創(chuàng)建OU設(shè)置權(quán)限和分發(fā)安裝軟件

1、創(chuàng)建OU委派權(quán)限OU就是組織單位，能把用戶、組、計(jì)算機(jī)和其他組織單位放入其中的活動(dòng)目錄容器，OU在域控制器(DC)上創(chuàng)建，控制權(quán)限僅次于域OU和組賬戶都是活動(dòng)目錄對(duì)象，都是基于管理的目的創(chuàng)建OU中可以有用戶賬戶、組賬戶、計(jì)算機(jī)、打印機(jī)、共享文夾及子OU等對(duì)象OU是活動(dòng)目錄中最小的管理單元OU是活動(dòng)目錄和企業(yè)中最重要的組件之一，它是活動(dòng)目錄和企業(yè)的實(shí)際環(huán)境聯(lián)系的紐帶1創(chuàng)建OU創(chuàng)建OU步驟以系統(tǒng)管理員身份登錄域控制器，在開始菜單中依次單擊“管理工具” “Active Directory用戶和計(jì)算機(jī)”菜單項(xiàng)，打開“Active Directory用戶和計(jì)算機(jī)”窗口。在左窗格中用鼠標(biāo)右鍵單擊域名，并在

2、彈出的快捷菜單中依次選擇“新建” “組織單位”命令2添加用戶到OU中3給OU中的用戶賦予權(quán)限4委派高級(jí)權(quán)限將用戶添加入OU中然后。然后選取一個(gè)用戶委派權(quán)限管理OU中的成員分發(fā)軟件包為Active Directory域中的計(jì)算機(jī)或用戶安裝各種應(yīng)用軟件是網(wǎng)絡(luò)管理員的日常工作之一，而通過編輯組策略在Active Directory域中進(jìn)行“軟件部署”是迅速完成任務(wù)的理想方式。在Active Directory域中實(shí)現(xiàn)軟件部署主要取決于三個(gè)方面：Windows Installer、組策略和安裝文件本身，并且既可以為域用戶部署軟件，也可以為域成員計(jì)算機(jī)部署軟件。MSI（Microsoft Softwar

3、e Installer，微軟軟件安裝器）文件是Windows Installer能夠部署的僅有的兩種文件類型之一，Windows Installer是Microsoft企業(yè)制定的一種安裝文件標(biāo)準(zhǔn)，采用這種標(biāo)準(zhǔn)的安裝文件會(huì)采取一種所有組件彼此獨(dú)立的方式進(jìn)行打包。用戶可以對(duì)這種安裝文件進(jìn)行檢查、精簡，并可以決定將其安裝在本地或是不安裝。1以系統(tǒng)管理員身份登錄域控制器，打開“Active Directory 用戶和計(jì)算機(jī)”窗口。在左窗格中右鍵單擊域名，并選擇“屬性”命令2在打開的屬性”對(duì)話框中切換到“組策略”選項(xiàng)卡， 并單擊“新建”按鈕新建名稱為MSPY2003的策略保持MSPY2003策略的選中狀

4、態(tài)，單擊“編輯”按鈕打開“組策略編輯器”窗口。在左窗格中依次展開“用戶配置”“軟件設(shè)置”目錄，然后右鍵單擊“軟件安裝”選項(xiàng)，在彈出的快捷菜單中依次選擇“新建”“程序包”命令在“計(jì)算機(jī)配置”和“用戶配置”目錄中都包含“軟件安裝”選項(xiàng)，并且都用于在AD域中部署軟件。如果軟件要部署到AD域中的計(jì)算機(jī)中，需要在“計(jì)算機(jī)配置”目錄中進(jìn)行設(shè)置；如果軟件要部署給AD域中的用戶，則應(yīng)該在“用戶配置”目錄中設(shè)置。在Windows Server 2003（SP1）系統(tǒng)中，Windows Installer提供“發(fā)布”和“指派”兩種軟件部署方式?！鞍l(fā)布”方式不會(huì)自動(dòng)為域內(nèi)客戶安裝軟件，而是把安裝選項(xiàng)放到域用戶的“添

5、加或刪除程序”中，供用戶在需要的時(shí)候自主選擇安裝；“指派”方式則直接把軟件安裝到域成員計(jì)算機(jī)的開始菜單程序組中?！鞍l(fā)布”方式一般用于給用戶提供各種軟件工具，由用戶按需選擇安裝或不安裝；“指派”方式可用于軟件的強(qiáng)制安裝使用，用戶無權(quán)自行卸載軟件。返回“組策略編輯器”窗口，可以在右窗格中看到已經(jīng)發(fā)布的軟件名稱。關(guān)閉“租策略編輯器”窗口和“Active Directory 用戶和計(jì)算機(jī)”窗口在Active Directory域控制器中完成軟件發(fā)布操作后，在Active Directory工作站中以系統(tǒng)管理員組用戶身份登錄到Active Directory域中。打開“控制面板”窗口，雙擊“添加或刪除程

6、序”圖標(biāo)打開“添加或刪除程序”窗口。在窗口左側(cè)單擊“添加新程序”按鈕，然后在右側(cè)的“從網(wǎng)絡(luò)添加程序”列表中可以看到已經(jīng)發(fā)布的程序名稱。單擊“添加”按鈕開始安裝備份域控制器系統(tǒng)狀態(tài)數(shù)據(jù)包括注冊(cè)表,系統(tǒng)啟動(dòng)文件,類注冊(cè)數(shù)據(jù)庫,證書服務(wù)數(shù)據(jù),文件復(fù)制服務(wù),集群服務(wù),域名服務(wù)和活動(dòng)目錄8部分,通常情況下只前3部分。這8部分都不能單獨(dú)進(jìn)行備份,必須做為系統(tǒng)狀態(tài)數(shù)據(jù)的一部分進(jìn)行備份。一.備份Active Directory數(shù)據(jù) 如果一個(gè)域內(nèi)存在不止一臺(tái)DC,當(dāng)重新安裝其中的一臺(tái)DC時(shí)備份Active Directory并不是必需的,你只需要將其中的一臺(tái)DC從域中刪除,重新安裝,并使之回到域中,那么另外的D

7、C自然會(huì)將數(shù)據(jù)復(fù)制到這臺(tái)DC上。 二.Active Directory的恢復(fù) 有兩種辦法可以恢復(fù)Active Directory。 第一種是從域的其它DC上恢復(fù)數(shù)據(jù),前提是域內(nèi)必須還有一臺(tái)DC是可用的,這時(shí)當(dāng)損壞的DC重新安裝并加入到它原來的域時(shí),DC之間會(huì)自動(dòng)進(jìn)行數(shù)據(jù)復(fù)制,Active Directory隨之會(huì)恢復(fù)。 如果一個(gè)域內(nèi)剩下最后一臺(tái)DC,那就非常有必要對(duì)Active Directory進(jìn)行備份。詳細(xì)過程如下: 1."開始"菜單->"運(yùn)行",輸入"ntbackup",啟動(dòng)備份工具。 選高級(jí)模式2.在"歡迎&q

8、uot;標(biāo)簽中使用"備份向?qū)?quot;,在備份向?qū)?duì)話框選擇備份的內(nèi)容頁面中選擇"只備份系統(tǒng)狀態(tài)數(shù)據(jù)",下一步。 3.在"備份保存的位置"頁面中輸入存放備份數(shù)據(jù)的文件名,如"d:akAD0322。bkf",下一步,完成備份向?qū)?。如果要進(jìn)行一些設(shè)置,如備份完成后驗(yàn)證數(shù)據(jù),請(qǐng)使用"高級(jí)"選項(xiàng)進(jìn)行配置。 4.選擇"完成"開始備份,根據(jù)數(shù)據(jù)的多少,可能需要幾分鐘到十幾分鐘甚至更長一段時(shí)間。備份完畢系統(tǒng)會(huì)生成備份報(bào)表。開始還原了這里如果主域控制器掛掉了，那么需要重新安裝操作系統(tǒng)，這里的環(huán)境為了

9、試驗(yàn)效果，把新建的OU給刪除了，現(xiàn)在來恢復(fù)一下開機(jī)從備份介質(zhì)進(jìn)行恢復(fù)。通常情況下,對(duì)于大多數(shù)小型公司來說,整個(gè)公司只有一個(gè)域,由于資金等諸方面的限制也只有一臺(tái)DC,因此從介質(zhì)恢復(fù)Active Directory是經(jīng)常遇到的事情。 1.驗(yàn)證方式和非驗(yàn)證方式 從備份介質(zhì)進(jìn)行Active Directory恢復(fù)有兩種方式可以選擇:驗(yàn)證方式(authoritative restore)和非驗(yàn)證方式(nonauthoritative restore)。 通常情況下,Windows2000使用非驗(yàn)證方式恢復(fù):Active Directory從備份介質(zhì)中恢復(fù)以后,域內(nèi)其它的DC會(huì)在復(fù)制過程中使用新的數(shù)據(jù)覆蓋

10、舊的恢復(fù)過來的舊的數(shù)據(jù)。舉個(gè)例子,假設(shè)今天是星期五,你使用了星期三的備份對(duì)Active Directory進(jìn)行了恢復(fù),那么從星期三以來已經(jīng)更改了的數(shù)據(jù)會(huì)復(fù)制到你正在恢復(fù)Active Directory的DC上,也就是新數(shù)據(jù)會(huì)覆蓋你使用備份恢復(fù)的數(shù)據(jù)。 驗(yàn)證模式則完全不同,它會(huì)將從備份介質(zhì)恢復(fù)過來的數(shù)據(jù)強(qiáng)行復(fù)制到域內(nèi)所有的DC上,無論從備份以后數(shù)據(jù)是否發(fā)生了變化。還拿上面的例子來說,當(dāng)你在星期五使用星期三的備份恢復(fù)了Active Directory后,這些恢復(fù)過來的數(shù)據(jù)會(huì)復(fù)制到域內(nèi)所有的DC上,強(qiáng)行將備份后發(fā)生改變的所有數(shù)據(jù)覆蓋掉,域內(nèi)數(shù)據(jù)就恢復(fù)到了備份時(shí)的狀態(tài)。驗(yàn)證模式恢復(fù)Active Dir

11、ectory通常用于這種情況:Active Directory在域內(nèi)某臺(tái)DC上發(fā)生了嚴(yán)重的錯(cuò)誤,而且這種錯(cuò)誤通過復(fù)制擴(kuò)散到了域內(nèi)的其它DC上,這時(shí)就需要在某臺(tái)DC上使用驗(yàn)證方式恢復(fù)Active Directory,強(qiáng)制使域恢復(fù)到原來的好的狀態(tài)。應(yīng)該說這種方式是用的比較多的一種恢復(fù)Active Directory的方式。 2.非驗(yàn)證恢復(fù)Active Directory 要實(shí)現(xiàn)非驗(yàn)證恢復(fù),目錄服務(wù)必須處于離線狀態(tài)(備份Active Directory時(shí)目錄服務(wù)不必處于離線狀態(tài))。為恢復(fù)Active Directory,你必須使用server處于"目錄服務(wù)恢復(fù)模式"。要做到這一點(diǎn)

12、,需要重新啟動(dòng)server,當(dāng)屏幕提示你選擇操作系統(tǒng)時(shí),按F8,啟動(dòng)系統(tǒng)啟動(dòng)高級(jí)菜單,選擇"目錄服務(wù)恢復(fù)模式"。 當(dāng)Windows2000出現(xiàn)用戶登錄窗口時(shí),輸入本地管理員賬戶和密碼(注意,不是在Active Directory中的管理員的賬號(hào)和密碼,因?yàn)檫@時(shí)Active Directory處于離線狀態(tài),不可用。你只有使用存儲(chǔ)在安全賬戶管理器,有時(shí)稱之為SAM中的管理員賬號(hào)和密碼進(jìn)行登錄)。登錄成功后,你就可以進(jìn)行恢復(fù)Active Directory的操作。 (1)啟動(dòng)Windows2000自帶的備份程序:"開始"->"運(yùn)行",

13、輸入"ntbackup" (2)在歡迎標(biāo)簽中選擇"恢復(fù)向?qū)?quot;,跳過歡迎畫面,備份程序會(huì)顯示可以用于數(shù)據(jù)恢復(fù)的備份集。 (3)選擇合適的備份文件,完成數(shù)據(jù)恢復(fù)。重新啟動(dòng)機(jī)器即可。 (4)注意:通常情況下,你不能恢復(fù)60天以前備份的Active Directory數(shù)據(jù),這是因?yàn)槭躓indows2000 tombstone lifetime(可以理解為生存時(shí)間吧,因?yàn)椴荒軠?zhǔn)確的翻譯出其含義,只好照搬上了。-滄海),除非你進(jìn)行了設(shè)置。 3.驗(yàn)證方式恢復(fù)Active Directory 為實(shí)現(xiàn)驗(yàn)證方式恢復(fù),你必須首先實(shí)現(xiàn)非驗(yàn)證方式恢復(fù),然后你可以使用NTDSUTI

14、L命令行工具實(shí)現(xiàn)驗(yàn)證式Active Directory恢復(fù)。驗(yàn)證式恢復(fù)可以實(shí)現(xiàn)全部或部分Active Directory數(shù)據(jù)的恢復(fù)。 (1)使用非驗(yàn)證方式恢復(fù)Active Directory,重新啟動(dòng)機(jī)器。 (2)再次使用"目錄服務(wù)恢復(fù)模式"啟動(dòng)Windows2000,以管理員身份登錄。 (3)"開始"->"運(yùn)行",輸入"ntdsutil",啟動(dòng)命令行工具。 (4)恢復(fù)整個(gè)Active Directory數(shù)據(jù)庫,使用下列命令: authoritative restore restore database 恢復(fù)部分Active Directory數(shù)據(jù),使用下列命令: authoritative restore restore subtree ou=Brien,dc=files,