刚使用Active Directory的常见问题
来源:互联网 发布:matlab 矩阵正交化 编辑:程序博客网 时间:2024/05/29 19:02
刚使用Active Directory的三点问题。刚接触刚在企业内部开始推广Active Directory 活动目录的管理员朋友们,都会遇到这样的尴尬:用户是否使用活动目录,活动目录管理员无法控制,活动目录变成了一个可有可无的东西。为什么这么说呢?请看如下三点Active Directory活动目录的常见问题:
1不登录到域的用户不允许接入接入公司网络(身份验证),比如,一台机器不加入AD,则不能访问任何网络内资源,必须通过身份认证才可
2.定义域中共同的操作与方法,比如,在某一个时间段分发安装一个软件,或者开机后所有机器自动登陆公司网站等
3.移动计算机以及重新安装过系统而又未通知管理员的机器如何管理?
请问以上情况AD环境可以实现和解决吗?
回答:根据您的描述,我对这个问题的理解是:您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
您需要了解AD环境是否支持以下管理特性:
1. 不属于域的计算机或是不登录到域的用户不许接入公司网络;
2. 实现域中客户机的集中化操作,如统一分发软件、自动访问网站等;
3. 管理移动计算机以及新安装的系统。
对于以上问题:
1. 可以在AD环境下实现。有很多方案可以做到,如:在域内统一实施IPSec策略或是设置802.1x认证等。当计算机不属于该域或是非本域用户登录时,虽然可以物理连接到网络,但是由于未经过身份验证,无法和域内的服务器或客户机实现通信。
希望了解更多关于IPSec的信息,请参考:
Internet Protocol Security (IPSec)
http://technet2.microsoft.com/windowsserver/en/library/cef71791-bcf2-4f0f-9a56-db1682cf8a241033.mspx
希望了解更多关于使用802.1x验证保护网络访问的信息,请参考:您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
802.1X Authenticated Wired Access
http://technet2.microsoft.com/windowsserver2008/en/library/1a3d42a2-a323-4194-b1c1-a4d009e97adf1033.mspx
关于您的第一个问题:可以限制用户上网。
因为整个网络中可以部署IPSec策略实现加密通信。如果没有加入到域,那么此计算机无法和域中已经实现IPSec的计算机通信(包括代理服务器),既不能访问公司文件也不能上网,只能访问本地资源和未实现IPSec的服务器。
2. 可以通过AD实现。AD中的组策略可以用来向客户机统一分发软件,只需在某容器的策略中指定分发软件包,该容器下的用户或计算机都会得到此软件的安装信息以及安装该软件。组策略也可以实现对IE的统一设定。此外,对于更加复杂的自动化管理需求,可以将其写成脚本,并利用组策略将脚本分发到客户机或用户,使其在启动/关机或是登录/注销时自动执行。
希望解更多关于使用组策略实现软件分发的信息,请参考:
Use Group Policy Software Installation
http://technet2.microsoft.com/WindowsServer/en/library/b238ecdb-cda5-402b-9b3d-f232045a30fa1033.mspx
希望了解更多关于组策略分发脚本的信息,请参考:您看到的文章来自活动目录seo http://gnaw0725.blogbus.com/c1404552/
Use Startup, Shutdown, Logon, and Logoff Scripts
http://technet2.microsoft.com/windowsserver/en/library/22cf660f-c165-49e3-b768-2b8898a5684b1033.mspx
关于您的第二个问题:
如果计算机加入到了域(在该计算机的“系统属性”?“计算机名”中可以确认),不论登录到该机器的用户是域用户还是本地用户(甚至没有任何人登录,只要该计算机启动完毕),此计算机始终会接受域的统一管理,如:IPSec策略、网络访问限制等等。
当然,我们也能够对登录进行限制,如:可以设置“允许本地登录”的策略,仅允许域用户和本地管理员登录到此计算机。
3. 如果是加入到域的移动计算机可以被AD管理。而且,由于策略设置等信息会被保存在客户机本地,即使是离线以后,仍然可以接受管理。但如果没有加入到域,比如是新安装的系统,是无法被AD管理的。
穆骥 微软全球技术支持中心
- 刚使用Active Directory的常见问题
- 刚使用Active Directory的常见问题(2)
- Azure Active Directory 常见问题
- 使用Active Directory
- Active Directory的安装
- openfire使用Active Directory时用户名大小写的问题
- xendesktop 使用Active Directory来检测构成站点的控制器
- Active Directory的主要还原,Active Directory系列之五
- Active Directory的复制拓扑,Active Directory系列之八
- Active Directory的复制拓扑,Active Directory系列之八
- Active Directory的主要还原,Active Directory系列之五
- Active Directory的主要还原,Active Directory系列之五
- Active Directory的复制拓扑,Active Directory系列之八
- Active Directory 对象的控制
- Active Directory的复制拓扑
- 关于Active Directory的文章
- Active Directory的java访问
- Active Directory的基本认识
- 哈哈,android源代码可以下载啦
- 2008-10-11迈瑞和腾讯的题目
- Windows Vista登录域
- 中国最伤感的2首歌
- nginx常用设置
- 刚使用Active Directory的常见问题
- 刚使用Active Directory的常见问题(2)
- Custom role-dependent user profiles
- C#读写INI配置文件
- Monitoring Clusters With SNMP
- 批量修改域用户登录脚本
- TDD (Test-Driven Development) 全攻略
- 域中打印机共享添加
- 禁止本地用户登陆
