合适的路径来存储Sysvol文件夹。
10.安装准备检查:在“安装选项”页面中进行检查,确保所需的配置信息正确无误,然后点击“安装”按钮开始安装。
11.安装ADDS:等待安装过程完成,期间可能需要重新启动服务器。
12.完成AD域控配置:一旦安装完成并成功重新启动服务器,AD域控配置就完成了。
14.配置用户和计算机账户:在AD域控配置完成后,可以通过创建和配置用户和计算机账户来实现身份认证和资源管理。
在一些大型公司企业中,IT管理员为了统一管理公司内的办公电脑,再根据网络安全相关制度要求,防止个人资料泄密等原因,会通过AD域组策略设置屏幕保护时间。
,在唤醒电脑时,需要输入登陆用户密码。
1、点击服务器任务栏左下角的开始,再点击管理工具
2、组策略管理右击default domain policy策略(或者新建GPO),在选择编辑
3、选择用户配置策略管理模板控制面板个性化
4、开启启用屏幕保护程序
5、启用带密码的屏幕保护程序
码才可以解锁。
7、开启强制使用特定的屏幕保护程序
说明:
1、屏幕保护程序,可以到网站上自行下载喜欢的样式
2、屏幕保护程序在本地存放路径为C:\Windows\System32
新一下组策略
否正确。
域账号组策略配置手册V1.0注:使用域后,原有每台机器需要配置的host文件仍需要配置,在修改ip和机器名后,请保持同步更新,以免影响应急系统的使用。
1. 域组策略配置1.1. 域控制器配置1.在域控制器上,打开Active Directory 用户和计算机进行配置2 . 新建组织单位WWIMP3.将Computers 下面属于集成平台得计算机加入到新建的组织中4. 在开始->运行中输入gpmc.msc,打开组策略管理器5. 在目录下找到刚才新建的组织WWIMP ,点击右键创建GPO6. 输入gpo名称wwgpo7. 右键点击刚才创建的GPO,选择编辑,打开组策略编辑器8. 根据下图打开安全选项组策略9. 在右边找到“用户账户控制:在管理审批模式下的提升提示行为”修改为“不提示,直接提升”10.在右边找到“用户账户控制:以管理员批准模式运行所有管理员”,将之改为“已启用”11. 关闭编辑器。
1.2. 域成员更新组策略(2008需要)1. 在域成员计算机上,开始-.>运行cmd ,进入命令窗口2. 运行命令杭gpupdate /force2. WW域用户配置2.1. Ww域用户增加1.登陆域控制器,打开打开Active Directory 用户和计算机进行配置2.选择新建用户3.增加用户wwimpuser 密码p@ssw0rd (0是数字),选择密码永不过期4. 在users 下找到该用户,右键属性,在“隶属于”选项卡中,将该用户加入到domain admins 和domain users 用户中2.2. Ww客户端配置(或者安装时)1. 双击所有程序中Wonderware下的Change Network Account2. 打开界面后能看到原来的配置,目前我们安装ww软件时都是用的wwuser,如下图3. 重新输入域名称(和现场实际相同),用户使用刚才创建的wwimpuser用户4. 点击确定,这边的提示密码会过期,不用管(我们在域中建的用户密码已经选择了永不过期),直接选择“是”4. 点击确定,重启计算机。
AD域GPO下发自动关机用户计算机配置文档一、自动关机脚本编写
打开记事本写内容如下:
@echo off
ver|find "5.0" >nul && if not errorlevel 1 goto 2k
ver|find "5.1" >nul && if not errorlevel 1 goto xp
ver|find "5.2" >nul && if not errorlevel 1 goto win2k3
ver|find "6.0" >nul && if not errorlevel 1 goto vista
ver|find "6.1" >nul && if not errorlevel 1 goto win7
goto win7
:2k
at /delete /yes
AT 18:00 /interactive /every:M,T,W,Th,F,S,Su \\AD......\scripts\自动关机.exe
exit
:xp
at /delete /yes
AT 18:00 /interactive /every:M,T,W,Th,F,S,Su \\ AD......\scripts\自动关机.exe
exit
:win2k3
exit
:vista
SCHTASKS /Delete /tn "*" /f
schtasks /create /tn 自动关机/tr "\\ AD......\scripts\自动关机.exe" /sc daily /st 18:00:00 /it /f
exit
:win7
SCHTASKS /Delete /tn "*" /f
schtasks /create /tn 自动关机/tr "\\ AD......\scripts\自动关机.exe" /sc daily /st 18:00:00 /it /f
exit
另存为*.BAT文件。
# 以上脚本是修改后的,原来的脚本只是用AT命令创建任务,通过反馈信息发现公司可能部分用户使用的是非XP系统,因此重新编制脚本进行终端用户系统判别,判断系统后由不同的命令创建任务,这样保证XP以上版本系统在运行任务时都以交互式运行。
说明
1、脚本首先判断终端用户操作系统版本,2K、XP、VISTA或WIN7建立计划任务应该使用不同的命令,否则任务无法和用户交互。
2、判断终端系统是2K、XP执行下面命令
AT /delete /yes
通过AT命令删除全部计划任务,这样是为了保证任务ID相同不重复任务
AT 18:00 /interactive /every:M,T,W,Th,F,S,Su \\ AD......\scripts\自动关机.exe
通过AT命令新建任务ID=1,参数/interactive实现交互界面,否则关机窗口不弹出,时间为18:00,周一至周日都运行,执行程序路径设置为AD域服务器共享路径。
/ interactive参数就是设置XP系统有用户交互,由于schtasks命令在XP系统版本中没有/it参数,所以使用AT命令的这个参数。
3、判断终端系统是2K3不操作EXIT直接退出。
4、判断终端系统是VISTA或WIN7执行命令(goto win7其他的未知操作系统也按这条命令执行,域用户终端最低版本一般应该是XP)
SCHTASKS /Delete /tn "*" /f
删除原来所有的计划任务
schtasks /create /tn 自动关机/tr "\\ AD......\scripts\自动关机.exe" /sc daily /st 18:00:00 /it /f
/create参数是新建任务,/tn后面是任务名称,/tr是指定要执行命令的路径,/sc设为每天,/st设置触发时间为18:00:00,/it 设置当用户登录时,这个就是设置WIN7和VISTA 系统运行任务时和用户交互,/f参数是当创建任务时任务名已经存在强制覆盖。
二、编写自动关机程序
打开VB编程软件
1、建窗体Form,插入控件command、Timer、Label、Image。
写如下代码:
Private Declare Function SetWindowPos Lib "user32" (ByVal HWnd As Long, ByVal hWndInsertAfter As Long, ByVal X As Long, ByVal Y As Long, ByVal cx As Long, ByVal cy As Long, ByVal wFlags As Long) As Long
Dim m, m1, s, s1 As Integer
Private Sub command1_click()
End
End Sub
Private Sub Form_Load()
SetWindowPos Me.HWnd, -1, 0, 0, 0, 0, 2 Or 1 #这句是为了让窗体显示在最上层,上面有函数声明。
Timer1.Interval = 1000
Label1.Caption = ""
m = 0: m1 = 3: s = 0: s1 = 0
End Sub
Private Sub Timer1_Timer()
s1 = s1 - 1
If s1 < 0 Then
s = s - 1
s1 = 9
If s < 0 Then
m1 = m1 - 1
s = 5
If m1 < 0 Then
m = m - 1
m1 = 9
End If
End If
End If
If m = 0 And m1 = 0 And s = 0 And s1 = 0 Then
Timer1.Enabled = False
Shell "cmd.exe /c shutdown -s -t 0"
End If
Label1.Caption = m & m1 & ":" & s & s1
End Sub
2、调整各控件位置,美化界面。
3、生成工程程序(自动关机.exe)。
三、GPO策略
1、新建GPO(定时关闭公司计算机)——计算机配置——Windows设置——脚本——启动脚本,浏览选择上面保存的BAT文件路径,选定文件点击确定。
也可以下发用户启动脚本
2、选定需要下发OU ,链接现有GPO策略,选择刚建立的“定时关闭公司计算机”,点确定。
至此计算机策略GPO下发,实现具有终端交互式的定时关机完成。
注意事项:GPO下发需要注意脚本及程序文件路径,文件路径尽量是域控共享路径下,必须终端用户权限访问正常。
