AD域项目实施重点.doc

《AD域项目实施重点.doc》由会员上传分享，免费在线阅读，更多相关内容在教育资源-天天文库。

1、目录1.设计阶段的重点21.1.活动目录架构设计21.2.OU分级和管理模式21.3.命名规则21.4.客户机管理要求21.5.组策略应用31.6.SMS构架设计31.7.备份方案32.服务器安装重点32.1.安装准备工作32.2.安装DC42.3.安装SMS42.3.1.安装准备工作42.3.2.安装sms2003及打sp3补丁42.3.3.SMS站点配置42.3.4.软件分发42.3.5.SMS站点备份计划43.客户端入域实施重点54.实施过程中问题列表5AD域项目实施可以分为四个阶段：系统设计，服务器安装，客户端入域，系统验收。1

2、.设计阶段的重点1.1.活动目录架构设计AD域所角色：是独立的森林还是某个子域DC的数量和位置：一般2台，放置位置设计根据网络结构和需求设计1.2.OU分级和管理模式OU分几级：一般2-3级顶级OU一般按资源分类分为：计算机、用户帐号、服务器、服务帐号等。次级OU按一般部门划分，主要看客户的管理模式和需求1.3.命名规则DC命名成员服务器命名客户机命名用户帐号命名1.4.客户机管理要求本地管理员权限是否需要给用户（一般只给powerusers权限）本地管理员帐号如何管理（设随机密码）敏感客户机是否入域用户桌面内容迁移应用程序安装方式（强

3、制安装还是白名单）1.1.组策略应用用户权限用户口令策略审计权限设置启动脚本防火墙设置用户组限制1.2.SMS构架设计几台SMS服务器，如何管理一般2台以上，1台可以管理4000个左右的客户机客户端发现方式站点边界划分SMS客户端如何安装（通过脚本强制安装）分发软件方式（是否强制安装）软件名单补丁分发方式（是否采用WSUS还是强制分发）SMS管理方式（是否集中管理，远程管理等）1.3.备份方案AD和SMS备份的方案和周期2.服务器安装重点2.1.安装准备工作服务器硬件清单安装介质需求（windows版本一般用R2版）补丁、杀毒软件主机命

4、名IP地址规划1.1.安装DC配置DNS配置站点创建用户帐号和OU信息（信息量比较大时，用导入方式较好）创建其它管理帐号并设置权限配置组策略对象备份任务计划客户机入域测试1.2.安装SMS1.2.1.安装准备工作安装IIS、BITS，启用WebDAV扩展安装MSSQLserver并打好补丁ActiveDirectory架构扩展及system容器权限设置1.2.2.安装sms2003及打sp3补丁1.2.3.SMS站点配置站点边界配置发现方法配置客户端代理配置站点系统角色配置组件配置连接帐户1.2.4.软件分发创建数据包创建播发是否自动安

5、装1.2.5.SMS站点备份计划1.客户端入域实施重点更改计算机SID及计算机名将客户机加入域客户机桌面环境迁移检查组策略应用和SMS客户端安装情况2.实施过程中问题列表序号问题现象原因分析解决办法1汇源通提供的域用户帐号用工具检查发现有重名帐号提供的名单中有些领导调任到总部，有些帐号没有详细检查去掉多余的帐号，按帐号命名规则新生成一个唯一帐号2计算机手工加入域后发现组策略不生效手工入域时计算机默认是在computers这个OU，这个OU是没有应用组策略的。将计算机移动到相应的OU组，再运行gpupdate/force3服务器端修改组策

6、略后发现客户端不生效客户端组策略默认2小时连接到服务器更新一次运行gpupdate/force立即更新4入域后启动时提示：无法找到脚本：”xx.vbs”的脚本引擎”VBScript”VBScript解析引擎损坏以系统管理员运行regsvr32vbscript.dll5计算机入域时提示：不能联系域hyt.local的域控制器客户端DNS设置不正确导致无法找到域控制器修改客户端DNS设置6计算机入域时提示：不能访问网络位置。有关网络排除故障的信息，请参阅Windows帮助。TCP/IPNetBIOSHelper服务没有启动将TCP/IPNe

7、tBIOSHelper服务设置自动并启动7ISA2004的RPC筛选器插件有问题禁用ISA2004的插件RPC筛选器ISA2004服务器与AD域集成认证配置提示：不能确定用户或计算机名称（RPC服务不可用）8SMS远程控制台连接不成功或不能获取信息要成功的使用远程控制台，除了需要在远程计算机上安装SMS远程控制台外，还需要把用户帐号加到SMS服务器的本地组DistributedCOMUsers和SMSAdmins，一定要单个用户加，不能组嵌套（这是设计上的bug），然后在SMS控制台上使用管理员帐号设置远程使用人员的权限。单个添加用户到

8、SMS服务器的本地组DistributedCOMUsers和SMSAdmins