AD+SCCM桌面標(biāo)準(zhǔn)化解決方案

1、精選優(yōu)質(zhì)文檔-傾情為你奉上精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)專心-專注-專業(yè)精選優(yōu)質(zhì)文檔-傾情為你奉上專心-專注-專業(yè)AD+SCCM桌面標(biāo)準(zhǔn)化解決方案Professional Wang目錄 TOC o 1-3 h z u 序言中國(guó)現(xiàn)在正全面開展企業(yè)信息化建設(shè)，各大企業(yè)也紛紛加入到了開展企業(yè)信息化的行列，在開展企業(yè)信息化的過(guò)程中，不同地方，不同企業(yè)的信息化進(jìn)展都不一樣，在信息化發(fā)展的過(guò)程中也會(huì)面臨各種各樣的挑戰(zhàn)，比如說(shuō)，在信息化開展的初期，企業(yè)可能沒(méi)有一種很好的IT集中化管理方式，導(dǎo)致企業(yè)內(nèi)部的計(jì)算機(jī)與服務(wù)器都很分散，沒(méi)有辦法去集中的進(jìn)行控制，一旦計(jì)算機(jī)與服務(wù)器出現(xiàn)故障，或者企業(yè)桌面需要

2、安裝軟件，更新操作系統(tǒng)，補(bǔ)丁更新等操作的的時(shí)候，IT管理員就需要充當(dāng)消防員的角色，趕赴到各個(gè)終端的現(xiàn)場(chǎng)，去進(jìn)行很多重復(fù)性的安裝、更新、修復(fù)工作，這樣就不是一種很高效的IT運(yùn)作方式，時(shí)間久了，不光是IT管理員難以有更多的發(fā)展空間，對(duì)于用戶與企業(yè)來(lái)說(shuō)，如果真的很多臺(tái)計(jì)算機(jī)都出現(xiàn)了故障，如果要進(jìn)行一次大批量的軟件更新，系統(tǒng)安裝，也需要很長(zhǎng)的時(shí)間才能交付完成，而且分散管理模型中，如果真的大規(guī)模出現(xiàn)了故障，往往也很難找到故障所在，沒(méi)辦法很快速的修復(fù)解決問(wèn)題。針對(duì)于這些挑戰(zhàn)，我們推薦采用微軟的AD+SCCM解決方案, 來(lái)幫助企業(yè)進(jìn)行IT的集中管控，通過(guò)AD+SCCM的技術(shù)，幫助企業(yè)高效靈活的進(jìn)行集中身份驗(yàn)

3、證，集中網(wǎng)絡(luò)資源發(fā)布，集中策略設(shè)置，軟件安裝，軟件更新，操作系統(tǒng)安裝，資產(chǎn)統(tǒng)計(jì)，遠(yuǎn)程協(xié)助，計(jì)算機(jī)安全評(píng)估等操作，IT管理員只需要坐在AD和SCCM服務(wù)器跟前，就能自動(dòng)化，大批量，標(biāo)準(zhǔn)化的為企業(yè)進(jìn)行桌面管理，使管理員從重復(fù)性的IT工作中解放出來(lái)，可以投入更多的精力，來(lái)幫助企業(yè)優(yōu)化IT業(yè)務(wù)系統(tǒng)。同時(shí)也幫助企業(yè)IT信息化進(jìn)入一個(gè)更高的層次。使用AD域進(jìn)行企業(yè)IT集中管控為什么企業(yè)要用域 自1981年，IBM與微軟聯(lián)合，推出了第一款個(gè)人PC之后，個(gè)人PC漸漸的走進(jìn)了我們的生活，讓普通用戶也可以對(duì)計(jì)算機(jī)觸手可及，隨著信息科技的發(fā)展，個(gè)人PC也越來(lái)越便宜，操作系統(tǒng)也越來(lái)越易用，如今，個(gè)人PC已經(jīng)幾乎遍布了

4、每家企業(yè)，每個(gè)人的家里。 有了個(gè)人PC之后，企業(yè)開始想，我們都可以用計(jì)算機(jī)來(lái)做什么，這時(shí)候計(jì)算機(jī)網(wǎng)絡(luò)就漸漸映入了人們的眼簾，企業(yè)可以在一個(gè)網(wǎng)絡(luò)中，讓網(wǎng)絡(luò)中的計(jì)算機(jī)進(jìn)行互連，通訊，資源共享，以及交互娛樂(lè)，電子商務(wù)，信息管理，生產(chǎn)管理，等高級(jí)網(wǎng)絡(luò)應(yīng)用。 其中，對(duì)于企業(yè)來(lái)說(shuō)，首要的就是互連與資源共享，互連，指的就是通過(guò)網(wǎng)絡(luò)設(shè)備將分布在同一地點(diǎn)或不同地點(diǎn)的計(jì)算機(jī)連接起來(lái)，形成同一個(gè)網(wǎng)絡(luò)，讓同一個(gè)網(wǎng)絡(luò)內(nèi)的計(jì)算機(jī)，可以共同遵循某種協(xié)議，來(lái)進(jìn)行互相訪問(wèn)，簡(jiǎn)單來(lái)講，互連就是讓不同的計(jì)算機(jī)與計(jì)算機(jī)之間，可以進(jìn)行互訪通訊了。 將企業(yè)中的計(jì)算機(jī)互相連接起來(lái)形成一個(gè)計(jì)算機(jī)網(wǎng)絡(luò)后，下一步就是通過(guò)資源共享，來(lái)讓不同的計(jì)算

5、機(jī)，訪問(wèn)我們共享的資源，來(lái)進(jìn)行基本的協(xié)同工作。在傳統(tǒng)的分散式網(wǎng)絡(luò)管理模型，也就是我們常見的工作組模型中，每一臺(tái)計(jì)算機(jī)，都是獨(dú)立的計(jì)算機(jī)，獨(dú)立的身份驗(yàn)證數(shù)據(jù)庫(kù)，獨(dú)立的管理，在這種工作組模型中，好處就是每臺(tái)計(jì)算機(jī)都獨(dú)立平等的，每臺(tái)計(jì)算機(jī)都是一個(gè)獨(dú)立的安全邊界，可以快速方便的建立起一個(gè)工作組，將多臺(tái)計(jì)算機(jī)加入到一個(gè)工作組，在一個(gè)工作組里面進(jìn)行資源共享。但是從企業(yè)的角度來(lái)看，這種工作組網(wǎng)絡(luò)模型，并不是最理想的一種網(wǎng)絡(luò)模型，它還是有一定的缺點(diǎn)的。1.1.1 傳統(tǒng)分散式網(wǎng)絡(luò)模型缺點(diǎn)網(wǎng)絡(luò)集中管理不方便因?yàn)槊颗_(tái)工作組計(jì)算機(jī)都是獨(dú)立的安全邊界， 所以如果我們想要為企業(yè)所有的計(jì)算機(jī)統(tǒng)一設(shè)置一套賬戶安全策略，密碼策

6、略，計(jì)算機(jī)安全策略，就需要去每臺(tái)計(jì)算機(jī)上，都設(shè)置一遍相同的策略，而不能只設(shè)置一次，讓所有計(jì)算機(jī)一起應(yīng)用，這種情況，針對(duì)于企業(yè)內(nèi)客戶端的統(tǒng)一管理，就變得很不集中，很不方便。身份驗(yàn)證不集中，網(wǎng)絡(luò)資源共享配置繁瑣因?yàn)槊颗_(tái)工作組都存儲(chǔ)著獨(dú)立的身份驗(yàn)證數(shù)據(jù)庫(kù)， 所以如果我們?cè)谝慌_(tái)工作組中的計(jì)算機(jī)上，想要共享資源出來(lái)讓大家訪問(wèn)，首先我們需要在這臺(tái)計(jì)算機(jī)上建立需要運(yùn)行訪問(wèn)共享資源的用戶，比如說(shuō)a用戶，然后其它用戶通過(guò)UNC或者網(wǎng)上鄰居的方式，來(lái)訪問(wèn)共享資源，就需要輸入a用戶的賬戶密碼，輸入之后，可以通過(guò)資源共享計(jì)算機(jī)的身份驗(yàn)證后，則允許訪問(wèn)共享資源。那么如果說(shuō)有10臺(tái)計(jì)算機(jī)都共享了資源呢？我們就需要在10臺(tái)

7、計(jì)算機(jī)上，都建立一遍這個(gè)用戶，100臺(tái)計(jì)算機(jī)，就需要建立100遍整個(gè)用戶，不光管理員會(huì)累死，用戶也要記住他在這100臺(tái)計(jì)算機(jī)上的用戶密碼，可見，在這種工作組模型的網(wǎng)絡(luò)中，一旦共享資源多了起來(lái)，就會(huì)變得很不方便，而且工作組網(wǎng)絡(luò)模型中，配置資源共享的步驟也很繁瑣，其中還涉及到來(lái)賓Guset用戶，本地策略，防火墻的設(shè)置，一旦設(shè)置不對(duì)，就會(huì)導(dǎo)致資源共享失敗。 那么，能不能有沒(méi)有一種網(wǎng)絡(luò)管理模型，可以集中的對(duì)網(wǎng)絡(luò)進(jìn)行身份驗(yàn)證，集中的進(jìn)行資源共享，集中的進(jìn)行客戶端的管理策略設(shè)置呢？于是域管理模型應(yīng)運(yùn)而生。什么是域 域即一種邏輯層面的集中網(wǎng)絡(luò)管理模型，域管理模型不同于工作組管理模型，在一個(gè)域網(wǎng)絡(luò)內(nèi)，所有計(jì)算

8、機(jī)的地位不再是平等的，而是會(huì)有一臺(tái)服務(wù)器，來(lái)扮演控制器的角色，負(fù)責(zé)管理環(huán)境內(nèi)所有的域客戶端，這臺(tái)控制器，我們就叫它 ”域控制器“，在一個(gè)域模型網(wǎng)絡(luò)中， 存儲(chǔ)著活動(dòng)目錄數(shù)據(jù)庫(kù)的服務(wù)器就是域服務(wù)器，域控制器負(fù)責(zé)執(zhí)行域環(huán)境內(nèi)所有管理操作，新建用戶，發(fā)布網(wǎng)絡(luò)資源，客戶端策略設(shè)置，都是在域控制器集中進(jìn)行。 （同時(shí)域控制器也支持遠(yuǎn)程管理工具方式，可以在普通客戶端上安裝AD域的遠(yuǎn)程管理工具來(lái)管理服務(wù)器） 在同一個(gè)域內(nèi)，可以有多臺(tái)域控制器，域內(nèi)所有域控制器使用一份幾乎完全相同的活動(dòng)目錄數(shù)據(jù)庫(kù)，域控制器與域控制器之間會(huì)不斷的進(jìn)行復(fù)制，以達(dá)到數(shù)據(jù)同步。 域也是一個(gè)整體的安全邊界，沒(méi)有域用戶賬號(hào)，就不能訪問(wèn)域模型中

9、的網(wǎng)絡(luò)資源，每一臺(tái)域控制器都存儲(chǔ)著域內(nèi)獨(dú)一無(wú)二的域活動(dòng)目錄數(shù)據(jù)庫(kù)分區(qū)， 不同域之間的域活動(dòng)目錄數(shù)據(jù)庫(kù)分區(qū)不同。域是微軟在NT4.0時(shí)引進(jìn)的目錄服務(wù)管理平臺(tái)，微軟AD域是業(yè)界公認(rèn)的最佳目錄服務(wù)管理平臺(tái)，具備一定的穩(wěn)定性與實(shí)用性，目前世界五百?gòu)?qiáng)很多企業(yè)，都紛紛部署了AD域來(lái)進(jìn)行企業(yè)的IT管理域的優(yōu)勢(shì)集中身份驗(yàn)證：使用域架構(gòu)，管理員只需要在域控制器上，新建一個(gè)用戶，并且為用戶分配它在整個(gè)域網(wǎng)絡(luò)內(nèi)的權(quán)利，那么只要這個(gè)用戶具備相應(yīng)的訪問(wèn)權(quán)限，這個(gè)用戶就可以在域內(nèi)任何一臺(tái)終端上面，通過(guò)一個(gè)域用戶，來(lái)訪問(wèn)企業(yè)內(nèi)任何網(wǎng)絡(luò)資源，解決管理員需要在不同服務(wù)器上分別創(chuàng)建用戶的困擾集中管理網(wǎng)絡(luò)資源：使用域架構(gòu)，管理員只

10、要在域控制器上，就可以管理發(fā)布整個(gè)域網(wǎng)絡(luò)內(nèi)的共享文件夾，網(wǎng)絡(luò)打印機(jī)等資源， 用戶再也不需要記住每一個(gè)共享服務(wù)器或者共享打印機(jī)的名字，使用了域之后，用戶只需要在域網(wǎng)絡(luò)中進(jìn)行搜索，就可以搜索到網(wǎng)絡(luò)內(nèi)所有可用的網(wǎng)絡(luò)資源。集中策略設(shè)置：使用域架構(gòu)，如果管理員希望讓域內(nèi)客戶端統(tǒng)一應(yīng)用一個(gè)策略，那么管理員只需要在域控制器中，設(shè)置一個(gè)組策略，就可以讓域內(nèi)所有的客戶端，或者部分指定的客戶端 應(yīng)用策略，通過(guò)組策略，管理員可以集中控制域客戶端的桌面，IE設(shè)置，系統(tǒng)設(shè)置，賬戶策略設(shè)置，密碼策略設(shè)置，注冊(cè)表，服務(wù)，軟件策略，首選項(xiàng)，文件系統(tǒng)等等， 通過(guò)組策略，我們幾乎可以按照自己的想法，任意的控制域環(huán)境內(nèi)客戶端的設(shè)置

11、，比較典型的應(yīng)用，是通過(guò)組策略，限制環(huán)境內(nèi)所有客戶端的USB訪問(wèn)接入，限制環(huán)境內(nèi)客戶端隨意安裝軟件，通過(guò)組策略，將所有用戶的用戶配置和文件夾，重定向到服務(wù)器上進(jìn)行集中管理。什么是ADAD ( Active Directory)，即 活動(dòng)目錄，什么是目錄，對(duì)照現(xiàn)實(shí)生活來(lái)說(shuō)，我們的在電話本中寫入了很多個(gè)人的電話信息，然后我們通過(guò)電話本，可以快速的查找到我們需要的用戶，這就是一種目錄服務(wù)，還有，我們的電子圖書館，圖書館內(nèi)有很多的書籍，我們把這些書籍錄入到電子圖書館系統(tǒng)，然后學(xué)生就可以在電子圖書館系統(tǒng)界面去查詢和瀏覽圖書，這也是一種目錄服務(wù)，總結(jié)來(lái)說(shuō)，可以針對(duì)于已有的存儲(chǔ)數(shù)據(jù)，進(jìn)行有序的編錄，形成一份

12、規(guī)范的目錄，讓用戶可以簡(jiǎn)單便捷的在目錄中查詢資料，這樣的一個(gè)功能，我們就叫它目錄服務(wù)。在域中，我們創(chuàng)建了很多用戶和組，發(fā)布了很多共享資源，那么怎么去查詢和訪問(wèn)這些資源， 我們就可以使用域中的活動(dòng)目錄服務(wù)，活動(dòng)目錄服務(wù)通過(guò)Ldap（Light Directory Access Protocol）協(xié)議，可以更加有序的組織管理域中的活動(dòng)目錄數(shù)據(jù)庫(kù)，將域內(nèi)所有的用戶、組、共享資源、都納入到目錄服務(wù)中去，讓用戶和管理員，通過(guò)網(wǎng)絡(luò)鄰居中查詢搜索的方式， 去訪問(wèn)域中的資源， 而之所以叫做活動(dòng)目錄，是因?yàn)?Active Directory 并不是固定大小的目錄，Active Directory可以視企業(yè)域中數(shù)

13、據(jù)的大小，來(lái)活動(dòng)的擴(kuò)展目錄大小，相當(dāng)于一個(gè) 無(wú)限頁(yè)數(shù)的 “電話本”如何選擇適合您企業(yè)的域架構(gòu)模型默認(rèn)情況下，當(dāng)企業(yè)環(huán)境沒(méi)有域的情況下，我們?nèi)グ惭b配置一臺(tái)域控制器，來(lái)新建一個(gè)域，當(dāng)新建企業(yè)內(nèi)第一臺(tái)域控制器的時(shí)候，同時(shí)也新建了企業(yè)內(nèi)第一個(gè)林，第一個(gè)域樹，第一個(gè)域，在一個(gè)域網(wǎng)絡(luò)的邏輯概念中，林是最大的一個(gè)概念，一個(gè)林中可以包含多個(gè)域樹，一個(gè)域樹中又可以包含多個(gè)域。在一個(gè)企業(yè)的單個(gè)域樹中， 域與域之間的名稱空間是連續(xù)的，單個(gè)域樹內(nèi)中的每個(gè)域之間都是相互信任的。多個(gè)域樹之間的名稱空間不同，但可以將多個(gè)域樹組成一個(gè)林，林中的所有域樹，域，都可以互相訪問(wèn)資源。在一個(gè)域網(wǎng)絡(luò)內(nèi)，不光有邏輯的林、樹、域概念，也有

14、相對(duì)的物理概念，比如說(shuō)，站點(diǎn)，如果企業(yè)內(nèi)的域分布在不同地域 ，域控制器與域控制器之間如果要進(jìn)行數(shù)據(jù)庫(kù)復(fù)制，就可以將與域控制器劃分為不同的站點(diǎn)，在站點(diǎn)與站點(diǎn)之間進(jìn)行復(fù)制同步的時(shí)候，可以結(jié)合企業(yè)內(nèi)部網(wǎng)絡(luò)實(shí)際情況，來(lái)進(jìn)行合理的規(guī)劃控制，例如，可以設(shè)置一個(gè)復(fù)制計(jì)劃，讓站點(diǎn)間的復(fù)制只在某一個(gè)時(shí)間段進(jìn)行，還可以通過(guò) 開銷，來(lái)設(shè)置域控制器之間復(fù)制的時(shí)候，優(yōu)先采取那條網(wǎng)絡(luò)路徑。單林單域單站點(diǎn) 如果企業(yè)之前采用的是工作組管理模型，現(xiàn)在想轉(zhuǎn)到域模型，那么單林單域單站點(diǎn)，是您的首選推薦，選擇單林單域單站點(diǎn)也是一個(gè)很好的過(guò)度，在單林單域單站點(diǎn)的域模型中，管理員只需要維護(hù)一個(gè)域就可以了， 管理起來(lái)相對(duì)也并不復(fù)雜，也并不

15、涉及到域樹、信任、林，站點(diǎn)管理等概念， 后期如果希望進(jìn)行負(fù)載均衡，容錯(cuò)的話，還可以在一個(gè)域內(nèi)添加多臺(tái)域控制器進(jìn)行擴(kuò)展，以支持更多的訪問(wèn)，如果企業(yè)人數(shù)在50-100人左右，初期希望通過(guò)域來(lái)進(jìn)行統(tǒng)一身份驗(yàn)證， 集中管理， 那么這種單林單域單站點(diǎn)，可以很好的幫您過(guò)度到域管理階段。 單林單域多站點(diǎn) 如果您的企業(yè)相對(duì)來(lái)說(shuō)比較大，在不同城市都有分公司，-我們推薦您采取這種單林單域單多站點(diǎn)的架構(gòu)，企業(yè)內(nèi)部只有一個(gè)域，但是我在一個(gè)域內(nèi)，可以部署多臺(tái)域控制器，將不同的域控制器，放在不同的地域，比如說(shuō)，contoso公司，在北京設(shè)立總部，在上海設(shè)立分部，在沒(méi)有多站點(diǎn)的情況 上海域用戶登錄，也許就要去北京的域控制器

16、上，來(lái)進(jìn)行身份驗(yàn)證，如果上海與北京的網(wǎng)絡(luò)出現(xiàn)故障，或者網(wǎng)絡(luò)連接不穩(wěn)定，就會(huì)導(dǎo)致上海的用戶沒(méi)辦法登陸。 但如果采用了多站點(diǎn)，就不會(huì)出現(xiàn)這種問(wèn)題，我們可以分別在北京和上海，部署兩臺(tái)域控制器，結(jié)合站點(diǎn)的設(shè)置，就可以讓上海的用戶，登陸到域就通過(guò)上海本地的域控制器來(lái)做身份驗(yàn)證，北京的用戶登錄到域，就可以通過(guò)北京的域控制器來(lái)做身份驗(yàn)證。這樣就解決了不同地域用戶登錄到域的問(wèn)題，如果您的企業(yè)是這種跨地域的公司，那么我們強(qiáng)烈建議您，采用單林單域多站點(diǎn)的架構(gòu)。單林單域樹父子域 這種單林單域樹父子域的架構(gòu)，適用于”分散式安全管理“ 與 “站點(diǎn)網(wǎng)絡(luò)鏈接慢速“的應(yīng)用場(chǎng)景，如果企業(yè)已經(jīng)創(chuàng)建了一個(gè)父域，當(dāng)前父域在北京總部建

17、立，隨著業(yè)務(wù)擴(kuò)展，公司在上海建立了一個(gè)分部，公司希望上海和北京的域進(jìn)行分開的管理，即上海的IT管理員在上海分公司創(chuàng)建的用戶、組策略，不會(huì)被應(yīng)用到北京，北京總部只可以創(chuàng)建總部的用戶與組策略，不能將在總部創(chuàng)建分部的域用戶，從而實(shí)現(xiàn)安全邊界的“分散式安全管理” 。 在單林單域樹父子域環(huán)境中，也可以將父域和子域部署在不同的地域，從而實(shí)現(xiàn)AD站點(diǎn)的架構(gòu)，在父子域架構(gòu)的多站點(diǎn)鐘，父站點(diǎn)與子站點(diǎn)之間進(jìn)行數(shù)據(jù)同步的時(shí)候，不需要同步很多數(shù)據(jù)，只需要同步整個(gè)林中統(tǒng)一的架構(gòu)和配置信息，而不需要將父站點(diǎn)的所有數(shù)據(jù)庫(kù)內(nèi)容都同步到子站點(diǎn)，從而降低多站點(diǎn)同步時(shí)網(wǎng)絡(luò)帶寬的要求，如果企業(yè)分支機(jī)構(gòu)與總部之間網(wǎng)絡(luò)連接并不快，可以采

18、用父子域架構(gòu)的多站點(diǎn)方式。 單林多域樹單林多域樹的架構(gòu)，適用于更加大型的AD拓?fù)浣Y(jié)構(gòu)，可以將不同地域，不同部門，劃分成為一個(gè)單獨(dú)的域樹，來(lái)加入到林中的根域，域樹中可以包含父域，父域中可以包含子域，多域樹架構(gòu)的典型應(yīng)用場(chǎng)景就是企業(yè)兼并，例如A公司收購(gòu)了B公司，但是B公司名稱在市場(chǎng)內(nèi)也有一定的影響力，所以A公司希望B公司還保留它原來(lái)的公司名稱，這種情況就可以在A公司建立一個(gè)林根域樹，然后將B公司的現(xiàn)有域樹加入到A公司中，這樣B公司邏輯上被A公司管理，但依然保留B公司自己的公司名稱。在多域樹的架構(gòu)中，也可以將不同的域樹分別部署在不同的站點(diǎn)，但是AD發(fā)展到今天來(lái)看，在企業(yè)中，網(wǎng)絡(luò)可能已經(jīng)不再是瓶頸，所

19、以如果不是特定的需求，微軟建議盡量采用單林單域多站點(diǎn)的架構(gòu)，越簡(jiǎn)單越好，能使用多站點(diǎn)解決的問(wèn)題，就不采用父子域，能用父子域解決的問(wèn)題就不采用多域樹，總之，企業(yè)的AD域模型，只要能滿足需求，拓?fù)浼軜?gòu)越簡(jiǎn)單越好，管理起來(lái)方便，出現(xiàn)錯(cuò)誤也容易排錯(cuò)。多林架構(gòu) 多林架構(gòu)即在企業(yè)內(nèi)部署多個(gè)林，來(lái)實(shí)現(xiàn)一種多林的大型架構(gòu)，這種架構(gòu)并不常見，除非公司AD架構(gòu)要求規(guī)范的很大，或者要求分散管理，否則一般不會(huì)應(yīng)用多林架構(gòu)，多林架構(gòu)的典型應(yīng)用，一個(gè)是跨公司的，兩家公司建立了合作關(guān)系，希望能夠員工能夠在自己的公司就可以訪問(wèn)其它公司的資源，那么就可以建立多林架構(gòu)，組成林信任。另外一種應(yīng)用場(chǎng)景就是，新舊更替，比如企業(yè)在200

20、3年，建立了一套AD架構(gòu)，同時(shí)采用了exchange2003作為企業(yè)的郵件系統(tǒng)，但是到2010年，企業(yè)又引進(jìn)了一批2008R2的服務(wù)器，上面裝了Exchange2010，希望將舊的運(yùn)行在2003上面的數(shù)據(jù)遷移過(guò)來(lái)。那么也可以在這種多林架構(gòu)下進(jìn)行跨林的遷移什么是活動(dòng)目錄數(shù)據(jù)庫(kù) 之前介紹域的時(shí)候，我們提到過(guò)，域中的 老大 “域控制器“，上面會(huì)存放一個(gè) 活動(dòng)目錄數(shù)據(jù)庫(kù)，那么這個(gè)活動(dòng)目錄數(shù)據(jù)庫(kù)中，到底存儲(chǔ)了什么？可以說(shuō)，我們整個(gè)域內(nèi)的所有數(shù)據(jù)，都存放在這個(gè)活動(dòng)目錄數(shù)據(jù)庫(kù)中，同時(shí)，當(dāng)用戶登錄到域客戶端，訪問(wèn)資源的時(shí)候，就會(huì)經(jīng)過(guò)活動(dòng)目錄數(shù)據(jù)庫(kù)的身份驗(yàn)證，如果用戶登錄信息和數(shù)據(jù)庫(kù)內(nèi)信息一致，則允許用戶登錄，

21、如果用戶登錄信息與數(shù)據(jù)庫(kù)信息不一致，則用戶無(wú)法登陸。 活動(dòng)目錄數(shù)據(jù)庫(kù)包括四個(gè)分區(qū) 架構(gòu)分區(qū)：架構(gòu)分區(qū)中存儲(chǔ)著整個(gè)林中，所有的對(duì)象，對(duì)象屬性定義，架構(gòu)分區(qū)是林中全林復(fù)制的，林中所有域樹、域、子域，都應(yīng)用相同的架構(gòu)分區(qū)，除了administrators組，只有林中的Schema admins組，有權(quán)限修改林中的架構(gòu)分區(qū)。 配置分區(qū)：配置分區(qū)存儲(chǔ)著整個(gè)林中 域樹，域，站點(diǎn)，服務(wù)，信任關(guān)系的信息，配置分區(qū)也是林中全林復(fù)制的，林中所有域樹、域、子域，都應(yīng)用相同的配置分區(qū)。 域分區(qū)：域分區(qū)存儲(chǔ)著每個(gè)域內(nèi)特有的數(shù)據(jù)，比如域中的用戶、組、計(jì)算機(jī)、共享資源等數(shù)據(jù)，在一個(gè)林中，域與域之間的域分區(qū)數(shù)據(jù)是不相同的，域

22、分區(qū)僅在一個(gè)域內(nèi)進(jìn)行同步。 應(yīng)用程序分區(qū)：應(yīng)用程序目錄分區(qū)是僅復(fù)制到特定域控制器的目錄分區(qū)。參與特定應(yīng)用程序目錄分區(qū)復(fù)制的域控制器寄存該分區(qū)的副本。只有運(yùn)行 Windows Server 2003 的域控制器可以寄存應(yīng)用程序目錄分區(qū)的副本。 我們?cè)贏D管理工具的UI界面修改的數(shù)據(jù)，比如我們?yōu)橛蛑行陆艘粋€(gè)用戶，發(fā)布了一個(gè)共享資源，添加了一臺(tái)計(jì)算機(jī)，使用exchange擴(kuò)展了AD的架構(gòu)，等等，這些數(shù)據(jù)，最終都會(huì)被存入至活動(dòng)目錄數(shù)據(jù)庫(kù)，活動(dòng)目錄管理工具或活動(dòng)目錄域服務(wù)，都是以Ldap協(xié)議通過(guò)DN或RDN路徑對(duì)數(shù)據(jù)庫(kù)進(jìn)行新增、查詢、更新、刪除等操作 域的可靠性與容錯(cuò)性1.6.1 域的可靠性企業(yè)將微軟

23、的AD域作為企業(yè)的集中管理平臺(tái)后，就可以將AD域作為企業(yè)的集中身份驗(yàn)證平臺(tái)，在AD上面創(chuàng)建一次用戶，該用戶就可以單點(diǎn)訪問(wèn)域網(wǎng)絡(luò)內(nèi)所有的資源?？梢詫D作為企業(yè)的資源發(fā)布平臺(tái)，將企業(yè)內(nèi)所有已共享的文件夾，打印機(jī)等網(wǎng)絡(luò)資源，發(fā)布到AD活動(dòng)目錄中，讓用戶查詢使用，還可以通過(guò)AD域控制器來(lái)統(tǒng)一設(shè)置域中的組策略，通過(guò)組策略來(lái)控制域內(nèi)所有用戶的桌面工作環(huán)境、系統(tǒng)設(shè)置、安全策略。當(dāng)企業(yè)很好的應(yīng)用了AD域后，就會(huì)開始考慮域的一個(gè)可靠性，默認(rèn)我們可能只部署了一臺(tái)域控制器，這種情況下，如果這臺(tái)域控制器宕機(jī)，就會(huì)導(dǎo)致，所有用戶沒(méi)辦法登陸，沒(méi)辦法訪問(wèn)網(wǎng)絡(luò)資源，沒(méi)辦法應(yīng)用組策略，導(dǎo)致整個(gè)網(wǎng)絡(luò)處于一種癱瘓的狀態(tài)，如何避免

24、這種情況。我們就可以在一個(gè)域內(nèi)部署多臺(tái)域控制器來(lái)解決可靠性的問(wèn)題，域內(nèi)的多臺(tái)域控制器，他們的活動(dòng)目錄數(shù)據(jù)庫(kù)是幾乎完全一致的。簡(jiǎn)單來(lái)說(shuō)，單站點(diǎn)單域，域內(nèi)一臺(tái)域控制器，添加了一個(gè)用戶，經(jīng)過(guò)15秒，也許更快，就會(huì)把這個(gè)新添加的用戶，復(fù)制到域中 直接復(fù)制伙伴 域控制器的活動(dòng)目錄數(shù)據(jù)庫(kù)上，所以，在同一個(gè)域內(nèi)的域控制器，他們的活動(dòng)目錄數(shù)據(jù)庫(kù)是相互復(fù)制的，即使一臺(tái)域控制器宕機(jī)，那么其它的域控制器也可以挺身而出，接替工作，同時(shí)，如果我們?yōu)閱斡颦h(huán)境添加了多臺(tái)域控制器，那么多臺(tái)域控制器就可以同時(shí)為用戶提供服務(wù)，可能這臺(tái)用戶登錄訪問(wèn)資源，為它提供服務(wù)的是這臺(tái)域控制器，下一個(gè)用戶登陸，就會(huì)是另外一臺(tái)域控制器為他提供服

25、務(wù)，通過(guò)添加多臺(tái)域控制器，不僅可以通過(guò)復(fù)制的方式，來(lái)解決域的可靠性問(wèn)題，還可以達(dá)到負(fù)載均衡1.6.2 域的容錯(cuò)性 雖然說(shuō)，我們可以通過(guò)在域中部署多臺(tái)域控制器，來(lái)進(jìn)行負(fù)載均衡，避免一臺(tái)域控制器宕機(jī)導(dǎo)致企業(yè)網(wǎng)絡(luò)癱瘓，但是這樣卻并不能達(dá)到一種很好的容錯(cuò)效果，萬(wàn)一IT管理員不小心在域控制器上刪除了某個(gè)用戶，萬(wàn)一管理員不小心操作失誤，導(dǎo)致了兩臺(tái)域控制器宕機(jī)，這種情況下，應(yīng)該怎么辦？ 這個(gè)就是容錯(cuò)考慮，除了前期做好正確的域規(guī)劃，我們還強(qiáng)烈建議客戶，針對(duì)于域控制器做好備份，可以使用Windows Server 自帶的Backup 工具，定期單獨(dú)備份活動(dòng)目錄狀態(tài)，或者裸機(jī)備份域控制器，或者使用DPM，Syma

26、ntec等其他備份工具，來(lái)備份域控制器。 除了針對(duì)于服務(wù)器做備份，還可以針對(duì)于與域控制器來(lái)啟用快照和回收站。 這里的快照有兩層含義，一種指的是，域控制器虛擬化時(shí)，hyper-v的快照，另外一種指得就是活動(dòng)目錄數(shù)據(jù)庫(kù)的快照，從2008R2開始，我們就可以在ntdsutil命令集中，針對(duì)于活動(dòng)目錄數(shù)據(jù)庫(kù)來(lái)制作快照，制作好活動(dòng)目錄數(shù)據(jù)庫(kù)快照后，一旦那一天活動(dòng)目錄數(shù)據(jù)庫(kù)癱瘓，或者誤刪除，就可以通過(guò)掛載快照的方式，重新掛載恢復(fù)活動(dòng)目錄數(shù)據(jù)庫(kù)。 回收站指的是活動(dòng)目錄回收站，這項(xiàng)功能也是2008R2開始引進(jìn)的功能，通過(guò)啟用回收站，可以讓管理員，“有后悔藥可吃”，默認(rèn)活動(dòng)目錄中的部分對(duì)象，都會(huì)有一個(gè)墓碑時(shí)間，

27、這個(gè)墓碑時(shí)間，默認(rèn)是180天，比如說(shuō)，我們誤刪除了一個(gè)用戶，刪除之后，我們只是給這個(gè)用戶添加了一個(gè)已刪除的標(biāo)記，但是這個(gè)用戶并未徹徹底底的從我們的活動(dòng)目錄數(shù)據(jù)庫(kù)中刪除，而是處于一個(gè)“游魂階段”但依然存在于我們的活動(dòng)目錄數(shù)據(jù)庫(kù)，等到180時(shí)間到了后，這個(gè)用戶才會(huì)被徹底的從活動(dòng)目錄數(shù)據(jù)庫(kù)中刪除。如果我們啟用了活動(dòng)目錄回收站的功能后，那么 處于“游魂階段”的用戶，就可以被恢復(fù)回來(lái)。比如說(shuō)，我們誤刪除了一個(gè)用戶，但是我們啟用了活動(dòng)目錄回收站這個(gè)功能，就可以在回收站中將這個(gè)用戶恢復(fù)回來(lái)。通過(guò)這些可靠性與容錯(cuò)性的考慮與實(shí)現(xiàn)，就可以保證企業(yè)的AD域平臺(tái)更加高度可用，更加可靠的運(yùn)行如何創(chuàng)建一個(gè)域要實(shí)現(xiàn)一臺(tái)域控

28、制器，對(duì)于服務(wù)器硬件要求并不是很高。只要你是市面上常見的至強(qiáng)E5 cpu , 內(nèi)存4-8GB，硬盤初期300-500GB，中小企業(yè)采用這樣一臺(tái)服務(wù)器，就足夠支撐起企業(yè)域的運(yùn)行。同時(shí)域服務(wù)屬于Windows Server里面的一個(gè)角色，企業(yè)不需要額外再購(gòu)買任何東西搭建域的系統(tǒng)要求要求服務(wù)器安裝指定的Windows Serer操作系統(tǒng)要求服務(wù)器具備一個(gè)NTFS分區(qū)用來(lái)存放SYSVOL數(shù)據(jù)，最小具備250MB大小規(guī)劃好企業(yè)域名以及服務(wù)器靜態(tài)IP地址必須要有管理員權(quán)限，普通用戶不能安裝域控制器服務(wù)器滿足這些要求就可以安裝域控制器。在最新的Windows Server 2012R2中安裝域控制器的步驟也

29、并不復(fù)雜，一共分為幾步配置服務(wù)器IP地址，域名，防火墻，更新補(bǔ)丁添加Active Directory域服務(wù)角色指定要采用的域架構(gòu)模型，定義企業(yè)域名指定企業(yè)域功能級(jí)別，林功能級(jí)別，設(shè)置DSRM密碼是否委派DNS，Netblos網(wǎng)絡(luò)名稱是什么指定AD數(shù)據(jù)需要存放在哪驗(yàn)證域控制器配置步驟設(shè)置，確認(rèn)無(wú)誤，選擇創(chuàng)建，重啟之后，服務(wù)器為域控制器通過(guò)以上幾個(gè)簡(jiǎn)單的步驟，輸入企業(yè)的特定信息，選擇合適的架構(gòu)，就可以幫助企業(yè)快速的實(shí)現(xiàn)一臺(tái)域控制器，相比于業(yè)內(nèi)其他目錄管理平臺(tái)，微軟的AD域服務(wù)器架構(gòu)起來(lái)是最簡(jiǎn)單，最快速的。AD集中管理用戶資源演示當(dāng)安裝好AD域服務(wù)角色后，服務(wù)器重啟，重啟好了后，該服務(wù)器即升級(jí)為一臺(tái)

30、域控制器，同時(shí)，在服務(wù)器上會(huì)多出如下幾個(gè)工具管理員日常針對(duì)于AD域環(huán)境執(zhí)行創(chuàng)建用戶，發(fā)布共享資源，組策略設(shè)置，主要是在Active Directory 用戶和計(jì)算機(jī) 與 組策略管理。這兩個(gè)工具中進(jìn)行操作Active Directory 用戶和計(jì)算機(jī)界面如下如果想要?jiǎng)?chuàng)建用戶，只需要定位到指定OU下，在空白處點(diǎn)擊右鍵選擇“新建”“用戶”即可指定新建的用戶，包括用戶的登錄名，以及要在AD中顯示的姓名還可以設(shè)置用戶登錄時(shí)的密碼輸入用戶名稱，登錄名，密碼后，就可以完成創(chuàng)建一個(gè)用戶，默認(rèn)情況下，這個(gè)用戶可以在域環(huán)境內(nèi)任何一臺(tái)客戶端進(jìn)行登錄，但是也可以針對(duì)于用戶來(lái)進(jìn)行不同的管理限制比如可以指定用戶，只能在那

31、一臺(tái)機(jī)器上登錄可以控制，用戶在什么時(shí)間段內(nèi)可以進(jìn)行登錄包括用戶VPN撥入時(shí)要應(yīng)用的路由，用戶遠(yuǎn)程連接會(huì)話的中斷時(shí)間，用戶的配置文件，用戶在域中的權(quán)限，都可以在AD用戶與計(jì)算機(jī)中，來(lái)對(duì)用戶進(jìn)行這種集中的管理。在AD中還可以創(chuàng)建組，將不同的用戶加入到組之后，管理員在設(shè)置共享文件夾權(quán)限的時(shí)候，可以針對(duì)于一個(gè)組來(lái)賦予權(quán)限，組內(nèi)所有用戶都繼承組的權(quán)限。在AD中，可以創(chuàng)建安全組和通訊組，安全組主要用來(lái)指派權(quán)利賦予權(quán)限，通訊組主要負(fù)責(zé)收發(fā)郵件的，比如我們創(chuàng)建通訊組，那么在發(fā)送郵件的時(shí)候，就可以針對(duì)于一個(gè)組來(lái)發(fā)送郵件。管理員不光可以在AD域控制器上面進(jìn)行集中的用戶創(chuàng)建，用戶管理。還可以通過(guò)AD域控制器來(lái)發(fā)布環(huán)

32、境內(nèi)的網(wǎng)絡(luò)資源，比如說(shuō)，環(huán)境內(nèi)有五臺(tái)文件服務(wù)器，五臺(tái)文件服務(wù)器上面又存放了很多個(gè)共享文件夾，那么最終用戶如果需要訪問(wèn)我的共享文件夾，就需要記住這五臺(tái)共享文件服務(wù)的訪問(wèn)方式，而有了AD后，我們就可以在AD里面來(lái)進(jìn)行統(tǒng)一的發(fā)布，將域環(huán)境內(nèi)的共享文件夾都納入AD中，作為一個(gè)域共享資源，用戶只需要記住訪問(wèn)，我需要訪問(wèn)域，域內(nèi)就會(huì)有我所有想要的資源，就可以了。要發(fā)布域共享文件夾，同樣只需要定位到指定OU下，在空白處點(diǎn)擊右鍵選擇“新建”“共享文件夾”在共享文件夾中，輸入一個(gè)顯示名稱，以及共享文件的UNC路徑點(diǎn)擊確定后，即可創(chuàng)建完成一個(gè)共享文件夾，但這共享文件夾并不會(huì)存在于域控制器上，只是域控制器作為一個(gè)邏

33、輯的空間，將網(wǎng)絡(luò)中一個(gè)個(gè)共享文件夾做成一個(gè)快捷方式，存儲(chǔ)到活動(dòng)目錄中。如果管理員覺(jué)得，默認(rèn)的訪問(wèn)名稱，比較繁瑣，用戶不好記住，還可以針對(duì)共享文件夾設(shè)置關(guān)鍵字，讓用戶在網(wǎng)絡(luò)里面搜索關(guān)鍵字，就可以找到共享資源管理員在域控制器上將資源發(fā)布好了后，最終用戶只需要在客戶端的網(wǎng)絡(luò)鄰居上，選擇查找網(wǎng)絡(luò)資源，在查找里面輸入相應(yīng)的關(guān)鍵字，開始查找 就可以找到所有想要的資源組織單元與組策略 企業(yè)采用了AD域環(huán)境后，最核心的三個(gè)應(yīng)用，不外乎就是通過(guò)AD來(lái)集中進(jìn)行身份驗(yàn)證，集中進(jìn)行網(wǎng)絡(luò)資源的發(fā)布，統(tǒng)一管理客戶端的策略設(shè)置，集中的身份驗(yàn)證和資源發(fā)布，可以通過(guò)Active Directory 用戶和計(jì)算機(jī) 工具來(lái)進(jìn)行，而

34、集中客戶端策略設(shè)置，就是通過(guò)組策略管理來(lái)進(jìn)行。 組策略即一組策略的集合，通過(guò)組策略可以幫助管理員，集中的控制環(huán)境內(nèi)客戶端，用戶的桌面環(huán)境，安全策略，軟件策略，管理員在域控制器的組策略管理里面定義好了一套策略，就可以將這套策略，應(yīng)用到域內(nèi)的客戶端上。 組策略的策略設(shè)置主要包括一下幾個(gè)大的方面： 客戶端統(tǒng)一桌面工作環(huán)境：通過(guò)組策略控制客戶端的桌面圖標(biāo)、開始菜單、屏保鎖屏，用戶賬戶，個(gè)性化設(shè)置，用戶配置文件，資源管理器設(shè)置，日歷設(shè)置 操作系統(tǒng)統(tǒng)一設(shè)置:通過(guò)組策略集中域內(nèi)客戶端的環(huán)境變量，系統(tǒng)啟動(dòng)，電源設(shè)置，可移動(dòng)設(shè)備訪問(wèn)，硬件設(shè)備安裝，系統(tǒng)驅(qū)動(dòng)器訪問(wèn)，更新設(shè)置，網(wǎng)絡(luò)設(shè)置，打印機(jī)設(shè)置，驅(qū)動(dòng)程序設(shè)置，p

35、owershell設(shè)置 安全設(shè)置：通過(guò)組策略可以控制域內(nèi)客戶客戶端安全策略，賬戶策略，密碼安全策略，軟件限制策略，公鑰策略，應(yīng)用程序控制策略，注冊(cè)表，本地組，系統(tǒng)服務(wù)，事件日志等策略設(shè)置，還可以通過(guò)組策略實(shí)現(xiàn)對(duì)于環(huán)境內(nèi)客戶端的審核策略，通過(guò)審核策略，可以審核域客戶端的賬號(hào)登陸，遠(yuǎn)程訪問(wèn)，文件訪問(wèn)，特權(quán)使用，實(shí)現(xiàn)審計(jì)功能。 軟件安裝：在AD組策略中，也提供軟件推送安裝的策略設(shè)置，通過(guò)組策略就可以簡(jiǎn)單的向域內(nèi)的客戶端去推送軟件，可以通過(guò)發(fā)布或者分配的方式去推送軟件，通過(guò)組策略僅可以推送MSI , MSP ,ZAP 三種格式的軟件。 首選項(xiàng)設(shè)置：首選項(xiàng)設(shè)置是Windows Server2008開始之

36、后，提供的，針對(duì)于組策略的一些增強(qiáng)，通過(guò)首選項(xiàng)設(shè)置，可以預(yù)先在客戶端配置好需要應(yīng)用的設(shè)置，客戶端一旦用到配置，就會(huì)自動(dòng)應(yīng)用首選項(xiàng)中的指定，首選項(xiàng)中提供了更多更方便的客戶端策略控制操作，比如，在首選項(xiàng)中可以設(shè)置，為環(huán)境里面的域客戶端統(tǒng)一在桌面創(chuàng)建一個(gè)文件夾，統(tǒng)一復(fù)制一個(gè)文件到所有客戶端上，在首選項(xiàng)中為所有客戶端的本地用戶與組，新建用戶。 開機(jī)/關(guān)機(jī)/登錄/注銷時(shí)的操作:在組策略中也可以進(jìn)行腳本設(shè)置，指定域環(huán)境內(nèi)客戶端，開機(jī)，關(guān)機(jī)的時(shí)候，需要運(yùn)行那些遠(yuǎn)程腳本來(lái)執(zhí)行任務(wù)。 其實(shí)組策略里面管理員定義的一個(gè)個(gè)策略，在后臺(tái)修改的就是注冊(cè)表，早期NT,98時(shí)代，那時(shí)候組策略的功能還不是很健全，所以管理員如果

37、要執(zhí)行一些終端規(guī)范化，終端的安全設(shè)置，有時(shí)候還需要去手動(dòng)修改注冊(cè)表，而隨著操作系統(tǒng)越來(lái)越龐大，注冊(cè)表里面的鍵值也越來(lái)越多，再使用注冊(cè)表去控制計(jì)算機(jī)，就不是非常方便，于是微軟提出了組策略，管理員通過(guò)在組策略中，就可以修改計(jì)算機(jī)的運(yùn)行環(huán)境，桌面，系統(tǒng)設(shè)置，安全設(shè)置。在工作組環(huán)境下，可以通過(guò)本地組策略來(lái)設(shè)置工作組計(jì)算機(jī)的策略，在域環(huán)境下可以通過(guò)組策略，來(lái)統(tǒng)一設(shè)置域中客戶端的策略。 管理員可以在組策略中根據(jù)如上這些個(gè)角度，來(lái)針對(duì)環(huán)境內(nèi)客戶端進(jìn)行統(tǒng)一桌面，統(tǒng)一系統(tǒng)設(shè)置，統(tǒng)一安全，從而達(dá)到一種標(biāo)準(zhǔn)化、安全的企業(yè)終端策略管理。管理員不光可以將策略應(yīng)用到域上，也可以將組策略應(yīng)用到一個(gè)組織單元中，換言之，如果管

38、理員不希望我制定一個(gè)策略，就讓所有客戶端都應(yīng)用這個(gè)策略，只想讓一部分客戶端應(yīng)用策略，也是可以的，可以在域中創(chuàng)建多個(gè)組織單位，針對(duì)不同的組織單位設(shè)置不同的策略，如果組織單位策略與域策略產(chǎn)生沖突，那么最終組織單位內(nèi)的客戶端，以組織單位策略為準(zhǔn)。組織單位就是一個(gè)容器，管理員可以將用戶，組，計(jì)算機(jī)，統(tǒng)一放到一個(gè)組織單位下進(jìn)行統(tǒng)一的管理。微軟建議，如果可以通過(guò)劃分組織單位就能夠解決的問(wèn)題，則不必新建域。組織單位一般可以按照地域位置，按照工作職能，按照公司結(jié)構(gòu)來(lái)進(jìn)行劃分，從而體現(xiàn)企業(yè)的組織架構(gòu)劃分組織單位主要的目的是針對(duì)組織單位應(yīng)用組策略，或者，可以將一個(gè)組織單位委派給人進(jìn)行管理，比如a公司建立了一個(gè)域，

39、在域中劃分了銷售部，信息部，人事部，三個(gè)組織單位，那么總的管理員就可以去針對(duì)這三個(gè)組織單位來(lái)委派管理員，比如將銷售部的組織單位委派給銷售部的某個(gè)人進(jìn)行管理，那么銷售部日常的賬號(hào)新建，組新建，刪除等等操作，就可以由銷售部門自己進(jìn)行。AD集中管理域客戶端策略演示實(shí)際針對(duì)組策略的管理也非常簡(jiǎn)單管理員如果需要統(tǒng)一設(shè)置客戶端策略，只需要在域控制器上打開 “組策略管理“ 選擇策略右鍵點(diǎn)擊編輯，即可看到策略設(shè)置視圖可以輕易地控制客戶端移動(dòng)設(shè)備的訪問(wèn)可以輕易控制客戶端的統(tǒng)一電源策略編輯好了后，等待30-90分鐘，客戶端即可應(yīng)用我們?cè)O(shè)置的策略，組策略設(shè)置起來(lái)就是這么簡(jiǎn)單使用AD域帶來(lái)的好處幫助企業(yè)構(gòu)建統(tǒng)一身份驗(yàn)

40、證平臺(tái)企業(yè)沒(méi)有搭建域環(huán)境之前，是由每臺(tái)服務(wù)器獨(dú)立存儲(chǔ)著自己的身份驗(yàn)證數(shù)據(jù)庫(kù)，有了AD域環(huán)境之后，企業(yè)中所有的客戶端，服務(wù)器，都可以通過(guò)域服務(wù)器來(lái)進(jìn)行集中的身份驗(yàn)證，用戶只需要具備一個(gè)域賬戶，就可以在域中任何一臺(tái)客戶端登陸。只需要具備一個(gè)域賬戶就可以訪問(wèn)企業(yè)任何的共享文件夾，企業(yè)架構(gòu)了域環(huán)境后，還可以將現(xiàn)有的OA系統(tǒng)，CRM系統(tǒng)，ERP系統(tǒng)與AD進(jìn)行身份驗(yàn)證的集成，實(shí)現(xiàn)通過(guò)AD賬戶，就可以單點(diǎn)訪問(wèn)企業(yè)中任何的系統(tǒng)，任何的資源。幫助企業(yè)構(gòu)建統(tǒng)一資源發(fā)布平臺(tái)企業(yè)沒(méi)有搭建域環(huán)境之前，如果有很多臺(tái)文件服務(wù)器共享了文件和打印機(jī)，那么用戶如果需要訪問(wèn)的話，就需要記住這五臺(tái)服務(wù)器的訪問(wèn)方式，企業(yè)架構(gòu)了域環(huán)境后

41、，域控制器可以將企業(yè)網(wǎng)絡(luò)內(nèi)所有共享資源集中的進(jìn)行發(fā)布，對(duì)于用戶來(lái)說(shuō)，用戶不再需要記住一臺(tái)一臺(tái)的服務(wù)器，只需要在域網(wǎng)絡(luò)內(nèi)進(jìn)行簡(jiǎn)單的搜索，就可以輕易獲取到自己想要的資源。幫助企業(yè)構(gòu)建集中的策略管理平臺(tái)企業(yè)搭建AD域環(huán)境之后，默認(rèn)就具備了網(wǎng)絡(luò)集中策略管理的能力，不需要再額外購(gòu)買其它套件，管理員只需要在AD域控制器上，經(jīng)過(guò)一些簡(jiǎn)單的操作設(shè)置，就能夠統(tǒng)一管理企業(yè)客戶端的桌面環(huán)境，安全策略，設(shè)備訪問(wèn)。通過(guò)搭建AD域環(huán)境，使用組策略，可以幫助企業(yè)終端實(shí)現(xiàn)集中的管理，實(shí)現(xiàn)桌面的標(biāo)準(zhǔn)化，統(tǒng)一化，集中的控制終端安全。使用SCCM提高企業(yè)IT生產(chǎn)力什么是SCCMSCCM ( System Center Config

42、uration Manager )，是微軟System Center中的一個(gè)套件，主要用來(lái)配合企業(yè)IT管理戰(zhàn)略，實(shí)現(xiàn)企業(yè)桌面終端的標(biāo)準(zhǔn)化管理，資產(chǎn)統(tǒng)計(jì)，遠(yuǎn)程維護(hù)等功能。通過(guò)SCCM管理員可以靈活按需的進(jìn)行批量軟件部署，批量系統(tǒng)部署，批量軟件更新，從而提高企業(yè)IT生產(chǎn)力，讓企業(yè)IT更加標(biāo)準(zhǔn)化，自動(dòng)化。SCCM 軟件分發(fā)通過(guò)SCCM可以針對(duì)于企業(yè)內(nèi)部的PC設(shè)備，移動(dòng)設(shè)備進(jìn)行軟件推送，SCCM不光支持針對(duì)電腦的軟件推送，也支持針對(duì)于Windwos Phone，IOS，IPAD ，安卓設(shè)備進(jìn)行軟件推送。那么，企業(yè)已經(jīng)有了AD域環(huán)境，可以通過(guò)組策略推送軟件了，為什么還要用SCCM去分發(fā)軟件呢？因?yàn)镾CC

43、M更加靈活，更加專業(yè)。通過(guò)組策略只能推送MSI，ZAP，這兩種有限格式的軟件，其它格式，比如exe，zip這種常見的軟件格式，組策略都不支持，但是SCCM支持，SCCM支持更加廣泛的軟件類型， 可以將exe格式，安卓格式，WindowsPhone等應(yīng)用格式的軟件，分發(fā)給客戶端或者手機(jī)。同時(shí)使用SCCM進(jìn)行軟件分發(fā)，還可以進(jìn)行更加詳細(xì)的策略設(shè)置，比如軟件推送是可用的還是強(qiáng)制的，軟件要在什么時(shí)間內(nèi)進(jìn)行分發(fā)，軟件要分發(fā)到那些滿足條件的客戶端，這些都是可以進(jìn)行控制的。SCCM還提供用于軟件分發(fā)的自服務(wù)門戶，可以讓用戶在Web門戶中進(jìn)行選擇軟件安裝，請(qǐng)求安裝的操作管理員在管理控制臺(tái)執(zhí)行批準(zhǔn)操作后，用戶就

44、可以進(jìn)行軟件安裝在最新的SCCM 2012R2中，有著以用戶為中心服務(wù)概念，現(xiàn)在企業(yè)中員工來(lái)到單位辦公，可能會(huì)帶著自己很多個(gè)終端，包括筆記本，PC，平板，智能手機(jī)等等，這種情況下，如果直接使用SCCM進(jìn)行軟件分發(fā)，也許就會(huì)把用戶所有的終端都給安裝上軟件，但是管理員可以在SCCM里面定義，用戶的主要使用設(shè)備是那個(gè)，這樣，在分發(fā)軟件的時(shí)候，就可以只把軟件分發(fā)到用戶的主要使用設(shè)備上。或者管理員可以定義設(shè)備的主要用戶， 等等，有了這個(gè)功能后，管理員進(jìn)行分發(fā)軟件，就可以用戶為服務(wù)中心，進(jìn)行IT管理，用戶需要在那臺(tái)設(shè)備安裝，就在那臺(tái)設(shè)備安裝，用戶需要給這臺(tái)設(shè)備那個(gè)用戶安裝，就給那個(gè)用戶安裝。SCCM 操作

45、系統(tǒng)分發(fā) 微軟針對(duì)于操作系統(tǒng)分發(fā)，有很多針對(duì)的解決方案，比如WDS , MDT ,SCCM，微軟針對(duì)于操作系統(tǒng)分發(fā)主要分為幾個(gè)大類：標(biāo)準(zhǔn)鏡像部署，定制鏡像部署，輕接觸部署，零接觸部署。 標(biāo)準(zhǔn)映像部署：簡(jiǎn)單來(lái)說(shuō)就是通過(guò)WDS進(jìn)行PXE網(wǎng)絡(luò)引導(dǎo)，然后由TFTP下載映像進(jìn)行能安裝，或者是直接通過(guò)CD，image映像進(jìn)行安裝，不執(zhí)行任何自定制，自動(dòng)化操作的操作系統(tǒng)部署，就是微軟的標(biāo)準(zhǔn)映像部署。 定制映像部署：即微軟所說(shuō)的OSD，OSD的流程，首先需要安裝一臺(tái)干凈的模板機(jī)，然后為這臺(tái)機(jī)器安裝軟件，更新，優(yōu)化，執(zhí)行好了標(biāo)準(zhǔn)的模板更改操作后，將模板進(jìn)行sysprep，然后捕獲上傳到映像部署服務(wù)器，可能是WD

46、S，MDT，或者SCCM，然后WDS再根據(jù)捕獲上來(lái)的映像，進(jìn)行操作系統(tǒng)分發(fā)。這樣最大的好處，就是可以在捕獲模板機(jī)的時(shí)候，就把軟件補(bǔ)丁都安裝進(jìn)去，捕獲下來(lái)，然后新的操作系統(tǒng)部署，直接使用捕獲下來(lái)的映像進(jìn)行安裝，就不必執(zhí)行標(biāo)準(zhǔn)部署，不必再單獨(dú)進(jìn)行軟件推送和補(bǔ)丁推送。 輕接觸部署：輕接觸部署就是將操作系統(tǒng)部署中的步驟進(jìn)行簡(jiǎn)單化，比如說(shuō)可以使用WDS結(jié)合MDT，在MDT中就可以預(yù)先把要執(zhí)行部署的操作系統(tǒng)，分區(qū)，系統(tǒng)名稱等等都設(shè)置好，等部署的時(shí)候，用戶只需要輸入簡(jiǎn)單的個(gè)性化信息，即可完成操作系統(tǒng)的輕接觸部署。 零接觸部署：就是將操作系統(tǒng)部署的過(guò)程完全實(shí)現(xiàn)無(wú)人值守自動(dòng)化安裝，不需要人為干預(yù)，即可完成操作系

47、統(tǒng)的部署，令接觸部署操作系統(tǒng)可以使用WDS+ADK或WDS+MDT+ADK或SCCM實(shí)現(xiàn)，零接觸大體思維就是將操作系統(tǒng)部署的過(guò)程，都在配置文件或者unattend中定義好，操作系統(tǒng)過(guò)程中需要設(shè)置的步驟，就會(huì)由相應(yīng)的配置文件自動(dòng)完成。不論是標(biāo)準(zhǔn)部署，定制部署，輕接觸部署，零接觸部署，都可以通過(guò)SCCM來(lái)進(jìn)行實(shí)現(xiàn)，SCCM針對(duì)于操作系統(tǒng)部署是很強(qiáng)大的，也很靈活。 除了執(zhí)行全新的操作系統(tǒng)安裝，SCCM還可以支持更新安裝，比如企業(yè)內(nèi)客戶端現(xiàn)在都是xp系統(tǒng)，可以通過(guò)SCCM將所有客戶端都平滑升級(jí)成為win7，同時(shí)，還可以保證xp系統(tǒng)下的用戶數(shù)據(jù)也順利移動(dòng)到win7中，這個(gè)就是SCCM的更新部署和用戶狀態(tài)

48、遷移功能 同時(shí)，一些進(jìn)階性的高級(jí)功能，比如把操作系統(tǒng)做成一個(gè)任務(wù)序列，放在自助門戶上，用戶選擇操作系統(tǒng)就會(huì)開始安裝，還可以在SCCM服務(wù)器上添加回退狀態(tài)點(diǎn)的功能，防止部署失敗。SCCM 病毒防護(hù) 補(bǔ)丁更新 在最新的SCCM2012R2中也集成了Endpoint Protection的功能 Endpoint Protection是一款客戶端防病毒軟件，能夠幫助PC抵御惡意軟件，例如病毒、間諜軟件和其它可能對(duì)計(jì)算機(jī)有害的軟件。提供三種方式來(lái)提高計(jì)算機(jī)的安全性：實(shí)時(shí)保護(hù)、掃描選項(xiàng)、檢測(cè)。 Endpoint Protection需要經(jīng)常性的定義更新其病毒庫(kù)、殺毒引擎和信息庫(kù)，以保證提供最佳的安全性，而

49、定義更新是通過(guò)軟件更新點(diǎn)SUP來(lái)實(shí)現(xiàn)的。 通過(guò)SCCM中的添加Endpoint Protection功能點(diǎn)后，即可針對(duì)于SCCM客戶端去進(jìn)行SCEP客戶端的推送在客戶端打開后界面如下，通過(guò)SCEP，就可以定期去掃描客戶端的健康狀態(tài)，查看客戶端是否安裝間諜軟件，是否中病毒，等等。如果發(fā)現(xiàn)客戶端不正常，SCEP會(huì)幫助客戶端進(jìn)行防御，同時(shí)發(fā)送警報(bào)通知管理員 補(bǔ)丁更新，沒(méi)什么好說(shuō)的，不論是企業(yè)，校園，還是政府，都需要定期更新操作系統(tǒng)的補(bǔ)丁，如果補(bǔ)丁不進(jìn)行更新的話，操作系統(tǒng)就會(huì)很容易遭受到攻擊。 所以SCCM中也集成了補(bǔ)丁更新的功能，在進(jìn)行實(shí)施操作的時(shí)候，需要在SCCM服務(wù)器上安裝一個(gè)WSUS組件，安裝

50、好了這個(gè)組件之后，針對(duì)于補(bǔ)丁的管理操作，都是在SCCM控制臺(tái)中進(jìn)行，相比較于簡(jiǎn)單的WSUS更新，在SCCM中則是可以進(jìn)行更加詳細(xì)的補(bǔ)丁策略控制，比如，要下載什么類型，什么時(shí)間，什么產(chǎn)品的補(bǔ)丁，還可以將多個(gè)補(bǔ)丁打包成組，然后進(jìn)行批量的補(bǔ)丁部署，還可以設(shè)定，軟件更新自動(dòng)部署規(guī)則，如果滿足指定條件的補(bǔ)丁，就不需要管理員審批，自動(dòng)安裝補(bǔ)丁，同時(shí)SCCM里面針對(duì)于補(bǔ)丁更新最大的優(yōu)點(diǎn)，就是SCCM可以評(píng)估出來(lái)，那些客戶端，適用于那些更新，將適用于客戶端的更新推送下去，不適用于客戶端的更新就不為客戶端推送。SCCM 符合性基線在SCCM中還有一個(gè)鮮為人知的功能，這個(gè)功能在國(guó)內(nèi)也許用的并不是很多，但也是一個(gè)比

51、較有用的功能。在SCCM2012R2里面集成了符合性基線的功能，這個(gè)功能之前要通過(guò)SCM等產(chǎn)品才能實(shí)現(xiàn)，現(xiàn)在已經(jīng)內(nèi)置在了SCCM中在SCCM里面，管理員可以定義一個(gè)基線，基線就是管理員定義的一個(gè)標(biāo)準(zhǔn)，通過(guò)基線去評(píng)估客戶端的狀態(tài)，如果如果符合基線，就是健康的，不符合基線狀態(tài)就是不健康的。比如說(shuō)，管理員可以定義一個(gè)文件系統(tǒng)的基線，定義所以客戶端的硬盤中，如果都存在一份“員工入門守則”，那么就是健康的，如果有客戶端電腦里沒(méi)有這份文檔，那么就是不健康的。如果不健康，管理員可以定義是否要進(jìn)行修復(fù)不健康的客戶端， 如果選擇修復(fù)，SCCM就會(huì)自動(dòng)從一臺(tái)健康的客戶端上復(fù)制這個(gè)文件到不健康的客戶端。SCCM的符

52、合性基線不光可以針對(duì)于文件系統(tǒng)來(lái)進(jìn)行定義基線，還支持針對(duì)于注冊(cè)表，數(shù)據(jù)庫(kù)，網(wǎng)絡(luò)設(shè)置，防火墻設(shè)置，等等，來(lái)定義基線。去評(píng)估客戶端的運(yùn)行狀態(tài)，在服務(wù)器端可以定期輸出客戶端基線狀態(tài)的報(bào)表，也可以去自動(dòng)修復(fù)不健康的客戶端。SCCM 資產(chǎn)收集通過(guò)SCCM的資產(chǎn)收集功能， 可以幫助企業(yè)收集IT資產(chǎn)，包括詳細(xì)的硬件資產(chǎn)，帶外設(shè)備資產(chǎn)， 以及軟件資產(chǎn)，SCOM都可以收集上來(lái)，然后通過(guò)漂亮的報(bào)表進(jìn)行展示，在SCCM的資產(chǎn)收集報(bào)表中， 還包括客戶端機(jī)器中安裝的那些軟件，以及企業(yè)IT軟件資產(chǎn)的計(jì)量功能。如果企業(yè)需要進(jìn)行IT資產(chǎn)的檢閱，只需要快速生成一張SCCM報(bào)表就可以了。例如：生成特定計(jì)算機(jī)的磁盤信息-分區(qū)報(bào)表S

53、CCM 遠(yuǎn)程協(xié)助 企業(yè)內(nèi)的IT管理員可能經(jīng)常需要進(jìn)行客戶端的維護(hù)工作，比如XX辦公室的電腦壞了，請(qǐng)你去現(xiàn)場(chǎng)修復(fù)一下，XX員工的office壞了，要你去配置一下，等等，很多時(shí)候，IT管理員都需要充當(dāng)救火隊(duì)員的角色，到處去跑，有了SCCM之后，管理員只需要坐在服務(wù)器端，將SCCM代理推送下去，就可以在服務(wù)器端，對(duì)環(huán)境里面的客戶端執(zhí)行遠(yuǎn)程管理。 在SCCM中，集成了遠(yuǎn)程協(xié)助的功能，SCCM里面的遠(yuǎn)程協(xié)助也可以選擇級(jí)別，可以選擇只是查看客戶端的界面，或者是遠(yuǎn)程操控計(jì)算機(jī)的界面，也可以選擇，是否讓用戶同意管理員的連接請(qǐng)求，用戶同意管理員遠(yuǎn)程連接過(guò)去，管理員才能連接，或者也可以不提示用戶，管理員強(qiáng)制的鏈接到遠(yuǎn)程客戶端。同事，使用SCCM進(jìn)行遠(yuǎn)程管理的時(shí)候，還會(huì)強(qiáng)制把客戶端的防火墻開啟遠(yuǎn)程端口，即使客戶端的防火墻是關(guān)閉的，SCCM也可以強(qiáng)行連接過(guò)去SCCM 其它功能除了以上這些SCCM的典型應(yīng)用，SCCM還具備一些其它的功能，比如說(shuō)帶外管理：SCCM可以對(duì)支持Intel主動(dòng)管理技術(shù)(Intel