Windows Server 2003AD域控制器搭建與軟件派發(fā)

1、Windows Server 2003域控制器搭建與軟件派發(fā)1、域服務(wù)器搭建2、用戶和計算機(jī)賬戶管理3、客戶端域連接4、軟件推送安裝目 錄 Contents1 域服務(wù)器搭建 1.1 DNS與TCP/IP配置1 域服務(wù)器搭建 1.2 安裝活動目錄1）開始/運行/dcpromo2）開始/管理工具/配置您的服務(wù)器向?qū)D安裝向?qū)Р僮飨到y(tǒng)兼容說明選擇域控制器類型創(chuàng)建一個新域創(chuàng)建域名NetBIOS域名，一般不做更改指定數(shù)據(jù)庫和日志文件的存放位置共享系統(tǒng)卷，此文件必須放在NTFS卷上，sysvol文件是被用于以后的域信息同步的，所以在安裝完后會自動的共享出來。DNS注冊診斷。一般選擇集成安裝DNS，對于新

2、手分離安裝比較麻煩，因為AD會在DNS下創(chuàng)建許多SRV記錄。設(shè)置權(quán)限，一般來說默認(rèn)即可，2000以前的很少用了。AD在進(jìn)入目錄服務(wù)還原模式時使用的管理員密碼。注意與現(xiàn)在的管理員密碼概念區(qū)分。此密碼只適用于目錄服務(wù)還原模式。此模式在大家平時選擇進(jìn)入安全模式的菜單下可以找到。所創(chuàng)建的域環(huán)境摘要，說穿就是你前面的設(shè)置信息，單擊“下一步”系統(tǒng)部署AD。在此之前如果沒有填寫TCP/IP的信息，會在安裝過程中要求填寫TCP/IP信息至此，活動目錄安裝完成，必須重啟計算機(jī)，活動目錄才會生效。在活動目錄安裝之后，不但服務(wù)器的開機(jī)和關(guān)機(jī)時間變長，且系統(tǒng)的執(zhí)行速度會變慢。1.3 檢查安裝結(jié)果1）在登錄界面多出一個

3、“登錄到”的選擇框。2）計算機(jī)的名稱和域改變了。1.3 檢查安裝結(jié)果3）檢查DNS文件的SRV記錄：用文本編輯器打開%SystemRoot%/system32/config/下的Netlogon.dns文件，查看LADP服務(wù)記錄。4）驗證SRV記錄在NSLOOKUP命令工具中是否運行正常。 （1）在命令提示下輸入 “nslookup”； （2）輸入set type=srv； （3）輸入_ldap._。如果返回了服務(wù)器名和IP地址，說明SRV記錄工作正常。1、域服務(wù)器搭建2、用戶和計算機(jī)賬戶管理3、客戶端域連接4、軟件推送安裝目 錄 Contents2 用戶和計算機(jī)賬戶管理 1）單擊“開始/管理

4、工具/Active Directory 用戶和計算機(jī)”，打開用戶和計算機(jī)窗口；2）新建組織單位：右鍵單擊“新建”/“組織單位”，在彈出的對話框中填寫組織單位名稱，單擊完成；2 用戶和計算機(jī)賬戶管理 3）新建用戶：選擇剛建立的組織單位，右鍵單擊，選擇“新建/用戶”，依次填寫用戶名和密碼。Ps：密碼應(yīng)符合復(fù)雜性要求，默認(rèn)情況下至少為六個字符長，且包含英文大、小寫字母、10個基本數(shù)字、非字母字符中的三類，如。 可以通過“程序管理工具域安全策略帳戶策略密碼策略”禁用密碼復(fù)雜性。1、域服務(wù)器搭建2、用戶和計算機(jī)賬戶管理3、客戶端域連接4、軟件推送安裝目 錄 Contents3 客戶端域連接 1）更改客戶

5、端TCP/IP設(shè)置：將DNS服務(wù)器設(shè)置為域服務(wù)器的IP（為保證連接成功，在此將默認(rèn)網(wǎng)關(guān)也設(shè)置為服務(wù)器IP）；2）客戶端連接域：在桌面上右鍵單擊“我的電腦”，依次選擇“屬性”/“計算機(jī)名”/“更改”，選擇“域”，并填寫域名。3 客戶端域連接 3）在彈出的對話框中輸入剛創(chuàng)建的用戶名和密碼，系統(tǒng)會自動進(jìn)行驗證，如果驗證成功，會有相關(guān)提示；4）重啟計算機(jī)，用剛建立的用戶名和密碼登錄，并選擇自己所創(chuàng)建的域。1、域服務(wù)器搭建2、用戶和計算機(jī)賬戶管理3、客戶端域連接4、軟件推送安裝目 錄 Contents4 軟件推送安裝 4.1 設(shè)置用戶登錄腳本4.2 軟件發(fā)布4.1 設(shè)置用戶登錄腳本 1）在服務(wù)器上創(chuàng)建一

6、個用于存放安裝程序的文件夾，并以適當(dāng)?shù)臋?quán)限共享該文件夾，在此，采用域默認(rèn)的共享文件夾，以“kuwo2012.exe”安裝為例。2）在域控制器上創(chuàng)建一個批處理文件（.bat），假設(shè)該文件夾名為 install.bat，在文件中輸入以下語句保存：服務(wù)器名共享名安裝程序名，如43sysvolkuwo2012.exePs：設(shè)置完成后，可以在遠(yuǎn)程客戶端上按照此路徑嘗試一下，是否可以遠(yuǎn)程打開。4.1 設(shè)置用戶登錄腳本 3）以管理員身份登錄域控制器，啟動“Active Directory 用戶和計算機(jī)”管理單元。4）選擇域用戶組織，右鍵單擊，選擇“屬性”，單擊“組策略”選項卡，新建策略

7、（如installSet）并單擊“編輯”，打開組策略編輯器。4.1 設(shè)置用戶登錄腳本 5）找到“用戶配置”/“windows設(shè)置”/“腳本（登錄/注銷）”，雙擊“登錄”，打開“登錄 屬性”對話框，點“添加”，找到剛創(chuàng)建的install.bat腳本，把腳本拖到瀏覽文件的對話框中（PS：不要更改選擇路徑）。4.2 發(fā)布發(fā)布使用域控制器的軟件發(fā)布功能，對軟件是有一定要求的，對于那些exe等格式的安裝包是無法發(fā)布的，必須將軟件打包成MSI程序包。通過設(shè)置用戶登錄腳本發(fā)布的軟件在用戶每次登錄時都會安裝，這是我們不希望的，尤其是對于那些有安裝向?qū)У能浖敲从袥]有更好的方法讓用戶在登錄時就自動安裝了，而用

8、戶自己察覺不到呢？ 制作MSI程序包的軟件很多，但不是隨便哪一種都可以，最好采用微軟的WinSTALL，通過兩次獲取系統(tǒng)的快照，進(jìn)行對比，制作MSI格式的軟件包。1） 軟件封裝PS：關(guān)于Winstall的使用方法可到網(wǎng)上查找http:/ 發(fā)布發(fā)布在服務(wù)器上新建一個共享文件夾，如share，也可以使用域控制器默認(rèn)的sysvol文件夾，從安全的角度考慮，可將共享文件夾的權(quán)限設(shè)置為“讀取”。將封裝好的MSI程序包放入共享文件夾內(nèi)。2） 建立共享文件夾4.2 發(fā)布發(fā)布與設(shè)置用戶登錄腳本類似，打開“組策略編輯器”，在“用戶配置”下選擇“軟件安裝”，在該項上右擊，選擇“新建”/“程序包”，在出現(xiàn)的“打開”

9、文件對話框左側(cè)選擇“網(wǎng)上鄰居”，然后從網(wǎng)絡(luò)上找到自己存放安裝程序的共享文件夾，打開其中的MSI文件。3） 發(fā)布軟件PS：從網(wǎng)上鄰居打開安裝程序包，是為了保證網(wǎng)絡(luò)里的用戶或計算機(jī)都能夠找到共享文件夾，如果直接在“我的電腦”里打開的話，那么組織單元的應(yīng)用對象將同樣在本機(jī)的“我的電腦”中查找，而不到存放程序包的文件夾中去運行安裝文件了。因此正確的路徑方式應(yīng)使用本地計算機(jī)的 UNC 路徑，即 服務(wù)器名共享名路徑文件名.msi4.2 發(fā)布發(fā)布選中要發(fā)布的軟件之后，會出現(xiàn)部署對話框，有三種選擇，通常選擇“發(fā)布”或“指派”。如果選擇“已發(fā)布”，只是將軟件發(fā)布給用戶，還需要用戶在“控制面板”中的“添加或刪除程序”/“添加新程序”中手動安裝；若選擇“已指派”則會自動安裝，不需要用戶手動添加。在此，我們選擇“已指派”。3） 發(fā)布軟件4.2 發(fā)布發(fā)布如果我們不希望用戶在“控制面板”中的“添加或刪除程序”/“添加新程序”列