创建OU设置权限和分发安装软件.doc

.创建OU委派权限OU就是组织单位，能把用户、组、计算机和其他组织单位放入其中的活动目录容器，OU在域控制器(DC)上创建，控制权限仅次于域OU和组账户都是活动目录对象，都是基于管理的目的创建OU中可以有用户账户、组账户、计算机、打印机、共享文夹及子OU等对象OU是活动目录中最小的管理单元OU是活动目录和企业中最重要的组件之一，它是活动目录和企业的实际环境联系的纽带1创建OU创建OU步骤以系统管理员身份登录域控制器，在开始菜单中依次单击“管理工具” “Active Directory用户和计算机”菜单项，打开“Active Directory用户和计算机”窗口。在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中依次选择“新建” “组织单位”命令2添加用户到OU中3给OU中的用户赋予权限4委派高级权限将用户添加入OU中然后。然后选取一个用户委派权限管理OU中的成员/article/627.html分发软件包为Active Directory域中的计算机或用户安装各种应用软件是网络管理员的日常工作之一，而通过编辑组策略在Active Directory域中进行“软件部署”是迅速完成任务的理想方式。在Active Directory域中实现软件部署主要取决于三个方面：Windows Installer、组策略和安装文件本身，并且既可以为域用户部署软件，也可以为域成员计算机部署软件。MSI（Microsoft Software Installer，微软软件安装器）文件是Windows Installer能够部署的仅有的两种文件类型之一，Windows Installer是Microsoft企业制定的一种安装文件标准，采用这种标准的安装文件会采取一种所有组件彼此独立的方式进行打包。用户可以对这种安装文件进行检查、精简，并可以决定将其安装在本地或是不安装。1以系统管理员身份登录域控制器，打开“Active Directory 用户和计算机”窗口。在左窗格中右键单击域名，并选择“属性”命令2在打开的属性”对话框中切换到“组策略”选项卡， 并单击“新建”按钮新建名称为MSPY2003的策略保持MSPY2003策略的选中状态，单击“编辑”按钮打开“组策略编辑器”窗口。在左窗格中依次展开“用户配置”“软件设置”目录，然后右键单击“软件安装”选项，在弹出的快捷菜单中依次选择“新建”“程序包”命令在“计算机配置”和“用户配置”目录中都包含“软件安装”选项，并且都用于在AD域中部署软件。如果软件要部署到AD域中的计算机中，需要在“计算机配置”目录中进行设置；如果软件要部署给AD域中的用户，则应该在“用户配置”目录中设置。在Windows Server 2003（SP1）系统中，Windows Installer提供“发布”和“指派”两种软件部署方式。“发布”方式不会自动为域内客户安装软件，而是把安装选项放到域用户的“添加或删除程序”中，供用户在需要的时候自主选择安装；“指派”方式则直接把软件安装到域成员计算机的开始菜单程序组中。“发布”方式一般用于给用户提供各种软件工具，由用户按需选择安装或不安装；“指派”方式可用于软件的强制安装使用，用户无权自行卸载软件。返回“组策略编辑器”窗口，可以在右窗格中看到已经发布的软件名称。关闭“租策略编辑器”窗口和“Active Directory 用户和计算机”窗口在Active Directory域控制器中完成软件发布操作后，在Active Directory工作站中以系统管理员组用户身份登录到Active Directory域中。打开“控制面板”窗口，双击“添加或删除程序”图标打开“添加或删除程序”窗口。在窗口左侧单击“添加新程序”按钮，然后在右侧的“从网络添加程序”列表中可以看到已经发布的程序名称。单击“添加”按钮开始安装备份域控制器系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录8部分,通常情况下只前3部分。这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份。一.备份Active Directory数据 如果一个域内存在不止一台DC,当重新安装其中的一台DC时备份Active Directory并不是必需的,你只需要将其中的一台DC从域中删除,重新安装,并使之回到域中,那么另外的DC自然会将数据复制到这台DC上。 二.Active Directory的恢复 有两种办法可以恢复Active Directory。 第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复。 如果一个域内剩下最后一台DC,那就非常有必要对Active Directory进行备份。详细过程如下: 1.开始菜单-运行,输入ntbackup,启动备份工具。 选高级模式2.在欢迎标签中使用备份向导,在备份向导对话框选择备份的内容页面中选择只备份系统状态数据,下一步。 3.在备份保存的位置页面中输入存放备份数据的文件名,如d:akAD0322。bkf,下一步,完成备份向导。如果要进行一些设置,如备份完成后验证数据,请使用高级选项进行配置。 4.选择完成开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间。备份完毕系统会生成备份报表。开始还原了这里如果主域控制器挂掉了，那么需要重新安装操作系统，这里的环境为了试验效果，把新建的OU给删除了，现在来恢复一下开机从备份介质进行恢复。通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情。 1.验证方式和非验证方式 从备份介质进行Active Directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore)。 通常情况下,Windows2000使用非验证方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据。举个例子,假设今天是星期五,你使用了星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据。 验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化。还拿上面的例子来说,当你在星期五使用星期三的备份恢复了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态。验证模式恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用验证方式恢复Active Directory,强制使域恢复到原来的好的状态。应该说这种方式是用的比较多的一种恢复Active Directory的方式。 2.非验证恢复Active Directory 要实现非验证恢复,目录服务必须处于离线状态(备份Active Directory时目录服务不必处于离线状态)。为恢复Active Directory,你必须使用server处于目录服务恢复模式。要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按F8,启动系统启动高级菜单,选择目录服务恢复模式。 当Windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在Active Directory中的管理员的账号和密码,因为这时Active Directory处于离线状态,不可用。你只有使用存储在安全账户管理器,有时称之为SAM中的管理员账号和密码进行登录)。登录成功后,你就可以进行恢复Active Directory的操作。 (1)启动Windows2000自带的备份程序:开始-运行,输入ntbackup; (2)在欢迎标签中选择恢复向导,跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集。 (3)选择合适的备份文件,完成数据恢复。重新启动机器即可。 (4)注意:通常情况下,你不能恢复60天以前备份的Active Directory数据,这是因为受Windows2000 tombstone lifetime(可以理解为生存时间吧,因为不能准确的翻译出其含义,只好照搬上了。-沧海),除非你进行了设置。 3.验证方式恢复Active Directory 为实现验证方式恢复,你必须首先实现非验证方式恢复,然后你可以使用NTDSUTIL命令行工具实现验证式Active Directory恢复。验证式恢复可以实现全部或部分Active Directory数据的恢复。 (1)使用非验证方式恢复Active Directory,重新启动机器。 (2)再次使用目录服务恢复模式启动Windows2000,以管理员身份登录。 (3)开始-运行,输入ntdsutil,启动命令行工具。 (4)恢复整个Active Directory数据库,使用下列命令: authoritative restore restore database 恢复部分Active Directory数据,使用下列命令: authoritative restore restore subtree ou=Brien,dc=files,dc=COM 红色部分要根据实际情况确定,比如