2013年7月10日星期三

Windows Server 2003 域控制器搭建与软件派发

NOTE:
1、域服务器的前提是DNS服务器,一般选择集成安装DNS,对于新手分离安装比较麻烦,因为AD会在DNS下创建许多SRV记录。

2、更改设置后需要更新策略,使用命令gpupdate可以很快的更新,不需要等待设置生效。

 

1、域服务器搭建

2、用户和计算机账户管理

3、客户端域连接

4、软件推送安装

1.1 DNS与TCP/IP配置

image

1.2 安装活动目录
  1)开始/运行/dcpromo
  2)开始/管理工具/配置您的服务器向导

image

image

image

AD安装向导

image

操作系统兼容说明

image

选择域控制器类型

image

创建一个新域

image

创建域名

image

NetBIOS域名,一般不做更改

image

指定数据库和日志文件的存放位置

image

共享系统卷,此文件必须放在NTFS卷上,sysvol文件是被用于以后的域信息同步的,所以在安装完后会自动的共享出来。

image

DNS注册诊断。一般选择集成安装DNS,对于新手分离安装比较麻烦,因为AD会在DNS下创建许多SRV记录。

image

设置权限,一般来说默认即可,2000以前的很少用了。

image

AD在进入目录服务还原模式时使用的管理员密码。注意与现在的管理员密码概念区分。此密码只适用于目录服务还原模式。此模式在大家平时选择进入安全模式的菜单下可以找到。

image

所创建的域环境摘要,说穿就是你前面的设置信息,单击“下一步”系统部署AD。在此之前如果没有填写TCP/IP的信息,会在安装过程中要求填写TCP/IP信息

image

至此,活动目录安装完成,必须重启计算机,活动目录才会生效。
在活动目录安装之后,不但服务器的开机和关机时间变长,且系统的执行速度会变慢。

image

1.3 检查安装结果

1)在登录界面多出一个“登录到”的选择框。

image

2)计算机的名称和域改变了。

image

1.3 检查安装结果

3)检查DNS文件的SRV记录:用文本编辑器打开%SystemRoot%/system32/config/下的Netlogon.dns文件,查看LADP服务记录。

image

4)验证SRV记录在NSLOOKUP命令工具中是否运行正常。

(1)在命令提示下输入 “nslookup”;

(2)输入set type=srv;

(3)输入_ldap._tcp.wowo.com。

如果返回了服务器名和IP地址,说明SRV记录工作正常。

image

2、用户和计算机账户管理

1)单击“开始/管理工具/Active Directory 用户和计算机”,打开用户和计算机窗口;

2)新建组织单位:右键单击“新建”/“组织单位”,在弹出的对话框中填写组织单位名称,单击完成;

image

image

3)新建用户:选择刚建立的组织单位,右键单击,选择“新建/用户”,依次填写用户名和密码。

Ps:密码应符合复杂性要求,默认情况下至少为六个字符长,且包含英文大、小写字母、10个基本数字、非字母字符中的三类,如123.com。

可以通过“程序>管理工具>域安全策略>帐户策略>密码策略”禁用密码复杂性。

image

3、客户端域连接

1)更改客户端TCP/IP设置:将DNS服务器设置为域服务器的IP(为保证连接成功,在此将默认网关也设置为服务器IP);

2)客户端连接域:在桌面上右键单击“我的电脑”,依次选择“属性”/“计算机名”/“更改”,选择“域”,并填写域名。

image

image

3)在弹出的对话框中输入刚创建的用户名和密码,系统会自动进行验证,如果验证成功,会有相关提示;

4)重启计算机,用刚建立的用户名和密码登录,并选择自己所创建的域。

imageimage

image

4、软件推送安装

4.1 设置用户登录脚本

1)在服务器上创建一个用于存放安装程序的文件夹,并以适当的权限共享该文件夹,在此,采用域默认的共享文件夹,以“kuwo2012.exe”安装为例。

image

2)在域控制器上创建一个批处理文件(.bat),假设该文件夹名为 install.bat,在文件中输入以下语句保存:

\\服务器名\共享名\安装程序名,如\\192.168.1.243\sysvol\kuwo2012.exe

Ps:设置完成后,可以在远程客户端上按照此路径尝试一下,是否可以远程打开。

3)以管理员身份登录域控制器,启动“Active Directory 用户和计算机”管理单元。

4)选择域用户组织,右键单击,选择“属性”,单击“组策略”选项卡,新建策略(如installSet)并单击“编辑”,打开组策略编辑器。

image

5)找到“用户配置”/“windows设置”/“脚本(登录/注销)”,双击“登录”,打开“登录属性”对话框,点“添加”,找到刚创建的install.bat脚本,把脚本拖到浏览文件的对话框中(PS:不要更改选择路径)。

image

4.2 发布发布

通过设置用户登录脚本发布的软件在用户每次登录时都会安装,这是我们不希望的,尤其是对于那些有安装向导的软件,那么有没有更好的方法让用户在登录时就自动安装了,而用户自己察觉不到呢?

1) 软件封装

使用域控制器的软件发布功能,对软件是有一定要求的,对于那些exe等格式的安装包是无法发布的,必须将软件打包成MSI程序包。

制作MSI程序包的软件很多,但不是随便哪一种都可以,最好采用微软的WinSTALL,通过两次获取系统的快照,进行对比,制作MSI格式的软件包。

2) 建立共享文件夹

在服务器上新建一个共享文件夹,如share,也可以使用域控制器默认的sysvol文件夹,从安全的角度考虑,可将共享文件夹的权限设置为“读取”。

将封装好的MSI程序包放入共享文件夹内。

3) 发布软件

与设置用户登录脚本类似,打开“组策略编辑器”,在“用户配置”下选择“软件安装”,在该项上右击,选择“新建”/“程序包”,在出现的“打开”文件对话框左侧选择“网上邻居”,然后从网络上找到自己存放安装程序的共享文件夹,打开其中的MSI文件。

image

PS:从网上邻居打开安装程序包,是为了保证网络里的用户或计算机都能够找到共享文件夹,如果直接在“我的电脑”里打开的话,那么组织单元的应用对象将同样在本机的“我的电脑”中查找,而不到存放程序包的文件夹中去运行安装文件了。因此正确的路径方式应使用本地计算机的 UNC 路径,即 \\服务器名\共享名\路径\文件名.msi

选中要发布的软件之后,会出现部署对话框,有三种选择,通常选择“发布”或“指派”。如果选择“已发布”,只是将软件发布给用户,还需要用户在“控制面板”中的“添加或删除程序”/“添加新程序”中手动安装;若选择“已指派”则会自动安装,不需要用户手动添加。在此,我们选择“已指派”。

image

如果我们不希望用户在“控制面板”中的“添加或删除程序”/“添加新程序”列表中看到发布的软件,可以将其设置为隐藏,方法如下:

选中已指派的软件,右键单击,选择属性/部署,将“不要在‘添加/删除程序’面板中显示这个程序包前的复选框勾上。

image

最后使用gpupdate命令刷新策略,重启客户端,此时在开始菜单中能看到发布的软件已经安装完成。

没有评论:

发表评论