域控軟體安裝腳本
Ⅰ AD域用戶安裝軟體
按你所說的情況,我近期也碰到了。200+pc,每台都安裝軟體,許可權問題很嚴重。系統是win10。
這個方法是跳過輸入密碼的步驟,直接進行安裝,出現其他用戶帳戶提示,可以調整或確認。數量眾多,不可能每一個都輸入密碼。
我的方法是,在域里,賦予所有用戶許可權。隸屬於:
administrators ,Domain admins,enterprise admins,Domain Users(默認組)。
之後,注銷或重啟電腦。 過渡期後,可關掉許可權。
Ⅱ win10如何安裝域控制器
具體方法如下:
1、單擊開始-控制面板-,打開控制面板,雙擊網路共享中心,打開網路共享中心。
win10系統配置域控制器的詳細步驟
2、右擊本地連接,在彈出的快捷菜單中選「屬性」。
3、在本地屬性的對話框中選擇INTERNET協議版本4選項,單擊屬性按鈕。
4、在彈出的INETRNET協議版本4的對話框中選擇使用以下的IP地址和使用下面的DNS伺服器,輸入IP地址,子網掩碼。默認網關,首選DNS伺服器。(注意:對於將要安裝域控伺服器的計算機來說,首選DNS伺服器必須設置為本身的IP地址且必須是靜態地址)。
5、點擊確定按鈕,然後關閉對話框,完成IP設置。
6、單擊開始-所有程序-管理工具-伺服器管理器 打開伺服器管理器窗口,選擇角色選項,單擊添加。在添加角色向導的對話框中 -開始選項中列出添加角色的前提條件,單擊下一步按鈕。
7、在彈出的選擇伺服器角色列表中 選中Active Directory 域服務 復選框,單擊下一步,在彈出的 Active Directory 域服務簡介 對話框中顯示Active Directory 域服務的有關信息(由於本人機子已經安裝域控,故下圖有些區別)。
8、單擊下一步 按鈕,在彈出的確認安裝選擇對話框中單擊 安裝 按鈕,系統開始添加角色,安裝完成後,單擊關閉按鈕(注意:以上操作只是添加域服務角色,並沒有安裝域,必須運行Active Directory安裝向導工具將伺服器安裝成域控制器)。
9、單擊開始--運行-- 在運行對話框中輸入Dcpromo.exe, 按回車鍵,然後在彈出的對話框中點確定--下一步,在彈出的 操作系統兼容性 對話框中 顯示當前系統域控伺服器兼容性的信息。
Ⅲ 域模式下如何為客戶端安裝軟體(高分懸賞)
呵呵,看來樓主對域的了解還比較少啊
1、administrators組和domain admins組的區別是前者只是本機的管理員組,而後者是域的管理員組,如果把用戶加入administrators組,只具有本機管理員的許可權(內置的administrator用戶除外),而把用戶加入domain admins組則具有域管理員的許可權!
本地組、全局組和通用組的區別,加入本地組的用戶只在本機有相應的許可權,全局組用戶或以登錄本域電腦,也可以登錄信任域的電腦,而通用組只能登錄到本域內的電腦!
2、域用戶登錄到本機,默認是users組許可權,有點像guest用戶的許可權,只能運行部分軟體,而無安裝軟體的許可權,如果要有相關的許可權,可以把用戶加入到本地管理員組,或者用域管理員登錄到電腦安裝,但是這些操作應該有網管來操作,要不然所有電腦都有管理員許可權,加入域就沒有太大的意義了!
打了這么多,累死了!休息一下!
Ⅳ 如何禁用域控伺服器下發的腳本
1、bat可以作為登陸腳本執行,確切說一切可以在windows平台執行的東西都可以作為登陸腳本來用。
2、應該指定以\\server\……這樣格式開頭的路徑。因為client在登陸的時候執行腳本,其實是從伺服器上下載到本地,然後執行。這樣的話,如果指定c:\這樣的路徑,client只會在本地的c盤查找,而不是到server上的路徑去查找。
3、腳本可以放在一切client能夠讀取的位置。通常這個位置處於\\server\netlogon的share下(在伺服器上的位置是%systemroot%\sysvol\sysvol\domainname\scripts),但是如果你制訂了策略,那麼腳本默認的存放路徑應該在%systemroot%\sysvol\sysvol\domainname\policies\guid\user(machine)\scripts下,如果你放在別的位置,需要在腳本執行欄的位置輸入絕對路徑,格式同樣需要以\\server\……開頭。
4、其他的問題也很多了,一般來說就是腳本適用於策略的時候,客戶端可能會執行不到。
一般來說可能會有一下的幾個原因:
a、腳本從名稱到內容都盡可能的不要用特殊字元、長文件名(超過8個字元)、空格,比如&等。這樣的腳本在不同的os上可能執行會有問題。
b、腳本存放的位置和路徑,請遵照上面的原則來做。
c、腳本的編寫方面。特別是適用net use 來map一個fileserver上的路徑。有可能在登陸之前,client上已經有網路盤的映射,如果恰好和你map的盤符一樣,將有可能導致腳本執行失敗,你可以在腳本的最前面加一句net use * /d /y來解決這個問題。
不過這個命令要慎用,在實際生產環境中,如果你的fileserver是非wintel平台的storage,響應時間較長,那麼可能導致用戶重新登陸時,無法連接fileserver上的sharefolder,可以用一句if exist來判斷網路盤是否存在。
另外一個方面,如果遠程設備是一些跨平台的存儲設備,比如一些nas、san等,map到windows平台的時候可能會提示「網路路徑無法連接」等問題,可以相互更換map \\server_netbios_name或者map \\server_ipaddress兩種方式來嘗試連接。
如果遇到許可權問題,那麼按照共享許可權和安全許可權沖突時取最小值的原則,一般來講可以將共享許可權設置為full control,然後安全許可權做嚴格設定的辦法來解決。
d、「配置文件路經」和「登陸腳本路徑」、「主文件夾」
朋友們在初次設置域賬戶腳本的時候,可能對於這三個概念有些模糊,難以區分,這里說明一下:
①使用組策略,在用戶登錄腳本的的地方編輯一個cmd等,使用諸如net use的方式就可以map一個網路盤符了。
②「配製文件路徑」是指用戶profile所處的位置,通常在%userprofile%
「登錄腳本路徑」是指用戶登錄到伺服器時,執行的腳本所處的位置,通常默認路徑位於
伺服器上的netlogon下,如果制定策略中使用腳本,默認的路徑應該在gpo 的guid下的user或者computer下的scripts,如果置於其他位置,需要手動指定完全路徑。
③「主文件夾」是指用戶在fileserver上的個人主目錄,這個概念沒有絕對的位置。需要你手動指定路徑,不過在這里寫入和在腳本中寫入的不同,在於系統會根據你寫入的路徑,自動創建文件夾,並為該用戶分配許可權,該文件夾的owner屬於該用戶。這里可以使用%username%的變數,讓系統自行完成。當然在指定了 主目錄後,你仍然可以訪問其他有許可權使用的資源。
e、關於策略的執行順序是本機、站點、域、ou、子ou。如果有設置上的重復,按照執行的順序,後面的設置將會覆蓋前面的設置。
如果在ou上設置「block policy inheritance」,那麼上層的策略將不會在這一層獲得執行。
如果在ou上設置「No override」,那麼這一層將不會被後面的策略設置覆蓋,也就是說即使後面有相同的設置,仍然以這一層的設置為准。
如果在ou上設置「disabled」,那麼這個策略將會被禁止執行。
如果在策略的properties security上取消了對應的組的read和apply group policy,那麼對應的組將會無法應用到策略。通常默認被應用的組有authenticated user。
如果你取消了該組的兩個許可權,然後add其他組,同樣賦予read和apply group policy的話,此策略將只會被該組執行到,這也就是所謂的filter。
如果你的域中有多台dc,可能需要在dssite.msc中手動同步它們。
你也可以在伺服器上使用secedit /refreshpolicy user_policy(machine_policy) /enforce 來強制刷新策略
這樣的辦法同樣適用於client。
f、執行的腳本,可以放在computer configuration和user configuration中執行。
對於user,通常可以放置更改用戶屬性的東西。
對於computer,通常可以放置更改計算機屬性的東西。
這兩個沒有絕對界限,但通常登陸的時候,都屬於domain users成員,這樣如果需要更改注冊表或系統文件之類的,可能會遇到許可權問題,那麼我們也可以把這樣的腳本放在computer中,這樣可以在user登陸之前獲得執行。
(這里順帶說一句:大家很少用到計算機賬戶吧,那麼計算機賬戶的作用在這里可以得到體現,由於此時還沒有用戶賬戶驗證,計算機賬戶和dc的驗證有一方面來源於本地計算機賬戶和dc之間保持一個密碼同步,以便於在這種特殊的情況下獲得驗證,該密碼默認30天變更一次。
你甚至可以在sharefolder上添加計算機賬戶的許可權:)如果由於dns對應或者其他的一些原因,導致這個密碼無法同步,dc將會無法驗證該計算機賬戶,這可能會導致計算機登陸腳本無法執行。在dc的日誌上一般都會給出一個錯誤提示,ComputerNetbiosName$無法存取。解決的辦法,可以通過在客戶端上執行netdom重置該信任關系,這是另話了。)
對於user的設定,只需要登出然後登入即可獲得腳本的應用。
對於computer的設定,則需要重新啟動機器來獲得腳本的執行。
註:從上面的幾點中,大家可以看到計算機在登陸的時候需要通過dns來定位dc,從而定位
定位gpo,sysvol(策略、腳本、管理模板都存放在這里),dns對於ad的設置是至關重要
的,一般來說可以這樣設置,將客戶端的dns指向dc(如果dc上是雙網卡的話,那麼指向內部
網卡dns),然後在dc上設置轉發,forward到外部(isp)dns。
上面只是就一些常見的問題做簡要介紹,如果遇到更為復雜的問題,就需要查閱其他資料來解決了。
關於大家平時遇到的問題,都整理成faq放在下面
FAQ:
我的配置過程如下:
1、製作腳本文件config.bat並拷貝至域控制器伺服器下的sysvol\sysvol\scripts目錄下
該腳本文件用 net use z: \\linux_file\share 命令
2、配置「配製文件路徑」:路徑指向:\\nwf_sav(域控制伺服器名)\netlogon
配置「登錄腳本路徑」: config.bat
3、在客戶機注銷重新登陸時出現以下窗口:但未能將共享文件夾映射為Z盤。
回答:一般腳本的存放位置有兩種觀點:
1、將登陸腳本放在\\server\netlogon下(在dc上的物理路徑是 %systemroot%\SYSVOL\sysvol\domainname\SCRIPTS ,而不是 sysvol\sysvol\scripts)
在設置賬戶屬性中登陸指令檔的時候,此時是登陸域的時候默認尋找登陸腳本的位置
如果需要修改該腳本,需要手動定位到上面的路徑,
優點是腳本集中放置
2、將登陸腳本放在策略gpo所處的路徑下(在dc上的物理路徑類似於這樣
\\domainname\SysVol\domainname\Policies\{142B4268-9574-471F-9F7F-9AA04836F57F}\User\Scripts\Logon,這里一長串的數字是gpo的guid,用來唯一的標識這個對象,
可以通過查詢該策略的屬性,來察看該guid)
在設置策略中登入指令檔的時候,此時是登陸域的時候默認尋找登陸腳本的位置
如果需要修改該腳本,可以點擊下方的「顯示檔案」
優點是和策略關聯性強,編輯查找方便
無論用哪種方法,如果腳本放置在默認的查詢路徑,指定登陸檔的時候就不用寫路徑
如果不是,就需要填寫完整路徑,當然這個路徑需要對於client可用,也就是說
不能填寫諸如 c:\winnt\sysvol\sysvol 這樣的路徑,否則client在登陸的時候,只會
在自己的機器上 c:\winnt\sysvol\sysvol 查找腳本,顯然是找不到的,因為腳本
是下載到本地執行的。
那麼我們先看看腳本是否能夠在client上正確執行,
在client上 winkey+r,然後填入腳本的路徑,比如 \\servername\netlogon\config.bat
執行一下,是否能夠等到正確的結果?
然後察看上面的位置中指定的路徑是否正確
如果是通過策略指定的登陸腳本,我們再用 gpresult /v ,察看一下client是否應用到了
您制定的策略,如果沒有就要考慮使用 dssite.msc 手動同步域中的所有dc,然後
secedit /refreshpolicy user_policy (machine_policy)/enforce 強制刷新策略,
然後client重新登陸或者重新啟動一下(這取決於您制訂的是用戶登陸腳本還是計算機登陸腳本)
如果還是不行,那麼在早先的那篇文章有提到,
有可能是由於本地已經map 了同樣盤符的盤,導致沖突
有可能是由於map的共享路徑許可權設置錯誤,常見的是共享許可權的設置問題
有可能是由於map的共享是跨平台的存儲設備或者格式,它們可能不能在登陸時在系統要求的
時間內響應,這導致系統認為該資源超時連接,不可用。您可以嘗試更換netbios名稱或者ip
Ⅳ 威盾2.84如何腳本域控安裝
這個建議選擇強制安裝模式,這樣可以比較完整的控制域內成員。至於監控是在威盾里完成的,跟域沒有太多關系了。
Ⅵ windowsserver2008r2怎樣用域控制器安裝軟體
打開Active Directoty 域服務安裝向導 運行dcpromo命令,打開「Active Directoty域服務安裝向導」 2 閱讀操作系統兼容性說明,單擊「下一步」按鈕 3 在「選擇某已部署配置」頁面中,選擇「在新林中新建域」 在「命名林根域」頁面中輸入目錄林根域的域名
Ⅶ 關於域控制軟體
如何選擇遠程式控制制軟體
雖然在某些環境下,幫助台和小企業用於桌面訪問的遠程式控制制的速度要比控制台慢,但由於可以對桌面進行全面的訪問,可以遠程做任何在本地做的事,所以遠程式控制制軟體是一種非常有用的工具。目前市場上有多種遠程式控制制軟體可供選擇,其中包括CA的ControlIT以及剛剛進入中國市場的易控軟體等,那麼,用戶應如何從中選擇出符合自己需求的產品呢?用戶首先應該明確想要達到的目標,然後再根據安裝與配置選項、用戶管理、安全組件和文件分發等關鍵部件進行選擇。
很多遠程式控制制軟體包提供了網路安裝使用的復雜的腳本程序。首先,對該安裝腳本程序進行配置,然後,通過一個共享硬碟使它在網路上可供使用,並將安裝腳本添加到工作站或伺服器的引導過程中。此後,可以無縫地分發此應用。而且,既可以安裝整個軟體包,也可以挑選某些組件進行安裝。這種方法不僅減小了安裝規模,也限制了工作站上的功能。
目前遠程式控制制軟體缺乏對多操作系統的支持,大部分產品主要支持Windows家族,尤其難找到支持Unix的遠程式控制制軟體。一旦安裝了主機,可能不容易被找到。這不只涉及一台遠程式控制制客戶機可以跟蹤多少節點的問題,而且還涉及到顯示出了多少個節點,使你可以跟蹤它們的問題。如果主機不多,可以採用子網掃描查找遠程主機。如果主機比較多,則可以通過利用主機企業管理系統並將遠程式控制制與其相集成來查找主機。如果正在使用TCP/IP的話,則遠程式控制制系統應當能夠解析DNS名。
不同遠程式控制制軟體對不同用戶的接入方式支持差別很大,當然對TCP/IP是必須支持的,但是網路上還有許多其它協議,如IPX/SPX和NetBIOS,接入方式還包括傳統的數據機和ISDN遠程接入。目前,並不是所有的遠程式控制制軟體包都支持數據機。這意味著用戶不能遠程撥入到被控系統中,當然它可以被解釋為良好的安全性,但是,如果網路發生故障的話,將沒有帶外的方法與被控端聯系。
遠程式控制制軟體解決了進入桌面系統的問題,對其它一些任務,如遠程推、拉文件也有一些幫助。當然,你可以使用FTP 或文件共享來傳送文件,但是遠程式控制制文件的傳輸相當復雜,非FTP所能實現。 例如,利用遠程式控制制軟體可以傳送文件和目錄並且將應用進行壓縮。盡管這對數據機連接沒有太多的幫助,因為數據機無論如何都要對數據進行壓縮,但它的確在其它WAN連接和低速LAN連接中提高了性能。
許多遠程式控制制軟體中包含的傳輸軟體包還支持文件同步。在文件傳送前,將客戶機上的文件與主計算機上的文件進行比較。如果文件不同的話,就對它們進行同步處理。但是,只有不同點或差值被傳送到另一端。由於非常少的數據被發送,文件同步節省了大量時間。
網路管理員必須管理用戶名和口令,遠程式控制制可以使這種任務更容易,但是如果還需要管理另一用戶列表的話,那麼就需要找到一種與Windows NT 域或NDS集成的遠程式控制制軟體包。不同遠程式控制制軟體集成的程度不同, 因此,找到合適程度的集成很重要。
使用遠程式控制制軟體可能會導致安全漏洞。當用戶名和口令在線路上傳送時,特別是訪問伺服器時,需要進行保護,所以你應當尋找支持加密功能並具有降低系統脆弱性等其它安全特性的軟體包。要了解遠程式控制制軟體使用的是哪種加密方案,請尋找使用經過嚴格審查的加密演算法的產品,如DES演算法。
如果有了可靠的連接安全性,並且將Windows NT域用於用戶登錄,那麼,如何確保當斷開連接時伺服器處於一種可接受的狀態呢。由於網路擁塞或由於數據機故障等原因,連接可能會失敗。但是,當你作為管理員登錄到PDC(主域控制器)上, 而你的連接卻失敗時,任何人都可以走到這台伺服器前,取得滑鼠和鍵盤的控制權。此時,對於遠程式控制制主機來說,有幾種選擇。當仍處於遠程式控制制時,將關閉滑鼠和鍵盤作為行動的第一步,這樣將使非授權人員不能在你連接期間進入主機。當然,如果連接失敗並且無法遠程地回到伺服器上的話,唯一的辦法是重啟伺服器來重新獲得控制。第二種選擇是讓遠程式控制制應用在你失去連接時將你從控制台中注銷。這種特性常常被配置為在特定時間後啟動注銷功能。
Ⅷ 在域控制器中怎麼使用組策略實現軟體自動安裝(高手進,mcse優先)
共享的文件一定要放在域控制器上面,否則不能成功~記得用gpupdate
/force來刷新組策咯使策略立即生效~
Ⅸ 請教 一個關於域控登陸腳本執行的問題.請解答
1域控制器上的內容是完全相同的,區別只是第一台域控制器(主域控制器)上擁有FSMO。2FSMO的英文全稱為.這些角色包括:★架構主機(Schemamaster)-架構主機角色是林范圍的角色。★域命名主機(Domainnamingmaster)-域命名主機角色是林范圍的角色,每個林一個。★RID主機(RIDmaster)-RID主機角色是域范圍的角色,每個域一個。此角色用於分配RID池,以便新的或現有的域控制器能夠創建用戶帳戶、計算機帳戶或安全組。★PDC模擬器(PDCemulator)-PDC模擬器角色是域范圍的角色,每個域一個。將資料庫更新發送到WindowsNT備份域控制器的域控制器需要具備這個角色。此外,擁有此角色的域控制器也是某些管理工具的目標,它還可以更新用戶帳戶密碼和計算機帳戶密碼。★結構主機(Infrastructuremaster)-結構主機角色是域范圍的角色,每個域一個。此角色供域控制器使用,用於成功運行adprep/forestprep命令,以及更新跨域引用的對象的SID屬性和可分辨名稱屬性。ActiveDirectory安裝向導(Dcpromo.exe)將這五種FSMO角色全部分配給林根域中的第一台域控制器.3FSMO也可以在不同域控制器之間切換,通過角色搶奪實現。4因此一個域中可以有任意多個域控制器,但只有一個擁有FSMO角色。
Ⅹ 如何能實現在域控下給指定用戶安裝軟體。
在域控伺服器上通過定義組策略在對所管理的客戶端安裝軟體,應用軟體必須製作成MSI格式。