山西移動IT-NMS系統(tǒng)解決方案

山西移動IT-NMS系統(tǒng)—終端管理解決方案—OA終端部署實施方案上海微創(chuàng)軟件有限公司2006年08月目錄終端加入域?qū)嵤┎僮髅棵麉⑴c實施的助理工程師都必須熟練掌握如何手工完成終端實施的步驟。由于客戶機器分布的地域各有不同，所以具體計算機環(huán)境可能也也有不同。當自動化（腳本）流程不能進行時，我們必須手工完成所有步驟。本實施中每個OA客戶端登錄帳戶（域帳戶）來自于OA郵件系統(tǒng)帳戶（即用戶名與OA郵件系統(tǒng)相同），登錄密碼是隨機生成的7位數(shù)的密碼（出于安全考慮，每個人密碼均不相同，配置工作完成后實施人員會協(xié)助用戶更改密碼）。OA客戶端計算機名使用各分公司代碼的前兩位與用戶姓名中間用短線分隔的命名方式。部署客戶端前的準備工作詢問用戶信息到客戶端首先詢問用戶的部門信息、中文姓名和LotusNotes(公司郵件)的帳戶名，找到實施表格上對應的人員信息。如果部門信息有錯誤請在表格上進行更正。注意：由于有中文姓名相同情況，請核實中文姓名（對應表格上中文名）和LotusNotes的帳戶名（對應表格上域用戶名）與表格吻合的一行。將用戶對應的用戶名稱、計算機名稱、部門等信息，填入《客戶端實施完成確認單》對應位置。檢查網(wǎng)絡連通性使用Ping工具檢查是否能連通域控制器。 ping5如圖：檢查操作系統(tǒng)版本本次任務設計的客戶端操作系統(tǒng)包括Windows2000Professional、WindowsXPProfessional、Windows98，其余各種版本操作系統(tǒng)一律不加以任何處理。合格的客戶端配置應該是Windows2000Professional或WindowsXPProfessional版本。有些客戶端，特別是一些筆記本OS可能為WindowsXPHome版本。由于Home版本無法加入域，移動公司負責把這些機器重新安裝Professional版本。請使用以下方式來鑒別操作系統(tǒng)版本以及安裝的ServicePack版本：右擊我的電腦，點擊屬性，點擊常規(guī)例如，上面的抓圖顯示的是WindowsXPProfessional，ServicePack是SP2。如果發(fā)現(xiàn)客戶端是WindowsXPHome版本，請客戶自行重新安裝其為Professional版本。如果客戶端系統(tǒng)是Window98之前版本（不包括Windows98）或WindowsMe版本，則需要等到以后客戶將系統(tǒng)升級至Windows2000或更高版本（建議WindowsXP）后再進行配置工作。獲取客戶端操作系統(tǒng)版本以后，請將操作系統(tǒng)版本記錄入《客戶端實施完成確認單》對應位置。

暫時停止防火墻當客戶端加入到域時，客戶端需要與域控制器建立會話，如果計算機上安裝并啟用了第三方防火墻軟件，會話可能無法建立。因此，需要暫時停止客戶端安裝的第三方防火墻軟件。WindowsXPSP2所自帶的防火墻，對此過程并無影響，不需要將其禁用或關閉。常見的防火墻包括天網(wǎng)、金山網(wǎng)鏢等等。對于此類防火墻軟件，需要在運行腳本Part2.vbe前，在其主界面或狀態(tài)欄圖標將其暫時停止?；蛟凇伴_始菜單”*“控制面板”*“性能和維護”*“管理工具”*“服務”中，找到第三方防火墻軟件對應的服務，將其停止（不要禁用）。注意：McAfee8.0i企業(yè)版自帶防火墻功能，需要將其暫時停止。腳本的獲取腳本文件將以兩種方式發(fā)送到各位手上，包括光盤和軟盤，針對使用光驅(qū)或只有軟驅(qū)的用戶。除此以外，還可以通過訪問以下地址獲得腳本：\\5\script\訪問以上地址，可使用用戶sxoa\jd及密碼1234567。用腳本部署客戶端流程為了最大的簡化部署客戶端的勞動量，減少出錯的幾率。我們使用VB腳本在子域SXOA.SXYD.COM.CN部署客戶端。這四個腳本是1-RenameComputer.vbe，2-JoinDomain.vbe，3-MigrateProfile.vbe和4-DeleteTempAccount.vbe，分別對應以下四個流程：重命名客戶端計算機名；添加臨時帳戶sxmtemp（為了避免對原有界面和文檔等誤操作，在全新的帳戶下進行操作）更改計算機名稱（為了符合終端管理的資產(chǎn)管理需要）自動重新啟動計算機（為了應用新的計算機名稱）將客戶端加入到域更改本地DNS和WINS的指向到AD域中的DNS和WINS服務器（為了加入域和使用域內(nèi)資源及獲得各種服務）將計算機加入到SXOA域中（為了實現(xiàn)終端管理的基本條件）遷移用戶配置文件將本地配置文件遷移到域用戶下（為了使以前的所有文件和設置信息可以無縫的遷移到新的用戶環(huán)境，保證用戶登陸域后所有文件和設置保持與先前相同）收尾工作刪除臨時帳戶sxmtemp（刪除不用的臨時帳戶）我們通過下面這個例子，演示整個實施的過程。重命名客戶端計算機名第一次登錄客戶端時，我們請客戶使用需要被遷移的本地帳號登錄到客戶端。在開始運行中輸入\\5\在彈出的用戶名和密碼對話框中輸入，用戶名：jd，密碼：1234567雙擊鼠標打開共享文件夾Script雙擊鼠標打開文件夾01-JoinDomain運行腳本1-RenameComputer.vbe如果彈出安全警告，那么在彈出的對話框點擊打開按鈕如果步驟一不成功，會跳出下面的對話框。這時，請注銷系統(tǒng)，用administrator帳號登錄，然后再運行腳本1-RenameComputer.vbe。如果客戶不知道administrator的密碼，請參考附二來重設密碼。在對話框中輸入域用戶名，點擊“確定”如果輸入有誤，可以點擊“否”進行修改，確認正確請點擊“是”在對話框中輸入計算機名，點擊“確定”如果計算機名輸入有誤，可以點擊否進行更改。如果正確，點擊是?？蛻魴C提示重啟如果彈出安全警告對話框，點擊運行按鈕等待一會計算機第一次自動重啟將客戶端加入到域以本地帳號sxmtemp登錄客戶端，密碼為sxmtempWindowsXP登錄抓圖Windows2000登錄抓圖檢查客戶端是否成功的改名右擊我的電腦，點擊屬性，點擊計算機名，查看完整的計算機名稱。如果腳本沒有成功更改計算機名，請參看2.3.2節(jié)來手工更改計算機名在開始運行中輸入\\5\在彈出的用戶名和密碼對話框中輸入，用戶名：jd，密碼：1234567進入到Script，然后進入01-JoinDomain文件夾，雙擊運行腳本2-JoinDomain.vbe如果彈出安全警告，那么在彈出的對話框點擊打開按鈕彈出對話框提示在完成加入域操作后會重新啟動計算機，點擊確定。如果彈出安全警告對話框，點擊運行按鈕系統(tǒng)第二次自動重新啟動遷移用戶配置文件以本地帳號sxmtemp登錄客戶端，密碼為sxmtemp檢查客戶端是否成功的加入域中右擊我的電腦，點擊屬性，點擊計算機名，確認域名是SXOA.SXYD.COM.CN。如果腳本沒有成功的將客戶端加入域中，請參看2.3.3節(jié)來手工將客戶端加入域中在開始運行中輸入\\5\在彈出的用戶名和密碼對話框中輸入，用戶名：jd，密碼：1234567運行腳本3-MigrateProfile.vbe如果彈出安全警告，那么在彈出的對話框點擊打開按鈕腳本開始遷移用戶的配置文件在彈出的黑色命令行窗口消失后，請手動注銷當前用戶。注：如發(fā)現(xiàn)計算機登錄后用戶配置文件遷移失敗，請勿再次運行腳本3-MigrateProfile.vbe，請按照手動遷移方式進行遷移或聯(lián)系微創(chuàng)工程師進行處理。收尾工作以域用戶帳號登錄計算機啟動到登陸界面后，同時按下Ctrl+Alt+Del后，點擊“選項(O)<<”后在“登陸到(L):”后面點擊下拉框選擇“SXOA”后再點擊“選項(O)<<”，將“登陸到(L):”這一行再隱藏掉。在“用戶名(U):”處輸入該用戶的域用戶名（表格上），在“密碼(P)”處輸入該域用戶的密碼（表格上），點擊確定。檢查用戶配置文件是否遷移成功如果用戶配置文件遷移成功，那么域用戶登錄后的桌面應該與被遷移的本地帳戶登錄時的桌面相同。如果登錄后發(fā)現(xiàn)是一個全新的桌面，和被遷移的本地帳戶登錄時的桌面不同。這說明腳本遷移用戶配置失敗。請參看2.3.4節(jié)來手工遷移用戶配置。在開始運行中輸入\\5\運行腳本4-DeleteTempAccount.vbe腳本程序?qū)?zhí)行最后的清理工作至此，用腳本部署客戶端的任務全部完成。

最后，提醒客戶更改域帳戶的初始密碼。步驟如下：Windows2000和WindowsXP客戶端同時按住Ctrl-Alt-Del在Windows安全對話框，點擊更改密碼，在舊密碼欄中輸入初始密碼，然后輸入新密碼，點擊確定。提醒用戶保護自身數(shù)據(jù)為了提高數(shù)據(jù)安全性，提醒客戶通過以下方式保護和增強自身數(shù)據(jù)的安全：設置開機密碼（主板BIOS密碼）防止他人進入自己計算機系統(tǒng)嚴格設置共享的權限防止未經(jīng)授權的用戶通過網(wǎng)絡訪問或刪除共享的資源使用NTFS格式的分區(qū)可以提供本地的安全保護設置嚴格的NTFS權限防止任何遠程和本地的用戶對本機進行未經(jīng)本人授權的操作。

安裝ISA客戶端在運行窗口輸入\\5\雙擊打開Script文件夾，再雙擊進入02-ISA-Client文件夾，雙擊運行DeployFW如彈出安全警告對話框，點擊運行按鈕點擊下一步點擊下一步輸入服務器IP地址：39點擊安裝安裝完成，點擊完成。至此，ISA客戶端安裝完成打開IE確認上網(wǎng)操作正常，同時可以看到ISA客戶端的圖標顯示正常連接狀態(tài)。：可以連接到ISA服務器，在移動公司OA網(wǎng)范圍內(nèi)顯示此圖標表示客戶端與服務器連接狀況正常。：不能連接到ISA服務器，在移動公司OA網(wǎng)范圍內(nèi)顯示此圖標表示客戶端與服務器連接狀況不正常，需要進行排錯。在移動公司OA網(wǎng)范圍之外顯示此圖標屬于正?，F(xiàn)象，并且不會影響客戶端上網(wǎng)行為。安裝SMS客戶端在運行窗口輸入\\5\雙擊打開Script文件夾，再雙擊進入03-SMS-Client文件夾，雙擊運行DeploySMS如彈出安全警告對話框，點擊運行按鈕點擊下一步點擊下一步輸入S01后點擊下一步點擊完成，結(jié)束SMS客戶端安裝

手動部署客戶端流程如果腳本無法將客戶端加入域，我們需要遵循下面三個流程，手動將客戶端加入域中：重命名客戶端計算機名；將客戶端加入到域遷移用戶配置文件重命名客戶端計算機名我們用具有管理員權限的帳號登錄客戶端（如本地管理員Administrator），然后使用下面的步驟更改計算機名：如果不知道administrator的密碼，請參考附二重設administrator的密碼右擊我的電腦，點擊屬性，點擊計算機名，點擊更改，輸入計算機名，點擊確定，重啟機器如圖:將客戶端加入到域在做加入域的工作前，應該先檢查網(wǎng)絡配置，主要是IP地址，DNS服務器等。用具有管理員權限的帳號登錄客戶端（如本地管理員Administrator），然后使用下面的步驟配置網(wǎng)絡：右擊網(wǎng)上鄰居，點擊屬性，雙擊對應的網(wǎng)卡，點擊Internet協(xié)議（TCP/IP）屬性，點擊屬性。點擊高級，點擊DNS標簽，點擊添加，輸入IP4，點擊添加，輸入IP5。點擊WINS標簽，點擊添加，輸入IP5，點擊添加，輸入IP。點擊確認，直到所有對話框關閉。如圖使用Ping工具檢查是否能連通DNS服務器。 ping5如圖確?？蛻舳四軌蜻B通到DNS服務器后，使用下面的步驟把客戶端加入到域中。右擊我的電腦，點擊屬性，點擊計算機名，點擊更改，輸入域名，點擊確定如圖:在“計算機名更改”對話框中輸入域用戶帳號jd和密碼1234567加入域的歡迎信息出現(xiàn)后，點擊確定，重新啟動機器。

遷移用戶配置文件在Windows2000、XP上，我們需要使用把原來的本地帳號的配置文件遷移到域帳號下，換句話說，當使用域帳號登錄到客戶端時，桌面、我的文檔等配置應與使用本地帳號相同。如果腳本part3不能夠成功的遷移用戶配置文件，請參考下面的步驟手動的遷移用戶配置文件：假設被遷移的本地帳號是LocalAccount，遷移的域帳號是DomainAccount注意：首先要以域用戶賬號登錄計算機一次，然后注銷。對于Windows2000和XP客戶端1、確認用戶權限以原來用戶的本地登陸帳戶（如果不知道或人不在那么以sxmtemp帳戶）登錄到用戶計算機；在“我的電腦”上單擊右鍵，選擇“管理”；展開“本地用戶和組”*“組”；雙擊Administrators，查看其下是否具有SXOA\DomainAccount（注意區(qū)別LocalAccount和DomainAccount）；如該組中無SXOA\DomainAccount，則需要點擊“添加”按鈕，在添加用戶對話框中輸入用戶的登錄名，并以jd/1234567為用戶和密碼查詢用戶；點擊“確定”按鈕，完成用戶添加。2、確認文件系統(tǒng)雙擊打開“我的電腦”；在C盤上單擊右鍵，選擇“屬性”；查看其文件系統(tǒng)是FAT32還是NTFS；如果是FAT32，請直接跳到第5步；如果是NTFS，請繼續(xù)以下步驟；3、確認舊用戶配置文件權限以原來用戶的本地登陸帳戶（如果不知道或人不在那么以sxmtemp帳戶）登錄到用戶計算機；雙擊打開“我的電腦”*“C盤”*“DocumentsandSettings”；在菜單上點擊“工具”*“文件夾選項”*“查看”，去除“使用簡單共享”選項前的復選框；在用戶舊配置文件文件夾上單擊右鍵，選擇“屬性“；在屬性對話框中，選擇安全標簽欄；在安全標簽欄中，查看用戶列表是否具有以下對象：SXOA\DomainAdmins、MachineName\LocalAccount、MachineName\Administrators、SXOA\DomainAccount；如缺乏以上任何一對象，點擊添加按鈕將其添加至列表中；檢查以上所列所有對象，確認其權限為“完全控制”；如其權限并非為完全控制，可將其改為完全控制并點擊應用完成權限修改；點擊“高級”按鈕，在高級安全設置中，鉤選“用在此顯示的可以應用到資對象的項目替代所有子對象的權限項目；完成權限修改前，請注意客戶端殺毒軟件是否開啟，如開啟，請暫時將其關閉以提高效率。如查看安全標簽欄，其中均為空值且不可修改，則請執(zhí)行第4步。4、奪取所有權請注意，本操作僅在第3步安全標簽欄中無任何用戶情況下需要執(zhí)行。請勿隨意執(zhí)行。當發(fā)現(xiàn)用戶無法修改舊用戶配置文件文件夾用戶對象時，需要奪取所有權及權限。以用戶原有登錄名及密碼登錄到用戶計算機；雙擊打開“我的電腦”*“C盤”*“DocumentsandSettings”；在用戶舊配置文件文件夾上單擊右鍵，選擇“屬性“；在屬性對話框中，選擇安全標簽欄；在安全標簽欄中，添加以下對象：SXOA\DomainAdmins、MachineName\LocalAccount、MachineName\Administrators、SXOA\DomainAccount；檢查以上所列所有對象，確認其權限為“完全控制”；如其權限并非為完全控制，可將其改為完全控制并點擊應用完成權限修改；完成權限修改前，請注意客戶端殺毒軟件是否開啟，如開啟，請暫時將其關閉以提高效率。5、修改用戶的配置文件指向注：執(zhí)行本操作前，請注意區(qū)分舊用戶配置文件夾路徑及新用戶配置文件夾路徑，切勿錯誤設置。以sxmtemp登錄到客戶端計算機；在運行中輸入regedit.exe打開注冊表編輯器；瀏覽至以下位置HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList；在其中查找S-1-5-21-56…..項，將其中ProfileImagePath值改為用戶舊配置文件路徑；查找用戶舊配置文件路徑，將其值加個0；關閉注冊表編輯器，以域用戶登錄。最后，提醒客戶更改域帳戶的初始密碼。步驟如下：Windows2000和WindowsXP客戶端同時按住Ctrl-Alt-Del在Windows安全對話框，點擊更改密碼，在舊密碼欄中輸入初始密碼，然后輸入新密碼，點擊確定。

附一：在出現(xiàn)問題時如何收集查錯信息如果在部署客戶端的過程中出現(xiàn)錯誤（包括客戶端無法加入域；無法遷移帳號等），我們需要收集相關的信息，以便排錯。請遵循下面的步驟，收集信息：當某個步驟出錯時，通常系統(tǒng)會報一個錯誤信息。這時，我們需要將錯誤信息抓一個圖，保存下來。抓圖的步驟如下：按下鍵盤上的Print鍵，打開附件中的畫圖程序，按Ctrl-V粘貼，然后保存為JPG格式客戶端在加入域時，會把相關信息寫到文件netsetup.log中。文件位于目錄%windir%\debug\下，需要把它收集。微軟的MPSReport工具能夠收集客戶端的系統(tǒng)信息。使用MPSReport工具方法如下:雙擊MPSRPT_DirSvc.EXE命令行窗口跳出，運行MPSReportMPSReport工具運行結(jié)束后，會在%windir%\MPSReports\DirSvc\Logs\cab文件夾產(chǎn)生一個.cab文件收集這個.cab文件如果在遷移用戶帳號時發(fā)生錯誤，還要收集相應的注冊表(否則，不要收集)運行命令regedit高亮