1、AD+SCCM 桌面标准化解决方案Professional Wang2目录0. 序言 31. 使用 AD 域进行企业 IT 集中管控 .41.1 为什么企业要用域 41.1.1 传统分散式网络模型缺点 .51.2 什么是域 51.2.1 域的优势 61.3 什么是 AD.71.4 如何选择适合您企业的域架构模型 .81.4.1 单林单域单站点 .81.4.2 单林单域多站点 .91.4.3 单林单域树父子域 .91.4.4 单林多域树 101.4.5 多林架构 111.5 什么是活动目录数据库 .111.6 域的可靠性与容错性 .121.6.1 域的可靠性 121.6.2 域的容错性 131.
2、7 如何创建一个域 141.8 AD 集中管理用户资源演示 .151.9 组织单元与组策略 211.10 AD 集中管理域客户端策略演示 .231.11 使用 AD 域带来的好处 261.11.1 帮助企业构建统一身份验证平台 .261.11.2 帮助企业构建统一资源发布平台 .261.11.3 帮助企业构建集中的策略管理平台 .262. 使用 SCCM 提高企业 IT 生产力 272.1 什么是 SCCM272.2 SCCM 软件分发 .272.3 SCCM 操作系统分发 .292.4 SCCM 病毒防护 补丁更新 .302.5 SCCM 符合性基线 .322.6 SCCM 资产收集 .32
3、2.7 SCCM 远程协助 .342.8 SCCM 其它功能 .352.9 使用 SCCM 带来的好处 .373. 总结 3830.序言中国现在正全面开展企业信息化建设,各大企业也纷纷加入到了开展企业信息化的行列,在开展企业信息化的过程中,不同地方,不同企业的信息化进展都不一样,在信息化发展的过程中也会面临各种各样的挑战,比如说,在信息化开展的初期,企业可能没有一种很好的 IT 集中化管理方式,导致企业内部的计算机与服务器都很分散,没有办法去集中的进行控制,一旦计算机与服务器出现故障,或者企业桌面需要安装软件,更新操作系统,补丁更新等操作的的时候,IT 管理员就需要充当消防员的角色,赶赴到各个
4、终端的现场,去进行很多重复性的安装、更新、修复工作,这样就不是一种很高效的 IT 运作方式,时间久了,不光是 IT 管理员难以有更多的发展空间,对于用户与企业来说,如果真的很多台计算机都出现了故障,如果要进行一次大批量的软件更新,系统安装,也需要很长的时间才能交付完成,而且分散管理模型中,如果真的大规模出现了故障,往往也很难找到故障所在,没办法很快速的修复解决问题。针对于这些挑战,我们推荐采用微软的 AD+SCCM 解决方案, 来帮助企业进行 IT 的集中管控,通过 AD+SCCM 的技术,帮助企业高效灵活的进行集中身份验证,集中网络资源发布,集中策略设置,软件安装,软件更新,操作系统安装,资
5、产统计,远程协助,计算机安全评估等操作,IT 管理员只需要坐在AD 和 SCCM 服务器跟前,就能自动化,大批量,标准化的为企业进行桌面管理,使管理员从重复性的 IT 工作中解放出来,可以投入更多的精力,来帮助企业优化 IT 业务系统。同时也帮助企业 IT 信息化进入一个更高的层次。41.使用 AD 域进行企业 IT 集中管控1.1 为什么企业要用域自 1981 年, IBM 与微软联合,推出了第一款个人 PC 之后,个人 PC 渐渐的走进了我们的生活,让普通用户也可以对计算机触手可及,随着信息科技的发展,个人 PC 也越来越便宜,操作系统也越来越易用,如今,个人 PC 已经几乎遍布了每家企业
6、,每个人的家里。有了个人 PC 之后,企业开始想,我们都可以用计算机来做什么,这时候计算机网络就渐渐映入了人们的眼帘,企业可以在一个网络中,让网络中的计算机进行互连,通讯,资源共享,以及交互娱乐,电子商务,信息管理,生产管理,等高级网络应用。其中,对于企业来说,首要的就是互连与资源共享,互连,指的就是通过网络设备将分布在同一地点或不同地点的计算机连接起来,形成同一个网络,让同一个网络内的计算机,可以共同遵循某种协议,来进行互相访问,简单来讲,互连就是让不同的计算机与计算机之间,可以进行互访通讯了。将企业中的计算机互相连接起来形成一个计算机网络后,下一步就是通过资源共享,来让不同的计算机,访问我
7、们共享的资源,来进行基本的协同工作。在传统的分散式网络管理模型,也就是我们常见的工作组模型中,每一台计算机,都是独立的计算机,独立的身份验证数据库,独立的管理,在这种工作组模型中,好处就是每台计算机都独立平等的,每台计算机都是一个独立的安全边界,可以快速方便的建立起一个工作组,将多台计算机加入到一个工作组,在一个工作组里面进行资源共享。但是从企业的角度来看,这种工作组网络模型,并不是最理想的一种网络模型,它还是有一定的缺点的。51.1.1 传统分散式网络模型缺点 网络集中管理不方便因为每台工作组计算机都是独立的安全边界, 所以如果我们想要为企业所有的计算机统一设置一套账户安全策略,密码策略,计
8、算机安全策略,就需要去每台计算机上,都设置一遍相同的策略,而不能只设置一次,让所有计算机一起应用,这种情况,针对于企业内客户端的统一管理,就变得很不集中,很不方便。 身份验证不集中,网络资源共享配置繁琐因为每台工作组都存储着独立的身份验证数据库, 所以如果我们在一台工作组中的计算机上,想要共享资源出来让大家访问,首先我们需要在这台计算机上建立需要运行访问共享资源的用户,比如说 a 用户,然后其它用户通过 UNC 或者网上邻居的方式,来访问共享资源,就需要输入 a 用户的账户密码,输入之后,可以通过资源共享计算机的身份验证后,则允许访问共享资源。那么如果说有 10 台计算机都共享了资源呢?我们就
9、需要在 10台计算机上,都建立一遍这个用户,100 台计算机,就需要建立 100 遍整个用户,不光管理员会累死,用户也要记住他在这 100 台计算机上的用户密码,可见,在这种工作组模型的网络中,一旦共享资源多了起来,就会变得很不方便,而且工作组网络模型中,配置资源共享的步骤也很繁琐,其中还涉及到来宾 Guset 用户,本地策略,防火墙的设置,一旦设置不对,就会导致资源共享失败。那么,能不能有没有一种网络管理模型,可以集中的对网络进行身份验证,集中的进行资源共享,集中的进行客户端的管理策略设置呢?于是域管理模型应运而生。1.2 什么是域域即一种逻辑层面的集中网络管理模型,域管理模型不同于工作组管
10、理模型,在一个域6网络内,所有计算机的地位不再是平等的,而是会有一台服务器,来扮演控制器的角色,负责管理环境内所有的域客户端,这台控制器,我们就叫它 ”域控制器“,在一个域模型网络中, 存储着活动目录数据库的服务器就是域服务器,域控制器负责执行域环境内所有管理操作,新建用户,发布网络资源,客户端策略设置,都是在域控制器集中进行。 (同时域控制器也支持远程管理工具方式,可以在普通客户端上安装 AD 域的远程管理工具来管理服务器)在同一个域内,可以有多台域控制器,域内所有域控制器使用一份几乎完全相同的活动目录数据库,域控制器与域控制器之间会不断的进行复制,以达到数据同步。域也是一个整体的安全边界,
11、没有域用户账号,就不能访问域模型中的网络资源,每一台域控制器都存储着域内独一无二的域活动目录数据库分区, 不同域之间的域活动目录数据库分区不同。域是微软在 NT4.0 时引进的目录服务管理平台,微软 AD 域是业界公认的最佳目录服务管理平台,具备一定的稳定性与实用性,目前世界五百强很多企业,都纷纷部署了 AD域来进行企业的 IT 管理1.2.1 域的优势 集中身份验证:使用域架构,管理员只需要在域控制器上,新建一个用户,并且为用户分配它在整个域网络内的权利,那么只要这个用户具备相应的访问权限,这个用户就可以在域内任何一台终端上面,通过一个域用户,来访问企业内任何网络资源,解决管理员需要在不同服
12、务器上分别创建用户的困扰 集中管理网络资源:使用域架构,管理员只要在域控制器上,就可以管理发布整个域网络内的共享文件夹,网络打印机等资源, 用户再也不需要记住每一个共享服务器或7者共享打印机的名字,使用了域之后,用户只需要在域网络中进行搜索,就可以搜索到网络内所有可用的网络资源。 集中策略设置:使用域架构,如果管理员希望让域内客户端统一应用一个策略,那么管理员只需要在域控制器中,设置一个组策略,就可以让域内所有的客户端,或者部分指定的客户端 应用策略,通过组策略,管理员可以集中控制域客户端的桌面,IE设置,系统设置,账户策略设置,密码策略设置,注册表,服务,软件策略,首选项,文件系统等等, 通
13、过组策略,我们几乎可以按照自己的想法,任意的控制域环境内客户端的设置,比较典型的应用,是通过组策略,限制环境内所有客户端的 USB 访问接入,限制环境内客户端随意安装软件,通过组策略,将所有用户的用户配置和文件夹,重定向到服务器上进行集中管理。1.3 什么是 ADAD ( Active Directory),即 活动目录,什么是目录,对照现实生活来说,我们的在电话本中写入了很多个人的电话信息,然后我们通过电话本,可以快速的查找到我们需要的用户,这就是一种目录服务,还有,我们的电子图书馆,图书馆内有很多的书籍,我们把这些书籍录入到电子图书馆系统,然后学生就可以在电子图书馆系统界面去查询和浏览图书
14、,这也是一种目录服务,总结来说,可以针对于已有的存储数据,进行有序的编录,形成一份规范的目录,让用户可以简单便捷的在目录中查询资料,这样的一个功能,我们就叫它目录服务。在域中,我们创建了很多用户和组,发布了很多共享资源,那么怎么去查询和访问这些资源, 我们就可以使用域中的活动目录服务,活动目录服务通过Ldap( Light Directory Access Protocol)协议,可以更加有序的组织管理域中的活动目录数据库,将域内所有的用户、组、共享资源、都纳入到目录服务中去,让用户和管理员,8通过网络邻居中查询搜索的方式, 去访问域中的资源, 而之所以叫做活动目录,是因为 Active Di
15、rectory 并不是固定大小的目录,Active Directory 可以视企业域中数据的大小,来活动的扩展目录大小,相当于一个 无限页数的 “电话本”1.4 如何选择适合您企业的域架构模型默认情况下,当企业环境没有域的情况下,我们去安装配置一台域控制器,来新建一个域,当新建企业内第一台域控制器的时候,同时也新建了企业内第一个林,第一个域树,第一个域,在一个域网络的逻辑概念中,林是最大的一个概念,一个林中可以包含多个域树,一个域树中又可以包含多个域。在一个企业的单个域树中, 域与域之间的名称空间是连续的,单个域树内中的每个域之间都是相互信任的。多个域树之间的名称空间不同,但可以将多个域树组成
16、一个林,林中的所有域树,域,都可以互相访问资源。在一个域网络内,不光有逻辑的林、树、域概念,也有相对的物理概念,比如说,站点,如果企业内的域分布在不同地域 ,域控制器与域控制器之间如果要进行数据库复制,就可以将与域控制器划分为不同的站点,在站点与站点之间进行复制同步的时候,可以结合企业内部网络实际情况,来进行合理的规划控制,例如,可以设置一个复制计划,让站点间的复制只在某一个时间段进行,还可以通过 开销,来设置域控制器之间复制的时候,优先采取那条网络路径。1.4.1 单林单域单站点如果企业之前采用的是工作组管理模型,现在想转到域模型,那么单林单域单站点,是您的首选推荐,选择单林单域单站点也是一
17、个很好的过度,在单林单域单站点的域模型中,管理员只需要维护一个域就可以了, 管理起来相对也并不复杂,也并不涉及到域树、信任、9林,站点管理等概念, 后期如果希望进行负载均衡,容错的话,还可以在一个域内添加多台域控制器进行扩展,以支持更多的访问,如果企业人数在 50-100 人左右,初期希望通过域来进行统一身份验证, 集中管理, 那么这种单林单域单站点,可以很好的帮您过度到域管理阶段。 1.4.2 单林单域多站点如果您的企业相对来说比较大,在不同城市都有分公司,-我们推荐您采取这种单林单域单多站点的架构,企业内部只有一个域,但是我在一个域内,可以部署多台域控制器,将不同的域控制器,放在不同的地域
18、,比如说,contoso 公司,在北京设立总部,在上海设立分部,在没有多站点的情况 上海域用户登录,也许就要去北京的域控制器上,来进行身份验证,如果上海与北京的网络出现故障,或者网络连接不稳定,就会导致上海的用户没办法登陆。但如果采用了多站点,就不会出现这种问题,我们可以分别在北京和上海,部署两台域控制器,结合站点的设置,就可以让上海的用户,登陆到域就通过上海本地的域控制器来做身份验证,北京的用户登录到域,就可以通过北京的域控制器来做身份验证。这样就解决了不同地域用户登录到域的问题,如果您的企业是这种跨地域的公司,那么我们强烈建议您,采用单林单域多站点的架构。1.4.3 单林单域树父子域这种单
19、林单域树父子域的架构,适用于”分散式安全管理“ 与 “站点网络链接慢速“的应用场景,如果企业已经创建了一个父域,当前父域在北京总部建立,随着业务扩展,公司在上海建立了一个分部,公司希望上海和北京的域进行分开的管理,即上海的 IT 管理10员在上海分公司创建的用户、组策略,不会被应用到北京,北京总部只可以创建总部的用户与组策略,不能将在总部创建分部的域用户,从而实现安全边界的“分散式安全管理” 。在单林单域树父子域环境中,也可以将父域和子域部署在不同的地域,从而实现 AD 站点的架构,在父子域架构的多站点钟,父站点与子站点之间进行数据同步的时候,不需要同步很多数据,只需要同步整个林中统一的架构和
20、配置信息,而不需要将父站点的所有数据库内容都同步到子站点,从而降低多站点同步时网络带宽的要求,如果企业分支机构与总部之间网络连接并不快,可以采用父子域架构的多站点方式。 1.4.4 单林多域树单林多域树的架构,适用于更加大型的 AD 拓扑结构,可以将不同地域,不同部门,划分成为一个单独的域树,来加入到林中的根域,域树中可以包含父域,父域中可以包含子域,多域树架构的典型应用场景就是企业兼并,例如 A 公司收购了 B 公司,但是 B 公司名称在市场内也有一定的影响力,所以 A 公司希望 B 公司还保留它原来的公司名称,这种情况就可以在 A 公司建立一个林根域树,然后将 B 公司的现有域树加入到 A
21、 公司中,这样B 公司逻辑上被 A 公司管理,但依然保留 B 公司自己的公司名称。在多域树的架构中,也可以将不同的域树分别部署在不同的站点,但是 AD 发展到今天来看,在企业中,网络可能已经不再是瓶颈,所以如果不是特定的需求,微软建议尽量采用单林单域多站点的架构,越简单越好,能使用多站点解决的问题,就不采用父子域,能用父子域解决的问题就不采用多域树,总之,企业的 AD 域模型,只要能满足需求,拓扑架构越简单越好,管理起来方便,出现错误也容易排错。111.4.5 多林架构多林架构即在企业内部署多个林,来实现一种多林的大型架构,这种架构并不常见,除非公司 AD 架构要求规范的很大,或者要求分散管理
22、,否则一般不会应用多林架构,多林架构的典型应用,一个是跨公司的,两家公司建立了合作关系,希望能够员工能够在自己的公司就可以访问其它公司的资源,那么就可以建立多林架构,组成林信任。另外一种应用场景就是,新旧更替,比如企业在 2003 年,建立了一套 AD 架构,同时采用了exchange2003 作为企业的邮件系统,但是到 2010 年,企业又引进了一批 2008R2 的服务器,上面装了 Exchange2010,希望将旧的运行在 2003 上面的数据迁移过来。那么也可以在这种多林架构下进行跨林的迁移1.5 什么是活动目录数据库之前介绍域的时候,我们提到过,域中的 老大 “域控制器“,上面会存放
23、一个 活动目录数据库,那么这个活动目录数据库中,到底存储了什么?可以说,我们整个域内的所有数据,都存放在这个活动目录数据库中,同时,当用户登录到域客户端,访问资源的时候,就会经过活动目录数据库的身份验证,如果用户登录信息和数据库内信息一致,则允许用户登录,如果用户登录信息与数据库信息不一致,则用户无法登陆。活动目录数据库包括四个分区架构分区:架构分区中存储着整个林中,所有的对象,对象属性定义,架构分区是林中全林复制的,林中所有域树、域、子域,都应用相同的架构分区,除了 administrators 组,只有林中的 Schema admins 组,有权限修改林中的架构分区。配置分区:配置分区存储
24、着整个林中 域树,域,站点,服务,信任关系的信息,配置分区也是林中全林复制的,林中所有域树、域、子域,都应用相同的配置分区。12域分区:域分区存储着每个域内特有的数据,比如域中的用户、组、计算机、共享资源等数据,在一个林中,域与域之间的域分区数据是不相同的,域分区仅在一个域内进行同步。应用程序分区:应用程序目录分区是仅复制到特定域控制器的目录分区。参与特定应用程序目录分区复制的域控制器寄存该分区的副本。只有运行 Windows Server 2003 的域控制器可以寄存应用程序目录分区的副本。我们在 AD 管理工具的 UI 界面修改的数据,比如我们为域中新建了一个用户,发布了一个共享资源,添加
25、了一台计算机,使用 exchange 扩展了 AD 的架构,等等,这些数据,最终都会被存入至活动目录数据库,活动目录管理工具或活动目录域服务,都是以 Ldap协议通过 DN 或 RDN 路径对数据库进行新增、查询、更新、删除等操作 1.6 域的可靠性与容错性1.6.1 域的可靠性企业将微软的 AD 域作为企业的集中管理平台后,就可以将 AD 域作为企业的集中身份验证平台,在 AD 上面创建一次用户,该用户就可以单点访问域网络内所有的资源。可以将 AD 作为企业的资源发布平台,将企业内所有已共享的文件夹,打印机等网络资源,发布到 AD 活动目录中,让用户查询使用,还可以通过 AD 域控制器来统一
26、设置域中的组策略,通过组策略来控制域内所有用户的桌面工作环境、系统设置、安全策略。当企业很好的应用了 AD 域后,就会开始考虑域的一个可靠性,默认我们可能只部署了一台域控制器,这种情况下,如果这台域控制器宕机,就会导致,所有用户没办法登陆,没办法访问网络资源,没办法应用组策略,导致整个网络处于一种瘫痪的状态,如何避免这种情况。我们就可以在一个域内部署多台域控制器来解决可靠性的问题,域内的多台域13控制器,他们的活动目录数据库是几乎完全一致的。简单来说,单站点单域,域内一台域控制器,添加了一个用户,经过 15 秒,也许更快,就会把这个新添加的用户,复制到域中 直接复制伙伴 域控制器的活动目录数据
27、库上,所以,在同一个域内的域控制器,他们的活动目录数据库是相互复制的,即使一台域控制器宕机,那么其它的域控制器也可以挺身而出,接替工作,同时,如果我们为单域环境添加了多台域控制器,那么多台域控制器就可以同时为用户提供服务,可能这台用户登录访问资源,为它提供服务的是这台域控制器,下一个用户登陆,就会是另外一台域控制器为他提供服务,通过添加多台域控制器,不仅可以通过复制的方式,来解决域的可靠性问题,还可以达到负载均衡1.6.2 域的容错性虽然说,我们可以通过在域中部署多台域控制器,来进行负载均衡,避免一台域控制器宕机导致企业网络瘫痪,但是这样却并不能达到一种很好的容错效果,万一 IT 管理员不小心
28、在域控制器上删除了某个用户,万一管理员不小心操作失误,导致了两台域控制器宕机,这种情况下,应该怎么办?这个就是容错考虑,除了前期做好正确的域规划,我们还强烈建议客户,针对于域控制器做好备份,可以使用 Windows Server 自带的 Backup 工具,定期单独备份活动目录状态,或者裸机备份域控制器,或者使用 DPM,Symantec 等其他备份工具,来备份域控制器。除了针对于服务器做备份,还可以针对于与域控制器来启用快照和回收站。这里的快照有两层含义,一种指的是,域控制器虚拟化时,hyper-v 的快照,另外一种指得就是活动目录数据库的快照,从 2008R2 开始,我们就可以在 ntds
29、util 命令集中,针14对于活动目录数据库来制作快照,制作好活动目录数据库快照后,一旦那一天活动目录数据库瘫痪,或者误删除,就可以通过挂载快照的方式,重新挂载恢复活动目录数据库。回收站指的是活动目录回收站,这项功能也是 2008R2 开始引进的功能,通过启用回收站,可以让管理员, “有后悔药可吃” ,默认活动目录中的部分对象,都会有一个墓碑时间,这个墓碑时间,默认是 180 天,比如说,我们误删除了一个用户,删除之后,我们只是给这个用户添加了一个已删除的标记,但是这个用户并未彻彻底底的从我们的活动目录数据库中删除,而是处于一个“游魂阶段”但依然存在于我们的活动目录数据库,等到 180 时间到
30、了后,这个用户才会被彻底的从活动目录数据库中删除。如果我们启用了活动目录回收站的功能后,那么 处于“游魂阶段”的用户,就可以被恢复回来。比如说,我们误删除了一个用户,但是我们启用了活动目录回收站这个功能,就可以在回收站中将这个用户恢复回来。通过这些可靠性与容错性的考虑与实现,就可以保证企业的 AD 域平台更加高度可用,更加可靠的运行1.7 如何创建一个域要实现一台域控制器,对于服务器硬件要求并不是很高。只要你是市面上常见的至强 E5 cpu , 内存 4-8GB,硬盘初期 300-500GB,中小企业采用这样一台服务器,就足够支撑起企业域的运行。同时域服务属于 Windows Server 里
31、面的一个角色,企业不需要额外再购买任何东西搭建域的系统要求 要求服务器安装指定的 Windows Serer 操作系统 要求服务器具备一个 NTFS 分区用来存放 SYSVOL 数据,最小具备 250MB 大小15 规划好企业域名以及服务器静态 IP 地址 必须要有管理员权限,普通用户不能安装域控制器服务器满足这些要求就可以安装域控制器。在最新的 Windows Server 2012R2 中安装域控制器的步骤也并不复杂,一共分为几步 配置服务器 IP 地址,域名,防火墙,更新补丁 添加 Active Directory 域服务角色 指定要采用的域架构模型,定义企业域名 指定企业域功能级别,林
32、功能级别,设置 DSRM 密码 是否委派 DNS,Netblos 网络名称是什么 指定 AD 数据需要存放在哪 验证域控制器配置步骤设置,确认无误,选择创建,重启之后,服务器为域控制器 通过以上几个简单的步骤,输入企业的特定信息,选择合适的架构,就可以帮助企业快速的实现一台域控制器,相比于业内其他目录管理平台,微软的 AD 域服务器架构起来是最简单,最快速的。1.8 AD 集中管理用户资源演示当安装好 AD 域服务角色后,服务器重启,重启好了后,该服务器即升级为一台域控制器,同时,在服务器上会多出如下几个工具16管理员日常针对于 AD 域环境执行创建用户,发布共享资源,组策略设置,主要是在Ac
33、tive Directory 用户和计算机 与 组策略管理。这两个工具中进行操作 Active Directory 用户和计算机界面如下 如果想要创建用户,只需要定位到指定 OU 下,在空白处点击右键选择“新建” “用户”即可指定新建的用户,包括用户的登录名,以及要在 AD 中显示的姓名17 还可以设置用户登录时的密码 输入用户名称,登录名,密码后,就可以完成创建一个用户,默认情况下,这个用户18可以在域环境内任何一台客户端进行登录,但是也可以针对于用户来进行不同的管理限制 比如可以指定用户,只能在那一台机器上登录 可以控制,用户在什么时间段内可以进行登录 包括用户 VPN 拨入时要应用的路由
34、,用户远程连接会话的中断时间,用户的配置文19件,用户在域中的权限,都可以在 AD 用户与计算机中,来对用户进行这种集中的管理。 在 AD 中还可以创建组,将不同的用户加入到组之后,管理员在设置共享文件夹权限的时候,可以针对于一个组来赋予权限,组内所有用户都继承组的权限。在 AD 中,可以创建安全组和通讯组,安全组主要用来指派权利赋予权限,通讯组主要负责收发邮件的,比如我们创建通讯组,那么在发送邮件的时候,就可以针对于一个组来发送邮件。 管理员不光可以在 AD 域控制器上面进行集中的用户创建,用户管理。还可以通过AD 域控制器来发布环境内的网络资源,比如说,环境内有五台文件服务器,五台文件服务
35、器上面又存放了很多个共享文件夹,那么最终用户如果需要访问我的共享文件夹,就需要记住这五台共享文件服务的访问方式,而有了 AD 后,我们就可以在 AD里面来进行统一的发布,将域环境内的共享文件夹都纳入 AD 中,作为一个域共享资源,用户只需要记住访问,我需要访问域,域内就会有我所有想要的资源,就可以了。 要发布域共享文件夹,同样只需要定位到指定 OU 下,在空白处点击右键选择“新建”“共享文件夹”20 在共享文件夹中,输入一个显示名称,以及共享文件的 UNC 路径 点击确定后,即可创建完成一个共享文件夹,但这共享文件夹并不会存在于域控制器上,只是域控制器作为一个逻辑的空间,将网络中一个个共享文件
36、夹做成一个快捷方式,存储到活动目录中。 如果管理员觉得,默认的访问名称,比较繁琐,用户不好记住,还可以针对共享文件21夹设置关键字,让用户在网络里面搜索关键字,就可以找到共享资源 管理员在域控制器上将资源发布好了后,最终用户只需要在客户端的网络邻居上,选择查找网络资源,在查找里面输入相应的关键字,开始查找 就可以找到所有想要的资源1.9 组织单元与组策略企业采用了 AD 域环境后,最核心的三个应用,不外乎就是通过 AD 来集中进行身份验证,集中进行网络资源的发布,统一管理客户端的策略设置,集中的身份验证和资源发布,可以通过 Active Directory 用户和计算机 工具来进行,而集中客户
37、端策略设置,就是通过组策略管理来进行。22组策略即一组策略的集合,通过组策略可以帮助管理员,集中的控制环境内客户端,用户的桌面环境,安全策略,软件策略,管理员在域控制器的组策略管理里面定义好了一套策略,就可以将这套策略,应用到域内的客户端上。组策略的策略设置主要包括一下几个大的方面:客户端统一桌面工作环境:通过组策略控制客户端的桌面图标、开始菜单、屏保锁屏,用户账户,个性化设置,用户配置文件,资源管理器设置,日历设置操作系统统一设置:通过组策略集中域内客户端的环境变量,系统启动,电源设置,可移动设备访问,硬件设备安装,系统驱动器访问,更新设置,网络设置,打印机设置,驱动程序设置,powersh
38、ell 设置安全设置:通过组策略可以控制域内客户客户端安全策略,账户策略,密码安全策略,软件限制策略,公钥策略,应用程序控制策略,注册表,本地组,系统服务,事件日志等策略设置,还可以通过组策略实现对于环境内客户端的审核策略,通过审核策略,可以审核域客户端的账号登陆,远程访问,文件访问,特权使用,实现审计功能。软件安装:在 AD 组策略中,也提供软件推送安装的策略设置,通过组策略就可以简单的向域内的客户端去推送软件,可以通过发布或者分配的方式去推送软件,通过组策略仅可以推送 MSI , MSP ,ZAP 三种格式的软件。首选项设置:首选项设置是 Windows Server2008 开始之后,提
39、供的,针对于组策略的一些增强,通过首选项设置,可以预先在客户端配置好需要应用的设置,客户端一旦用到配置,就会自动应用首选项中的指定,首选项中提供了更多更方便的客户端策略控制操作,比如,在首选项中可以设置,为环境里面的域客户端统一在桌面创建一个文件夹,统一复制一个文件到所有客户端上,在首选项中为所有客户端的本地用户与组,新建用户。23开机/关机/ 登录/注销时的操作:在组策略中也可以进行脚本设置,指定域环境内客户端,开机,关机的时候,需要运行那些远程脚本来执行任务。其实组策略里面管理员定义的一个个策略,在后台修改的就是注册表,早期 NT,98时代,那时候组策略的功能还不是很健全,所以管理员如果要
40、执行一些终端规范化,终端的安全设置,有时候还需要去手动修改注册表,而随着操作系统越来越庞大,注册表里面的键值也越来越多,再使用注册表去控制计算机,就不是非常方便,于是微软提出了组策略,管理员通过在组策略中,就可以修改计算机的运行环境,桌面,系统设置,安全设置。在工作组环境下,可以通过本地组策略来设置工作组计算机的策略,在域环境下可以通过组策略,来统一设置域中客户端的策略。管理员可以在组策略中根据如上这些个角度,来针对环境内客户端进行统一桌面,统一系统设置,统一安全,从而达到一种标准化、安全的企业终端策略管理。管理员不光可以将策略应用到域上,也可以将组策略应用到一个组织单元中,换言之,如果管理员
41、不希望我制定一个策略,就让所有客户端都应用这个策略,只想让一部分客户端应用策略,也是可以的,可以在域中创建多个组织单位,针对不同的组织单位设置不同的策略,如果组织单位策略与域策略产生冲突,那么最终组织单位内的客户端,以组织单位策略为准。组织单位就是一个容器,管理员可以将用户,组,计算机,统一放到一个组织单位下进行统一的管理。微软建议,如果可以通过划分组织单位就能够解决的问题,则不必新建域。组织单位一般可以按照地域位置,按照工作职能,按照公司结构来进行划分,从而体现企业的组织架构划分组织单位主要的目的是针对组织单位应用组策略,或者,可以将一个组织单位委24派给人进行管理,比如 a 公司建立了一个
42、域,在域中划分了销售部,信息部,人事部,三个组织单位,那么总的管理员就可以去针对这三个组织单位来委派管理员,比如将销售部的组织单位委派给销售部的某个人进行管理,那么销售部日常的账号新建,组新建,删除等等操作,就可以由销售部门自己进行。1.10 AD 集中管理域客户端策略演示实际针对组策略的管理也非常简单管理员如果需要统一设置客户端策略,只需要在域控制器上打开 “组策略管理“ 选择策略右键点击编辑,即可看到策略设置视图25 可以轻易地控制客户端移动设备的访问 可以轻易控制客户端的统一电源策略26编辑好了后,等待 30-90 分钟,客户端即可应用我们设置的策略,组策略设置起来就是这么简单1.11
43、使用 AD 域带来的好处1.11.1帮助企业构建统一身份验证平台企业没有搭建域环境之前,是由每台服务器独立存储着自己的身份验证数据库,有了 AD 域环境之后,企业中所有的客户端,服务器,都可以通过域服务器来进行集中的身份验证,用户只需要具备一个域账户,就可以在域中任何一台客户端登陆。只需要具备一个域账户就可以访问企业任何的共享文件夹,企业架构了域环境后,还可以将现有的 OA系统,CRM 系统,ERP 系统与 AD 进行身份验证的集成,实现通过 AD 账户,就可以单点访问企业中任何的系统,任何的资源。1.11.2帮助企业构建统一资源发布平台企业没有搭建域环境之前,如果有很多台文件服务器共享了文件
44、和打印机,那么用27户如果需要访问的话,就需要记住这五台服务器的访问方式,企业架构了域环境后,域控制器可以将企业网络内所有共享资源集中的进行发布,对于用户来说,用户不再需要记住一台一台的服务器,只需要在域网络内进行简单的搜索,就可以轻易获取到自己想要的资源。1.11.3帮助企业构建集中的策略管理平台企业搭建 AD 域环境之后,默认就具备了网络集中策略管理的能力,不需要再额外购买其它套件,管理员只需要在 AD 域控制器上,经过一些简单的操作设置,就能够统一管理企业客户端的桌面环境,安全策略,设备访问。通过搭建 AD 域环境,使用组策略,可以帮助企业终端实现集中的管理,实现桌面的标准化,统一化,集
45、中的控制终端安全。2.使用 SCCM 提高企业 IT 生产力2.1 什么是 SCCMSCCM ( System Center Configuration Manager ),是微软 System Center 中的一个套件,主要用来配合企业 IT 管理战略,实现企业桌面终端的标准化管理,资产统计,远程维护等功能。通过 SCCM 管理员可以灵活按需的进行批量软件部署,批量系统部署,批量软件更新,从而提高企业 IT 生产力,让企业 IT 更加标准化,自动化。2.2 SCCM 软件分发通过 SCCM 可以针对于企业内部的 PC 设备,移动设备进行软件推送,SCCM 不光支持针对电脑的软件推送,也支持
46、针对于 Windwos Phone,IOS,IPAD ,安卓设备进行28软件推送。那么,企业已经有了 AD 域环境,可以通过组策略推送软件了,为什么还要用 SCCM去分发软件呢?因为 SCCM 更加灵活,更加专业。通过组策略只能推送 MSI,ZAP,这两种有限格式的软件,其它格式,比如 exe,zip 这种常见的软件格式,组策略都不支持,但是 SCCM 支持, SCCM 支持更加广泛的软件类型, 可以将 exe 格式,安卓格式,WindowsPhone 等应用格式的软件,分发给客户端或者手机。同时使用 SCCM 进行软件分发,还可以进行更加详细的策略设置,比如软件推送是可用的还是强制的,软件要
47、在什么时间内进行分发,软件要分发到那些满足条件的客户端,这些都是可以进行控制的。SCCM 还提供用于软件分发的自服务门户,可以让用户在 Web 门户中进行选择软件安装,请求安装的操作管理员在管理控制台执行批准操作后,用户就可以进行软件安装29在最新的 SCCM 2012R2 中,有着以用户为中心服务概念,现在企业中员工来到单位办公,可能会带着自己很多个终端,包括笔记本,PC,平板,智能手机等等,这种情况下,如果直接使用 SCCM 进行软件分发,也许就会把用户所有的终端都给安装上软件,但是管理员可以在 SCCM 里面定义,用户的主要使用设备是那个,这样,在分发软件的时候,就可以只把软件分发到用户
48、的主要使用设备上。或者管理员可以定义设备的主要用户,等等,有了这个功能后,管理员进行分发软件,就可以用户为服务中心,进行 IT 管理,用户需要在那台设备安装,就在那台设备安装,用户需要给这台设备那个用户安装,就给那个用户安装。2.3 SCCM 操作系统分发微软针对于操作系统分发,有很多针对的解决方案,比如 WDS , MDT ,SCCM,微软针对于操作系统分发主要分为几个大类:标准镜像部署,定制镜像部署,轻接触部署,零接触部署。标准映像部署:简单来说就是通过 WDS 进行 PXE 网络引导,然后由 TFTP 下载映像进30行能安装,或者是直接通过 CD,image 映像进行安装,不执行任何自定
49、制,自动化操作的操作系统部署,就是微软的标准映像部署。定制映像部署:即微软所说的 OSD,OSD 的流程,首先需要安装一台干净的模板机,然后为这台机器安装软件,更新,优化,执行好了标准的模板更改操作后,将模板进行sysprep,然后捕获上传到映像部署服务器,可能是 WDS,MDT,或者 SCCM,然后WDS 再根据捕获上来的映像,进行操作系统分发。这样最大的好处,就是可以在捕获模板机的时候,就把软件补丁都安装进去,捕获下来,然后新的操作系统部署,直接使用捕获下来的映像进行安装,就不必执行标准部署,不必再单独进行软件推送和补丁推送。轻接触部署:轻接触部署就是将操作系统部署中的步骤进行简单化,比如说可以使用WDS 结合 MDT,在 MDT 中就可以预先把要执行部署的操作系统,分区,系统名称等等都设置好,等部署的时候,用户只需要输入简单的个性化信息,即可完成操作系统的轻接触部署。零接触部署:就是将操作系统部署的过程完全实现无人值守自动化安装,不需要人为干预,即可完成操作系统的部署,令接触部署操作系统可以使用 WDS+ADK 或WDS+MDT+ADK 或 SCCM 实现,零接触大体思维就是将操作系统部署的过程,都在配置文件或者 unattend 中定义好,操作系统过程中需要设置的步骤,就会由相应的配置文件自动完成。不论是标
