域控软件安装脚本
Ⅰ AD域用户安装软件
按你所说的情况,我近期也碰到了。200+pc,每台都安装软件,权限问题很严重。系统是win10。
这个方法是跳过输入密码的步骤,直接进行安装,出现其他用户帐户提示,可以调整或确认。数量众多,不可能每一个都输入密码。
我的方法是,在域里,赋予所有用户权限。隶属于:
administrators ,Domain admins,enterprise admins,Domain Users(默认组)。
之后,注销或重启电脑。 过渡期后,可关掉权限。
Ⅱ win10如何安装域控制器
具体方法如下:
1、单击开始-控制面板-,打开控制面板,双击网络共享中心,打开网络共享中心。
win10系统配置域控制器的详细步骤
2、右击本地连接,在弹出的快捷菜单中选“属性”。
3、在本地属性的对话框中选择INTERNET协议版本4选项,单击属性按钮。
4、在弹出的INETRNET协议版本4的对话框中选择使用以下的IP地址和使用下面的DNS服务器,输入IP地址,子网掩码。默认网关,首选DNS服务器。(注意:对于将要安装域控服务器的计算机来说,首选DNS服务器必须设置为本身的IP地址且必须是静态地址)。
5、点击确定按钮,然后关闭对话框,完成IP设置。
6、单击开始-所有程序-管理工具-服务器管理器 打开服务器管理器窗口,选择角色选项,单击添加。在添加角色向导的对话框中 -开始选项中列出添加角色的前提条件,单击下一步按钮。
7、在弹出的选择服务器角色列表中 选中Active Directory 域服务 复选框,单击下一步,在弹出的 Active Directory 域服务简介 对话框中显示Active Directory 域服务的有关信息(由于本人机子已经安装域控,故下图有些区别)。
8、单击下一步 按钮,在弹出的确认安装选择对话框中单击 安装 按钮,系统开始添加角色,安装完成后,单击关闭按钮(注意:以上操作只是添加域服务角色,并没有安装域,必须运行Active Directory安装向导工具将服务器安装成域控制器)。
9、单击开始--运行-- 在运行对话框中输入Dcpromo.exe, 按回车键,然后在弹出的对话框中点确定--下一步,在弹出的 操作系统兼容性 对话框中 显示当前系统域控服务器兼容性的信息。
Ⅲ 域模式下如何为客户端安装软件(高分悬赏)
呵呵,看来楼主对域的了解还比较少啊
1、administrators组和domain admins组的区别是前者只是本机的管理员组,而后者是域的管理员组,如果把用户加入administrators组,只具有本机管理员的权限(内置的administrator用户除外),而把用户加入domain admins组则具有域管理员的权限!
本地组、全局组和通用组的区别,加入本地组的用户只在本机有相应的权限,全局组用户或以登录本域电脑,也可以登录信任域的电脑,而通用组只能登录到本域内的电脑!
2、域用户登录到本机,默认是users组权限,有点像guest用户的权限,只能运行部分软件,而无安装软件的权限,如果要有相关的权限,可以把用户加入到本地管理员组,或者用域管理员登录到电脑安装,但是这些操作应该有网管来操作,要不然所有电脑都有管理员权限,加入域就没有太大的意义了!
打了这么多,累死了!休息一下!
Ⅳ 如何禁用域控服务器下发的脚本
1、bat可以作为登陆脚本执行,确切说一切可以在windows平台执行的东西都可以作为登陆脚本来用。
2、应该指定以\\server\……这样格式开头的路径。因为client在登陆的时候执行脚本,其实是从服务器上下载到本地,然后执行。这样的话,如果指定c:\这样的路径,client只会在本地的c盘查找,而不是到server上的路径去查找。
3、脚本可以放在一切client能够读取的位置。通常这个位置处于\\server\netlogon的share下(在服务器上的位置是%systemroot%\sysvol\sysvol\domainname\scripts),但是如果你制订了策略,那么脚本默认的存放路径应该在%systemroot%\sysvol\sysvol\domainname\policies\guid\user(machine)\scripts下,如果你放在别的位置,需要在脚本执行栏的位置输入绝对路径,格式同样需要以\\server\……开头。
4、其他的问题也很多了,一般来说就是脚本适用于策略的时候,客户端可能会执行不到。
一般来说可能会有一下的几个原因:
a、脚本从名称到内容都尽可能的不要用特殊字符、长文件名(超过8个字符)、空格,比如&等。这样的脚本在不同的os上可能执行会有问题。
b、脚本存放的位置和路径,请遵照上面的原则来做。
c、脚本的编写方面。特别是适用net use 来map一个fileserver上的路径。有可能在登陆之前,client上已经有网络盘的映射,如果恰好和你map的盘符一样,将有可能导致脚本执行失败,你可以在脚本的最前面加一句net use * /d /y来解决这个问题。
不过这个命令要慎用,在实际生产环境中,如果你的fileserver是非wintel平台的storage,响应时间较长,那么可能导致用户重新登陆时,无法连接fileserver上的sharefolder,可以用一句if exist来判断网络盘是否存在。
另外一个方面,如果远程设备是一些跨平台的存储设备,比如一些nas、san等,map到windows平台的时候可能会提示“网络路径无法连接”等问题,可以相互更换map \\server_netbios_name或者map \\server_ipaddress两种方式来尝试连接。
如果遇到权限问题,那么按照共享权限和安全权限冲突时取最小值的原则,一般来讲可以将共享权限设置为full control,然后安全权限做严格设定的办法来解决。
d、“配置文件路经”和“登陆脚本路径”、“主文件夹”
朋友们在初次设置域账户脚本的时候,可能对于这三个概念有些模糊,难以区分,这里说明一下:
①使用组策略,在用户登录脚本的的地方编辑一个cmd等,使用诸如net use的方式就可以map一个网络盘符了。
②“配制文件路径”是指用户profile所处的位置,通常在%userprofile%
“登录脚本路径”是指用户登录到服务器时,执行的脚本所处的位置,通常默认路径位于
服务器上的netlogon下,如果制定策略中使用脚本,默认的路径应该在gpo 的guid下的user或者computer下的scripts,如果置于其他位置,需要手动指定完全路径。
③“主文件夹”是指用户在fileserver上的个人主目录,这个概念没有绝对的位置。需要你手动指定路径,不过在这里写入和在脚本中写入的不同,在于系统会根据你写入的路径,自动创建文件夹,并为该用户分配权限,该文件夹的owner属于该用户。这里可以使用%username%的变量,让系统自行完成。当然在指定了 主目录后,你仍然可以访问其他有权限使用的资源。
e、关于策略的执行顺序是本机、站点、域、ou、子ou。如果有设置上的重复,按照执行的顺序,后面的设置将会覆盖前面的设置。
如果在ou上设置“block policy inheritance”,那么上层的策略将不会在这一层获得执行。
如果在ou上设置“No override”,那么这一层将不会被后面的策略设置覆盖,也就是说即使后面有相同的设置,仍然以这一层的设置为准。
如果在ou上设置“disabled”,那么这个策略将会被禁止执行。
如果在策略的properties security上取消了对应的组的read和apply group policy,那么对应的组将会无法应用到策略。通常默认被应用的组有authenticated user。
如果你取消了该组的两个权限,然后add其他组,同样赋予read和apply group policy的话,此策略将只会被该组执行到,这也就是所谓的filter。
如果你的域中有多台dc,可能需要在dssite.msc中手动同步它们。
你也可以在服务器上使用secedit /refreshpolicy user_policy(machine_policy) /enforce 来强制刷新策略
这样的办法同样适用于client。
f、执行的脚本,可以放在computer configuration和user configuration中执行。
对于user,通常可以放置更改用户属性的东西。
对于computer,通常可以放置更改计算机属性的东西。
这两个没有绝对界限,但通常登陆的时候,都属于domain users成员,这样如果需要更改注册表或系统文件之类的,可能会遇到权限问题,那么我们也可以把这样的脚本放在computer中,这样可以在user登陆之前获得执行。
(这里顺带说一句:大家很少用到计算机账户吧,那么计算机账户的作用在这里可以得到体现,由于此时还没有用户账户验证,计算机账户和dc的验证有一方面来源于本地计算机账户和dc之间保持一个密码同步,以便于在这种特殊的情况下获得验证,该密码默认30天变更一次。
你甚至可以在sharefolder上添加计算机账户的权限:)如果由于dns对应或者其他的一些原因,导致这个密码无法同步,dc将会无法验证该计算机账户,这可能会导致计算机登陆脚本无法执行。在dc的日志上一般都会给出一个错误提示,ComputerNetbiosName$无法存取。解决的办法,可以通过在客户端上执行netdom重置该信任关系,这是另话了。)
对于user的设定,只需要登出然后登入即可获得脚本的应用。
对于computer的设定,则需要重新启动机器来获得脚本的执行。
注:从上面的几点中,大家可以看到计算机在登陆的时候需要通过dns来定位dc,从而定位
定位gpo,sysvol(策略、脚本、管理模板都存放在这里),dns对于ad的设置是至关重要
的,一般来说可以这样设置,将客户端的dns指向dc(如果dc上是双网卡的话,那么指向内部
网卡dns),然后在dc上设置转发,forward到外部(isp)dns。
上面只是就一些常见的问题做简要介绍,如果遇到更为复杂的问题,就需要查阅其他资料来解决了。
关于大家平时遇到的问题,都整理成faq放在下面
FAQ:
我的配置过程如下:
1、制作脚本文件config.bat并拷贝至域控制器服务器下的sysvol\sysvol\scripts目录下
该脚本文件用 net use z: \\linux_file\share 命令
2、配置“配制文件路径”:路径指向:\\nwf_sav(域控制服务器名)\netlogon
配置“登录脚本路径”: config.bat
3、在客户机注销重新登陆时出现以下窗口:但未能将共享文件夹映射为Z盘。
回答:一般脚本的存放位置有两种观点:
1、将登陆脚本放在\\server\netlogon下(在dc上的物理路径是 %systemroot%\SYSVOL\sysvol\domainname\SCRIPTS ,而不是 sysvol\sysvol\scripts)
在设置账户属性中登陆指令档的时候,此时是登陆域的时候默认寻找登陆脚本的位置
如果需要修改该脚本,需要手动定位到上面的路径,
优点是脚本集中放置
2、将登陆脚本放在策略gpo所处的路径下(在dc上的物理路径类似于这样
\\domainname\SysVol\domainname\Policies\{142B4268-9574-471F-9F7F-9AA04836F57F}\User\Scripts\Logon,这里一长串的数字是gpo的guid,用来唯一的标识这个对象,
可以通过查询该策略的属性,来察看该guid)
在设置策略中登入指令档的时候,此时是登陆域的时候默认寻找登陆脚本的位置
如果需要修改该脚本,可以点击下方的“显示档案”
优点是和策略关联性强,编辑查找方便
无论用哪种方法,如果脚本放置在默认的查询路径,指定登陆档的时候就不用写路径
如果不是,就需要填写完整路径,当然这个路径需要对于client可用,也就是说
不能填写诸如 c:\winnt\sysvol\sysvol 这样的路径,否则client在登陆的时候,只会
在自己的机器上 c:\winnt\sysvol\sysvol 查找脚本,显然是找不到的,因为脚本
是下载到本地执行的。
那么我们先看看脚本是否能够在client上正确执行,
在client上 winkey+r,然后填入脚本的路径,比如 \\servername\netlogon\config.bat
执行一下,是否能够等到正确的结果?
然后察看上面的位置中指定的路径是否正确
如果是通过策略指定的登陆脚本,我们再用 gpresult /v ,察看一下client是否应用到了
您制定的策略,如果没有就要考虑使用 dssite.msc 手动同步域中的所有dc,然后
secedit /refreshpolicy user_policy (machine_policy)/enforce 强制刷新策略,
然后client重新登陆或者重新启动一下(这取决于您制订的是用户登陆脚本还是计算机登陆脚本)
如果还是不行,那么在早先的那篇文章有提到,
有可能是由于本地已经map 了同样盘符的盘,导致冲突
有可能是由于map的共享路径权限设置错误,常见的是共享权限的设置问题
有可能是由于map的共享是跨平台的存储设备或者格式,它们可能不能在登陆时在系统要求的
时间内响应,这导致系统认为该资源超时连接,不可用。您可以尝试更换netbios名称或者ip
Ⅳ 威盾2.84如何脚本域控安装
这个建议选择强制安装模式,这样可以比较完整的控制域内成员。至于监控是在威盾里完成的,跟域没有太多关系了。
Ⅵ windowsserver2008r2怎样用域控制器安装软件
打开Active Directoty 域服务安装向导 运行dcpromo命令,打开“Active Directoty域服务安装向导” 2 阅读操作系统兼容性说明,单击“下一步”按钮 3 在“选择某已部署配置”页面中,选择“在新林中新建域” 在“命名林根域”页面中输入目录林根域的域名
Ⅶ 关于域控制软件
如何选择远程控制软件
虽然在某些环境下,帮助台和小企业用于桌面访问的远程控制的速度要比控制台慢,但由于可以对桌面进行全面的访问,可以远程做任何在本地做的事,所以远程控制软件是一种非常有用的工具。目前市场上有多种远程控制软件可供选择,其中包括CA的ControlIT以及刚刚进入中国市场的易控软件等,那么,用户应如何从中选择出符合自己需求的产品呢?用户首先应该明确想要达到的目标,然后再根据安装与配置选项、用户管理、安全组件和文件分发等关键部件进行选择。
很多远程控制软件包提供了网络安装使用的复杂的脚本程序。首先,对该安装脚本程序进行配置,然后,通过一个共享硬盘使它在网络上可供使用,并将安装脚本添加到工作站或服务器的引导过程中。此后,可以无缝地分发此应用。而且,既可以安装整个软件包,也可以挑选某些组件进行安装。这种方法不仅减小了安装规模,也限制了工作站上的功能。
目前远程控制软件缺乏对多操作系统的支持,大部分产品主要支持Windows家族,尤其难找到支持Unix的远程控制软件。一旦安装了主机,可能不容易被找到。这不只涉及一台远程控制客户机可以跟踪多少节点的问题,而且还涉及到显示出了多少个节点,使你可以跟踪它们的问题。如果主机不多,可以采用子网扫描查找远程主机。如果主机比较多,则可以通过利用主机企业管理系统并将远程控制与其相集成来查找主机。如果正在使用TCP/IP的话,则远程控制系统应当能够解析DNS名。
不同远程控制软件对不同用户的接入方式支持差别很大,当然对TCP/IP是必须支持的,但是网络上还有许多其它协议,如IPX/SPX和NetBIOS,接入方式还包括传统的调制解调器和ISDN远程接入。目前,并不是所有的远程控制软件包都支持调制解调器。这意味着用户不能远程拨入到被控系统中,当然它可以被解释为良好的安全性,但是,如果网络发生故障的话,将没有带外的方法与被控端联系。
远程控制软件解决了进入桌面系统的问题,对其它一些任务,如远程推、拉文件也有一些帮助。当然,你可以使用FTP 或文件共享来传送文件,但是远程控制文件的传输相当复杂,非FTP所能实现。 例如,利用远程控制软件可以传送文件和目录并且将应用进行压缩。尽管这对调制解调器连接没有太多的帮助,因为调制解调器无论如何都要对数据进行压缩,但它的确在其它WAN连接和低速LAN连接中提高了性能。
许多远程控制软件中包含的传输软件包还支持文件同步。在文件传送前,将客户机上的文件与主计算机上的文件进行比较。如果文件不同的话,就对它们进行同步处理。但是,只有不同点或差值被传送到另一端。由于非常少的数据被发送,文件同步节省了大量时间。
网络管理员必须管理用户名和口令,远程控制可以使这种任务更容易,但是如果还需要管理另一用户列表的话,那么就需要找到一种与Windows NT 域或NDS集成的远程控制软件包。不同远程控制软件集成的程度不同, 因此,找到合适程度的集成很重要。
使用远程控制软件可能会导致安全漏洞。当用户名和口令在线路上传送时,特别是访问服务器时,需要进行保护,所以你应当寻找支持加密功能并具有降低系统脆弱性等其它安全特性的软件包。要了解远程控制软件使用的是哪种加密方案,请寻找使用经过严格审查的加密算法的产品,如DES算法。
如果有了可靠的连接安全性,并且将Windows NT域用于用户登录,那么,如何确保当断开连接时服务器处于一种可接受的状态呢。由于网络拥塞或由于调制解调器故障等原因,连接可能会失败。但是,当你作为管理员登录到PDC(主域控制器)上, 而你的连接却失败时,任何人都可以走到这台服务器前,取得鼠标和键盘的控制权。此时,对于远程控制主机来说,有几种选择。当仍处于远程控制时,将关闭鼠标和键盘作为行动的第一步,这样将使非授权人员不能在你连接期间进入主机。当然,如果连接失败并且无法远程地回到服务器上的话,唯一的办法是重启服务器来重新获得控制。第二种选择是让远程控制应用在你失去连接时将你从控制台中注销。这种特性常常被配置为在特定时间后启动注销功能。
Ⅷ 在域控制器中怎么使用组策略实现软件自动安装(高手进,mcse优先)
共享的文件一定要放在域控制器上面,否则不能成功~记得用gpupdate
/force来刷新组策咯使策略立即生效~
Ⅸ 请教 一个关于域控登陆脚本执行的问题.请解答
1域控制器上的内容是完全相同的,区别只是第一台域控制器(主域控制器)上拥有FSMO。2FSMO的英文全称为.这些角色包括:★架构主机(Schemamaster)-架构主机角色是林范围的角色。★域命名主机(Domainnamingmaster)-域命名主机角色是林范围的角色,每个林一个。★RID主机(RIDmaster)-RID主机角色是域范围的角色,每个域一个。此角色用于分配RID池,以便新的或现有的域控制器能够创建用户帐户、计算机帐户或安全组。★PDC模拟器(PDCemulator)-PDC模拟器角色是域范围的角色,每个域一个。将数据库更新发送到WindowsNT备份域控制器的域控制器需要具备这个角色。此外,拥有此角色的域控制器也是某些管理工具的目标,它还可以更新用户帐户密码和计算机帐户密码。★结构主机(Infrastructuremaster)-结构主机角色是域范围的角色,每个域一个。此角色供域控制器使用,用于成功运行adprep/forestprep命令,以及更新跨域引用的对象的SID属性和可分辨名称属性。ActiveDirectory安装向导(Dcpromo.exe)将这五种FSMO角色全部分配给林根域中的第一台域控制器.3FSMO也可以在不同域控制器之间切换,通过角色抢夺实现。4因此一个域中可以有任意多个域控制器,但只有一个拥有FSMO角色。
Ⅹ 如何能实现在域控下给指定用户安装软件。
在域控服务器上通过定义组策略在对所管理的客户端安装软件,应用软件必须制作成MSI格式。