linux下的域控做法

IBM X3400-MT7674安装redhat AS5布署samba3域控和文件服务器

来源: ChinaUnix博客日期：2008.09.11 11:06(共有0条评论) 我要评论

IBM X3400-MT7674安装redhat AS5布署samba3域控和文件服务器

Date:2008.4.9

Author:Wang Xiantong,xiantong@https://www.sodocs.net/doc/3e2677863.html,

1、需求

50个用户，提供域控及文件服务器功能

总经理室/行政组/财务组/工程组/关务组/品保组/制造组

文档中心组

网管组

2、硬件环境

服务器型号:IBM X3400-MT7674

CPU:Intel Xeon E5310 1.6GHz 四核CPU

内存：2G

硬盘:SATA 150G 两块

Raid：hostraid,支持raid0 raid1 raid5

网卡：1000M网卡两块

3、系统安装

3.1、hostraid的raid1(mirror)配置

启动服务器，当出现Press F1 for Configuration/Setup按F1进入setup

选择Devices and I/O Ports =>Advanced Chipset Control

把Serial ATA的参数改为Enabled

SATA Controller Mode Option的参数改为Enhanced

SATA RAID Enable的参数改为Enabled

按Esc，保存退出

这样就启用了SATA HostRAID功能

接着配置SATA Host RAID,这里建建立一个raid1

按ctrl+alt+del重启服务器

当出现Press for Adaptect RAID Configuration Utility按CTRL+A进入raid配置菜单

选择Array Configuration Utility

选择Ctreate Array 新建raid1，按insert键把两个盘加入,创建方式选Quick Int

按Done完成退出

3.2、安装rehdat AS5

安装linux，最重要的就是到IBM官方下载相对应的LINUXhostraid驱动，否则raid1不能成功应用，安装的的时候还是会看到两块物理硬盘,目前IBM官网只提供redhat AS4U1-AS4U5,AS5,AS4U6和AS5U1没有提供驱动,我刚开始使用centos4.6(对应于redhat as4u6)，使用as4u5的驱动不能成功。

下载地址：

https://www.sodocs.net/doc/3e2677863.html,/systems/support/supportsite.wss/docdisplay?brandind=5000008&lndocid=MIGR-63041下载ibm_dd_adpahci_1.2.5574_rhel5_x86_64.img对应于我的AS5

因为没有软驱，所以选择用U盘加载刚下载的hostraid驱动,找一台LINUX，利用dd把驱动复制进U盘

#dd if=ibm_dd_adpahci_1.2.5574_rhel5_x86_64.img of=/dev/sdc，这里sdc是我的U盘,你可以通过fdisk -l /dev/sdc 查看是否是U盘，数据写入U盘之后，在linux和windows下都不能看到里面有东西，不要担心，这是因为我们此时把U盘当软盘用，U盘上没有分区，现在只是一个软盘功能了

如果你有外接软驱，你还可以下载Rawrite.exe，利用这个工具在DOS下生成软盘hostraid驱动盘，把

bm_dd_adpahci_1.2.5574_rhel5_x86_64.img和Rawrite.exe全部复制至某盘如C盘的根目录

c:\rawrite回车

Enter disk image Source file name:输入img文件名称，回车

Enter target diskette drive:输入a回车

Please insert a formatted diskette into drive A: and press –Enter-:回车

如果出现不能识别目标文件，请把下载的文件名改个名，rawrite所解压的文件名必须满足8个字符以下，扩展名不能超过3个字符

把U盘插上主机

把安装盘放入光驱启动电脑，在安装示符处输入linux text dd，选择加载U盘里的驱动，我这里是/dev/sdc,加载成功之后即可正常安装linux了

这里要选择开发工具，开发包，不要选任何X软件包，选择开发工具和开发包是为了编译安装最新的samba及相关软件

3.3、安装samba3

#cd /usr/src/

#wget

https://www.sodocs.net/doc/3e2677863.html,/samba/ftp/stable/samba-3.0.28a.tar.gz

#export LC_ALL=C

#tar zxvf samba-3.0.28a.tar.gz

#cd samba-3.0.28/source

# ./configure --prefix=/opt/samba --with-automount --with-smbmount --with-syslog --with-wtmp --with-quotas --with-sys-quotas --with-acl-support --with-winbind

#make

#make install

4、系统配置

4.1、主域控制器及基本参数配置

要建立一个samba主域控制器(Primary Domain Controller,PDC)，最好的办法是先建立一个简单的独立服务器(standalone)，然后在独立服务器的基础上修改成主域控制器。假定我们的独立服务器的配置如下：

[global]

netbios name = files

workgroup = https://www.sodocs.net/doc/3e2677863.html,

security = user

encrypt passwords = yes

[public]

path = /home/public

read only = no

要想把standlone转换成PDC，必须满足5个必要条件：

1、用户安全模式必须设定为user(security = user)

2、密码加密是必须的(encrypt passwords = yes)

3、一个恰当的[netlogon]文件共享

4、配置成域主要浏览器(domain master = yes)

5、配置成域登陆服务器(domain logons = yes)

上面的standlone服务器已经具备PDC（主域控制器）两个必要条件：

security = user

encrypt passowrd = yes

现在我们来满足第三个条件,[netlogon]文件共享用来模拟windows域控制器（DC）的NETLOGON服务。这个共享必须满足所有域帐户可读，系统管理员可读写这一条件才能使它正常工作，配置示例如下：

[netlogon]

comment = Net Logon service

path = /opt/samba/netlogon

read only = yes

write list = +DomainAdmins

在全局配置部分（global section）起用domain master(domain master = yes)就可以使nmbd注册Domain名，在这里就是https://www.sodocs.net/doc/3e2677863.html,，是windows 客户机用来锁定域主域控制器（PDC）的，当搜索域控（DC）的时候，没必要一定正好是主域控制器（PDC）,windows 客户机企图解析DOMAIN,所以必须使用domain logons = yes 参数告诉nmbd注册DOMAIN，这里是https://www.sodocs.net/doc/3e2677863.html,。那么我们的域主域控制器的最小配置就确定了，示例如下：

[global]

netbios name = files

workgroup = https://www.sodocs.net/doc/3e2677863.html,

security = uesr

encrypt passwords = yes

domain master = yes domain logons = yes

再加三个配置

os level = 33

preferred master = yes

ocal master = yes

就可以实现基本的PDC了。

#vi /opt/samba/lib/smb.conf [global]

netbios name = files workgroup = https://www.sodocs.net/doc/3e2677863.html, security = uesr

encrypt passwords = yes domain master = yes domain logons = yes

os level = 33

preferred master = yes

ocal master = yes [netlogon]

comment = Net Logon service path = /opt/samba/netlogon read only = yes

write list = +DomainAdmins 起动相关服务

#/opt/samba/sbin/smbd -D #/opt/samba/sbin/nmbd -D

# /opt/samba/bin/nmblookup 'https://www.sodocs.net/doc/3e2677863.html,#1b' 'https://www.sodocs.net/doc/3e2677863.html,#1c'

querying https://www.sodocs.net/doc/3e2677863.html, on 192.168.1.255

192.168.1.20 https://www.sodocs.net/doc/3e2677863.html,

querying https://www.sodocs.net/doc/3e2677863.html, on 192.168.1.255

192.168.1.20 https://www.sodocs.net/doc/3e2677863.html,

4.2、域用户及本地用户、组的配置

groupadd -g 1512 DomainAdmins

133 groupadd -g 1513 DomainUsers

134 groupadd -g 1514 DomainGuests

135 groupadd -g 1515 DomainComputers

137 bin/net groupmap add ntgroup="Domain Admins" unixgroup=DomainAdmins rid=512 type=d

138 bin/net groupmap add ntgroup="Domain Users" unixgroup=DomainUsers rid=513 type=d

139 bin/net groupmap add ntgroup="Domain Guests" unixgroup=DomainGuests rid=514 type=d

140 bin/net groupmap add ntgroup="Domain Computers" unixgroup=DomainComputers rid=515 type=d 149 groupadd -g 1544 "LocalAdmins"

150 groupadd -g 1545 LocalUsers

151 groupadd -g 1546 LocalGuests

152 net groupmap add ntgroup="Local Admins" unixgroup="LocalAdmins" rid=544 type=l

153 net groupmap add ntgroup="Local Users" unixgroup="LocalUsers" rid=545 type=l

154 net groupmap add ntgroup="Local Guests" unixgroup="LocalGuests" rid=546 type=l

145 bin/./net groupmap list

PresidentRoom:president1,president2,president3

EngineeringDept:engineer1,engineer2,engineer3,engineer4,engineer5

FinancialDept:financial1,financial2,financial3

ManufactureDept:manufacture1,manufacture2,manufacture3,manufacture4,manufacture5

QualityDept:quality1,quality2,quality3,quality4,quality5

MaterialDept:material1,material2,material3

AdministrationDept:custom1,custom2,source1,purchase1,netadmin1

groupadd -g 2000 "PresidentDept"

232 groupadd -g 2001 "EngineeringDept"

233 groupadd -g 2002 "FinancialDept"

234 groupadd -g 2003 "ManufactureDept"

235 groupadd -g 2004 "QualityDept"

236 groupadd -g 2005 "MaterialDept"

237 groupadd -g 2006 "AdministrationDept"

n]# ../bin/./net rpc user add presidnet2 -S 192.168.0.93

Password:

[2008/04/14 17:55:05, 0] libsmb/clientgen.c:cli_receive_smb(112)

Receiving SMB: Server stopped responding

[2008/04/14 17:55:15, 0] libsmb/clientgen.c:cli_receive_smb(112)

Receiving SMB: Server stopped responding

Could not connect to server 192.168.0.93

Connection failed: NT_STATUS_BAD_NETWORK_NAME

4.3、共享文件夹配置

4.4、打印机共享配置

本文来自ChinaUnix博客，如果查看原文请点：https://www.sodocs.net/doc/3e2677863.html,/u/12199/showart_1183796.html

系统AS4.1 所需软件：openldap、samba、phpldapadmin-0.9.8.2.tar.gz 、smbldap-tools-0.9.2.tgz（添加、管理域帐户）。安装好openldap、samba（见配置文件）[root@pdc samba]# grep -v "#" smb.conf grep -v ";"uniq[global] workgroup = https://www.sodocs.net/doc/3e2677863.html, netbios name = pdc server string = Samba Server %v socket options = TCP_NODELAY IPTOS_LOWDELAY SO_SNDBUF=8192

SO_RCVBUF=8192 os level = 64passdb backend = ldapsam:ldap://127.0.0.1ldap admin dn = "cn=root,dc=ldap,dc=com"ldap suffix

= dc=ldap,dc=comldap group suffix = ou=Groupsldap user suffix = ou=Usersldap machine suffix = ou=Computersldap passwd sync = yes add user script = /usr/local/sbin/smbldap-useradd -a '%u'delete user script = /usr/local/sbin/smbldap-userdel '%u'add group script = /usr/local/sbin/smbldap-groupadd -p '%g'delete group script = /usr/local/sbin/smbldap-groupdel '%g'add user to group script = /usr/local/sbin/smbldap-groupmod -m '%u''%g'delete user from group script = /usr/local/sbin/smbldap-groupmod -x %u' '%g'set primary group script = /usr/local/sbin/smbldap-usermod -g '%g' '%u'add machine script =

usr/local/sbin/smbldap-useradd -w '%u' log file = /var/log/samba/%m.loglog level = 2 max log size = 50 security = user encrypt passwords = yes dns proxy = no idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /bin/false winbind use default domain = nopreferred master = yesdomain master = yesdomain logons = yeslogon drive = H:unix charset = cp936 [homes] comment = Home Directories browseable = no writable = yes [profiles]path = /home/samba/profileswritable = yesbrowseable = nocreate mask = 0600directory mask = 0700 [netlogon]comment = Network Logon Servicepath =

home/samba/netlogonread only = yesbrowseable = nowrite list= root [share]comment=Sharepath=/home/samba/shareguest

ok=yesbrowseable=yeswritable = yescreate mask=0644 [root@pdc openldap]# grep -v "#" slapd.conf uniqinclude

etc/openldap/schema/core.schemainclude /etc/openldap/schema/cosine.schemainclude

etc/openldap/schema/inetorgperson.schemainclude /etc/openldap/schema/nis.schemainclude

etc/openldap/schema/samba.schemainclude /etc/openldap/schema/radius.schema allow bind_v2 pidfile /var/run/slapd.pidargsfile var/run/slapd.args database bdbsuffix "dc=ldap,dc=com"rootdn "cn=root,dc=ldap,dc=com"rootpw 123 directory /var/lib/ldap index objectClass eq,presindex ou,cn,mail,surname,givenname eq,pres,subindex uidNumber,gidNumber,loginShell eq,presindex

uid,memberUid eq,pres,subindex nisMapName,nisMapEntry eq,pres,sub loglevel 1access to

attrs=shadowLastChange,userPassword by self write by * auth access to dn.base="dc=ldap,dc=com" by

dn="uid=samba,ou=Users,dc=ldap,dc=com" write by * noneaccess to dn="ou=Users,dc=ldap,dc=com" by

dn="uid=samba,ou=Users,dc=ldap,dc=com" write by * noneaccess to dn="ou=Groups,dc=ldap,dc=com" by

dn="uid=samba,ou=Users,dc=ldap,dc=com" write by * none access to * by self read by * read 安装smbldap-tools-0.9.2.tgz Tar zxvf smbldap-tools-0.9.2.tgz Cd smbldap-tools-0.9.2安装INSTALL文档进行操作，把smbldap*,configure.pl拷贝到/usr/local/sbin/目录下。安装时需要Perl 模块：Crypt::SmbHash、Digest::SHA1、IO::Socket::SSL、Net::SSLeay去

https://www.sodocs.net/doc/3e2677863.html,/~dankogai/Jcode-2.07/Jcode.pm这里搜索，这些远远不够，一会执行脚本是会提示缺少很多perl的软件包，都到这个网站里找。Cd /usr/local/sbin 编辑smbldap_tools.pm这个文件，按照你的需要设置一下变量：my

$smbldap_conf="/etc/smbldap-tools/smbldap.conf"; my $smbldap_bind_conf="/etc/smbldap-tools/smbldap_bind.conf"; 执行configure.pl这个脚本，大部分都是回车。要求SID时默认没有列出，这时需要执行net getlocalsid PDC这个命令才能获得，并复制过来，第一次执行时没有获得SID，这时把/etc/samba/secrets.tdb文件删掉，再重新生成smbpasswd –w 123 当上面都完成后执行smbldap-populate这个脚本，在这里出现了很多错误，根据提示去上面网站下载perl的软件包，每个软件解压之后进入解压目录执行perl Makefile.PL make install smbldap-populate 可能提示您输入域管理员的密码，域管理员在默认情况下称为root。给这个用户设置的密码应该不同于slapd.conf中使用的rootdn 密码，也不同于Linux 机器的root 用户密码。使用smbldap-useradd命令创建域帐户，smbldap-passwd这个命令设置域帐户密码。smbldap-useradd –a –g “Domain Users” user1 smbldap-passwd user1 这时使用通过web使用phpldapadmin就可以查看新创建的用户user1，把windowsXP/2003加入域中，就可以使用user1用户登录了。参考网站：https://https://www.sodocs.net/doc/3e2677863.html,/developerworks/cn/education/linux/l-ldapsamba/section4.html Perl包下载：https://www.sodocs.net/doc/3e2677863.html,/~dankogai/Jcode-2.07/Jcode.pm

利用组策略部署软件分发

【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的\VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可以在下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使用户具有只读的权限即可。如果担心某些用户非法浏览分发点中的的内容，可以使用隐藏共享文件夹，即在共享名字后加$符号。 三、创建组策略对象

(完整)域组策略--+域控中组策略基本设置

(完整)域组策略--+域控中组策略基本设置 编辑整理： 尊敬的读者朋友们： 这里是精品文档编辑中心，本文档内容是由我和我的同事精心编辑整理后发布的，发布之前我们对文中内容进行仔细校对，但是难免会有疏漏的地方，但是任然希望（(完整)域组策略--+域控中组策略基本设置）的内容能够给您的工作和学习带来便利。同时也真诚的希望收到您的建议和反馈，这将是我们进步的源泉，前进的动力。 本文可编辑可修改，如果觉得对您有帮助请收藏以便随时查阅，最后祝您生活愉快业绩进步，以下为(完整)域组策略--+域控中组策略基本设置的全部内容。

域控中组策略基本设置 计算机配置：要重启生效用户配置：注销生效 策略配置后要刷新：gpupdate /force 组策略编辑工具！—-—-—gpmc.msi （工具） 使用：运行---〉gpmc。msc 如下键面： 文件夹重定向： 1。在域控建立一共享文件夹,权限放到最大（完全控制，无安全隐患!）

2．域账户用户登录任一台机器都能看到我的文档里的自己的东西！ 禁止用户安装软件: 1.给域用户基本权限（Domain user）,但有时基本应用软件也不能运行！ 2.把域用户加入到本地power user 组可以运行软件！ 域用户添加Power user组

3.用本地用户登录机器查看！ 禁止卸载: 1。权限domain user + 管理模板（相当于改动注册表！！）

2.再把控制面板里的“添加删除程序"禁用

禁止使用USB： 1.工具(程序模板usb.adm),拷到C：\WINDOWS\inf\usb。adm 2. 3。 4。

Linux网络服务器配置习题解析

Linux网络服务器配置习题解析选择题 11、在运行Linux操作系统的服务器上，管理员使用BIND配置了域名系统服务，请问主配置文件是（C）。 A：named.ca B：named.local C：named.conf D：rndc.key 试题解析：BIND的主配置文件（/var/named/chroot/etc/named.conf）中有BIND的全局设置 12、某公司使用Linux系统搭建了Samba文件服务器，在帐号为gtuser 的员工出差期间为了避免该帐号被其它员工冒用，需要临时将其禁用可以使用以下（B）命令。 A：smbpasswd -a gtuser B：smbpasswd -d gtuser C：smbpasswd -e gtuser D：smbpasswd -x gtuser 试题解析： 禁用samba用户：smbpasswd -d用户名 启用samba用户：smbpasswd-e 用户名 删除samba用户：smbpasswd -x 用户名 13、在Linux系统中，小明用系统默认的vsftpd架设FTP服务器，他新建了一个名为gtuser的用户，然后他修改/etc/vsftpd/vsftpd.conf文件，加入下面两行，并且把gtuser用户加入到了/etc/https://www.sodocs.net/doc/3e2677863.html,er_list 文件中，请问gtuser用户在客户端登录结果会怎样（A）。 userlist_enable=YES userlist_deny=NO A：允许登录 B：拒绝登录 C：不确定 D：以上都对

试题解析：userlist_enable=YES/NO是否启用https://www.sodocs.net/doc/3e2677863.html,er_list文件。userlist_deny=YES/NO（YES）决定https://www.sodocs.net/doc/3e2677863.html,er_list文件中的用户是否能够访问FTP服务器。若设置为YES，则https://www.sodocs.net/doc/3e2677863.html,er_list文件中的用户不允许访问FTP，若设置为NO，则只有https://www.sodocs.net/doc/3e2677863.html,er_list文件中的用户才能访问FTP。 14、公司有一台对外提供WWW服务的主机，为了防止外部对它的攻击现在想要设置防火墙使它只接受外部的WWW访问，其它的外部连接一律拒绝，可能的设置步骤包括： 1、iptables -A INPUT-p tcp -j DROP 2、iptables -A INPUT-p tcp --dport 80 -j ACCEPT 3、iptables -F 4、iptables -P INPUT DROP 请在下列选项中找出正确的设置步骤组合（D）。 A：1-2-3-4 B：2-4-3 C：3-1-2 D：3-4-2 试题解析： 正确步骤为 ①清除所有规则来暂时停止防火墙：iptables–F ②本机默认不接受任何连接，除非在INPUT链上再设置接收的规则：iptables -P INPUT DROP ③打开WEB服务端口的TCP协议：iptables -A INPUT-p tcp --dport 80 -j ACCEPT 15、在LINUX系统中，使用BIND配置DNS服务器，若需要设置192.168.10.0/24网段的反向区域以下（C）是该反向域名的正确表示方式。 A：192.168.10.in-addr.arpa B：192.168.10.0.in-addr.arpa C：10.168.192.in-addr.arpa D：0.10.168.192.in-addr.arpa 试题解析：添加反向区域时，网络号要反过来写（网络号是IP地址与

组策略分发软件全攻略

组策略分发软件全攻略 2008-12-23 13:26 在规模比较大的网络环境里面，为了对服务器和客户机上的软件、系统补丁进行集中统一的管理，我们可能会用到SUS、WSUS、SMS等。SUS、WSUS管理系统更新，不在本文讨论，请参考其它相关技术文档。虽然SMS功能较强大，兼容性好，绝大多数应用软件都可以用它来管理，但是它比较复杂，实现起来要考虑的问题也比较多。如果要部署的应用程序不多不十分复杂的话，其实我们还是可以回归到比较原始的技术： 利用GPO实现软件设置 ● 分发软件 ● 修复软件 ● 删除软件 ● 升级软件 优点：易实现 缺点：功能简单、兼容性差（只能分发winodows安装程序包——.msi，exe 封装的程序安装包要用Advanced Installer重新封装成msi文件） 实现：前提是熟悉Winodows Server活动目录的基本管理，理解组策略，熟悉通过AD部署组策略 一、获取要分发的软件

如图从网上下载了GreenBrowser和千千静听来分发给所有客户机或者用户使用，但都是exe封装的安装包。因为通过组策略只能够分发msi封装的程序安装包，所以我们要使用Advanced Installer把他们都重新封装成msi格式的安装包： 1、运行Advanced Installer，打开新建工程向导，按向导做 选择“语言”、“重新包装安装”——>“确定” 2、按向导提示，关掉真正运行的其它程序，下一步

3、选中捕获新的安装

4、指定要重新包装的源程序，并设置名称、版本等信息 5、如图，选中新的系统捕获

6、指定“安装捕获配置文件”保存路径，其它默认

组策略分发Adobe Reader 10教程

组策略分发Adobe Reader 10教程 1，实验环境 域控：Windows Server 2008 R2 客户端：Windows XP SP3 32位 Adobe Reader版本：10.1.4 2，获取分发Adobe Reader的许可协议 按照Adobe公司的要求，分发Adobe Reader需要取得许可，仅为形式上的东西，申请网址为https://www.sodocs.net/doc/3e2677863.html,/cn/products/reader/distribution.html?readstep，申请成功后Adobe公司会邮件通知你可以开始分发Adobe Reader，免费的。 3，下载Adobe Reader msi包 官方下载地址：ftp://https://www.sodocs.net/doc/3e2677863.html,/pub/adobe/reader/win/。Adobe Reader 10.1.4版本只有MSP包下载，所以我们需先下载Adobe Reader 10.1.0的msi包，下载目录ftp://https://www.sodocs.net/doc/3e2677863.html,/pub/adobe/reader/win/10.x/10.1.0/zh_CN/，对于网内有中英文电脑的酒店，都可下载此中文安装包，只是英文客户端的电脑第一次打开Adobe Reader时会出现选择语言的提示，单语言安装包只有66.8M，而多语言安装包有140多M，安装单语言安装包将快得多。然后在目录 ftp://https://www.sodocs.net/doc/3e2677863.html,/pub/adobe/reader/win/10.x/10.1.4/misc/下载名为 AdbeRdrUpd1014.msp的MSP包。 4，下载Adobe Reader msi包的MST生成工具Adobe Customization Wizard X 官方下载地址：https://www.sodocs.net/doc/3e2677863.html,/support/downloads/detail.jsp?ftpID=4950。此MST 工具的目的是禁止分发后的Adobe Reader自动更新、关闭保护模式等，后面将详细介绍。 5，安装下载的MST生成工具 安装完后在工具栏中选择File --- Open Package，打开之前下载的Adobe Reader 10.1.0的msi包，请勿在msi包上单击右键选择Adobe Customization Wizard X用打开，这样打开将报错，弄得我还以为是电脑有问题。 6，生成MST文件 可参考如下文档 https://www.sodocs.net/doc/3e2677863.html,/content/dam/kb/en/837/cpsid_83709/attachments/Customization_ Wizard.pdf，接下来我将简单介绍几个实用的修改。

linux加入windows域

测试Linux加入Windows域 Taylen 2010.7 一、环境 本文是综合网上一些资料整理，重新测试成功的。 1、windows 2003 为域控服务器，域名为https://www.sodocs.net/doc/3e2677863.html, 。 a)主机名：win2003-test b)IP地址：10.30.64.50 2、客户端机器为Redhat 企业版5.4 。 a)主机名：redhat53 b)IP地址：10.30.64.53 c)DNS：10.30.64.50 二、Linux加域 1.环境安装 a)Windows 的安装和域控的配置，这里省略。 b)Redhat安装过程也省略掉，主要是配置。 i.需要安装软件列表： [root@redhat53 ~]# rpm -qa|grep samba samba-3.0.33-3.14.el5 samba-client-3.0.33-3.14.el5 samba-common-3.0.33-3.14.el5 system-config-samba-1.2.41-5.el5 [root@redhat53 ~]# rpm -qa|grep krb5 krb5-auth-dialog-0.7-1 krb5-workstation-1.6.1-36.el5 krb5-libs-1.6.1-36.el5 pam_krb5-2.2.14-10 krb5-devel-1.6.1-36.el5 ii.更改的配置 a)设置好IP地址和DNS。通过setup命令可以配置更改。 b)设置主机名和域名。前面测试很多次没成功都是这个没配置，郁闷。 i.通过修改HOSTS文件和/etc/sysconfig/network文件。 vim /etc/sysconfig/network 加入HOSTNAME=https://www.sodocs.net/doc/3e2677863.html, vim /etc/hosts 10.30.64.53 https://www.sodocs.net/doc/3e2677863.html, redhat53 iii.启动smb服务和winbind服务。 Service smb start 和service winbind start Winbind一般默认是启动的。Smb没有。通过： Chkconfig –level 345 smb on 配置自动启动。 2.加域配置 a)Redhat中可以直接使用setup命令进行图形化加域。 b)首先输入setup 回车。如图。

利用组策略来发布和指派软件

利用组策略来发布和指派软件 1、分发具备的条件： A、用户端必须是Windows 2000以上的版本 B、要加入域的计算机才受软件分发的影响 C、分发的软件的格式一定是*.msi 扩展：软件WinInstall可以将EXE的文件转换成MSI的 另外还有其它分发软件 2、分发的步骤： A、建立软件分发点即建一个共享文件夹将Msi的文件解压到共享文件夹中 B、建立组策略GPO（组策略容器） 注意：默认程序包位置要用UNC路径\\计算机名\a共享的文件夹名 C、发布软件方式有：发布和指派注意区别 1、指派方式有两种：指派给计算机和指派给用户； （1）指派给计算机：计算机启动时软件会自动安装在计算机里； 安装目录：Documents and setting\All User （2）指派给用户：不会自动安装软件本身 只安装软件相关部分信息，如快捷方式 何时会自动安装 1、开始运行此软件 2、利用“文件启动”功能（document activation） 2、发布方式：只有发布给用户，不能发布给计算机 1、软件不会自动安装 2、何时自动安装 “控制面板”>>“添加或删除程序”>>“添加新程序”D、客户端安装（注意：要有权限，是域的管理员可以安装，本地的管理员不行，或者设置策略来进行软件的安装） 下面就开始做实验：

1、打开域控制器，我就用callcenter.21cn.local来举例。如图：1-1 1-1 2、新建一个组织，命名为“callcneter”，如图：1-2 1-2

3、点击“callcenter”属性，然后点击“组策略”选项卡，点击“新建”>>，创建一个“组策略对象链接”命名为“deng”如图：1-3 1-3 4、点击“编辑”，如图：1-4 1-4

Linux下DHCP服务器的配置

1、实验目的 （1）掌握DHCP的基本概念，如：作用域、地址池、租约、保留地址等（2）掌握DHCP的工作原理，主要是IP地址的获取过程 （3）掌握DHCP服务器的配置方法 （4）掌握DHCP客户端的配置方法 2、实验内容 （1）配置DHCP服务器 （2）配置Linux下的DHCP客户端 （3）使用dhclient工具来验证IP地址的获取正确性 3、理论知识 DHCP(Dynamic Host Configuration Protocol)动态主机配置协议，是一个简化主机IP地址分配管理的TCP/IP标准协议。DHCP是BOOTP协议的扩展，基于C/S模式，提供了一种动态指定IP地址和配置参数的机制，主要用于大型网络环境和配置比较困难的地方。 一些基本概念 （1）DHCP客户机：一台通过DHCP服务器获取网络配置参数（包括网关、DNS服务器等网络配置）的计算机，通常是普通的工作站。 （2）DHCP服务器：提供网络设置参数（主要指IP地址、默认网关、DNS 服务器等网络配置）给DHCP客户机的主机。 （3）作用域：网络中的所有可分配的IP地址的连续范围。 （4）地址池：可供DHCP客户机使用的IP地址范围。

（5）租约：DHCP服务器指定客户机所获得的IP地址的时间长度（允许使用的时间），在租约到期前，客户机需要更新IP地址的租约，否则不能继续使用该IP地址。 （6）保留地址：子网中指定硬件设备使用的IP地址。 （7）排除范围：不用于dhcp分配的IP地址范围。 DHCP的工作原理 第一次登录 1）DHCP工作的第1步：DHCP发现。 指的是客户端启动网卡时，获取IP地址的第一步。 DHCP客户端使用0.0.0.0作为自己的IP地址，作为服务器的地址，然后在UDP的67或68端口广播一个DHCP发现信息。然后等待服务器的响应 2）DHCP工作的第1步：DHCP提供 指网络中的任何一个DHCP服务器在收到客户端的DHCP发现信息时，如能够提供IP地址，就从该DHCP服务器中的IP地址池中选取一个没有出租的IP地址，然后利用广播方式提供给DHCP客户端。 3）DHCP第三个过程是DHCP请求 DHCP客户端收到第一个DHCP服务器的应答信息后，就以广播的方式发送一个DHCP请求信息给网络中所有的服务器。通知服务器已经接收到IP地址，同时通知其他服务器不用再给他分配IP地址。 4）DHCP第三个过程：DHCP应答 分配IP地址DHCP服务器收到DHCP请求信息后，就将该IP地址标识为已租用，然后以一个广播方式发送一个DHCP应答信息给DHCP客户端。 客户端接收到DHCP应答信息后，就完成了IP地址的获取过程，可以使用该IP和其他计算机进行通信了。

软件分发功能简易说明

软件分发功能简易说明 网络服务端五大功能区 控制及软件功能切换区 被控机管理员密码输入及被控机启动盘选择区 功能控制菜单区 主窗口 状态栏 控制及软件功能切换区 1.群组：用来选择需要控制的群组，最多可以控制80个群组。 2.电脑：用来选择群组中需要控制的计算机，一个网络服务端程序最多可以控 制一个群组中的80 台计算机。 3.电脑列表：列出所有收集到的安装Max-User 计算机相关信息及状态；包括 “群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。 4.档案传输：列出正在进行文件传输的计算机及状态。 5.网络唤醒排程：设定（新增、删除、修改）控制排程和设定（新增、删除、 修改）触发事件，主要用于在保护系统的系统保护。 6.帮助：提供电子版本的帮助文件。 7.关于：公司服务电话及Email。 8.离开：退出MaxControl控制软件操作界面。 输入被控端管理员密码输入及选择被控机启动盘

1.输入被控端管理员密码： 需要输入正确的密码才能对安装MaxUser的计算机进行控制，该密码与硬盘保护系统的密码一致。 2.选择被控机启动盘： 此处显示的操作系统为当前用户使用的操作系统的名称，同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。 功能控制菜单 1.收集ID: 收集被控计算机ID，用于读取安装网络客户端程序的计算机状态，同时在主窗口界面中显示出来，用户可以根据主窗口的显示对该计算机进行相关的操作。若被控机处于硬盘保护启动菜单状态下，请选择按保护系统信息收集；若被控机已经进入Windows 操作系统状态下，请选择按操作系统信息收集。 2.网络唤醒： 将所选择的被控计算机通过网络唤醒。 需要将CMOS中的关于网络唤醒的选项打开，并确认被控计算机前次关机是从Windows 状态下进行正常 关机的。如遇以下情况被控机也将无法唤醒：公用电网停电、正常关机后单 机切断电源或机房统一切断电源。 3. 重启： 命令所选择的被控计算机进行重新启动的操作。 点击后将弹出如图所示的对话框： 此对话框将在您点击重启、关机、使用者模式、管理员模式、保留模式、备份、还原、指定启动盘、取消指定启动盘、维护排程、传递硬盘保护参数等按扭后弹出，由于以上功能均需要使被控端计算机重启或关机，因此该对话框可以根据您的需要使得被控计算机延迟相应的时间进行重启和关机以便使用者能及时保存重要信息，同时您可以在对话框中输入文字以提醒被控机的使用者。如果您选择“不显示信息”被控计算机会立即重启或关机。

在Windows域中受限帐户使用RunasSpc软件运行Everything

在Windows域中受限帐户使用RunasSpc软件运行Everything,以及其他同类功能软件 2009-04-24| 9:13 在Windows域中受限帐户使用RunasSpc软件运行Everything！ 本人一直使用Everything来搜索本机的资料，其他同事也在我的带动下用上这个了。用上以后都爽快的不得了。原来我们是一直使用Administrator账号，使用上面没有什么问题。特别是在几台机器上面开了ETP后，几个同事远程找个文件实在是太方便了。（公司机器上全部都是NTFS分区 ENXPsp3的系统） 但是。。。最近公司做了Lotus Domain和Windows域，办公室绝大多数的人都只有User权限了。而运行Everything需要使用管理员权限。大家都习惯了使用ETP 的方式在对方机器上面找文件了，现在不能用了。那叫一个怨声载道啊。。。。于是，这个重大的问题又落到我的身上了。在Google大神的帮助下，翻阅了无数文章后，终于在一个德国网站上找到了一个软件：RunasSpc 该软件是一个绿色软件，下载后解压到任意目录即可用使用。软件大小：388KB 软件下载地址：http://www.robotronic.de/runasspc.html 这个软件的运行原理是：使用一个crypt.spc证书来储存Administrator的密码，通过这个证书授权给User用户来运行需要Administrator权限来运行的程序和一些系统操作。而且用户端的影响是不大的。下面借助一些截图来说明这个软件如何使用。 1.我把软件解压到D盘根目录下，如图：

现在运行文件夹中的"runasspcad min.exe”，出现软件主界面：

AD域中如何布置软件自动分发

AD域中如何布置软件自动分发 本篇文章介绍了如何使用组策略自动将程序分发到客户端计算机或用户。您可以通过以下方法使用组策略分发计算机程序： ? 分配软件 您可以将程序分发分配到用户或计算机。如果将程序分配给一个用户，在该用户登录到计算机时就会安装此程序。在该用户第一次运行此程序时，安装过程最终完成。如果将程序分配给一台计算机，在计算机启动时就会安装此程序，所有登录到该计算机上的用户都可以使用它。在某一用户第一次运行此程序时，安装过程最终完成。 ? 发布软件 您可以将一个程序分发发布给用户。当用户登录到计算机上时，发布的程序会显示在“添加或删除程序”对话框中，并且可以从这里安装。 注意：Windows Server 2003 组策略自动程序安装要求客户端计算机运行 Microsoft Windows 2000 或更高版本。 创建分发点 要发布或分配计算机程序，必须在发布服务器上创建一个分发点： 1. 以管理员身份登录到服务器计算机。 2. 创建一个共享网络文件夹，将您要分发的 Microsoft Windows 安装程序包（.msi 文件）放入此文件夹。 3. 对该共享设置权限以允许访问此分发程序包。 4. 将该程序包复制或安装到分发点。例如，要分发 Microsoft Office XP，请运行管理员安装(setup.exe /a) 以将文件复制到分发点。 创建组策略对象 要创建一个用以分发软件程序包的组策略对象 (GPO)，请执行以下操作： 1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。 2. 在控制台树中，右键单击您的域，然后单击“属性”。 3. 单击“组策略”选项卡，然后单击“新建”。 4. 为此新策略键入名称（例如，Office XP 分发），然后按 Enter。

Linux 加入windows域同步用户名

Linux 加入windows域同步用户名

测试环境 ●域环境基于windows 2003 AD ●Linux下有完整的域名解析，能够解析到ad域的netbios名（短名） ●Linux下有本机（linux主机）的解析，可以在dns中写A记录，也可以在/etc/hosts中填 写 ●Linux必须安装winbind服务（包含在samba-common中） 实验中使用的域名：https://www.sodocs.net/doc/3e2677863.html, DC主机名：https://www.sodocs.net/doc/3e2677863.html, DC上有DNS和DHCP服务 DHCP指定了scope option中的DNS和Router DC的ip地址为1.1.1.254/24 Linux使用Redhat 5.7 X64 安装samba-common包 Linux服务器的ip地址为1.1.1.1/24 dns指向1.1.1.254 本地的/etc/hosts文件如下 /etc/resolv.conf配置为 修改kerberos指向DC 修改本地的/etc/krb5.conf 红色部分做修改，其他部分不变，此处根据以上环境修改，实际实施请根据项目环境替换正确的值，端口号不变 [logging] default = FILE:/var/log/krb5libs.log kdc = FILE:/var/log/krb5kdc.log admin_server = FILE:/var/log/kadmind.log [libdefaults]

default_realm = https://www.sodocs.net/doc/3e2677863.html, dns_lookup_realm = false dns_lookup_kdc = false ticket_lifetime = 24h forwardable = yes [realms] https://www.sodocs.net/doc/3e2677863.html, = { kdc = 1.1.1.254:88 kdc = 1.1.1.254 } [domain_realm] https://www.sodocs.net/doc/3e2677863.html, = https://www.sodocs.net/doc/3e2677863.html, https://www.sodocs.net/doc/3e2677863.html, = https://www.sodocs.net/doc/3e2677863.html, [appdefaults] pam = { debug = false ticket_lifetime = 36000 renew_lifetime = 36000 forwardable = true krb4_convert = false } 修改/etc/samba/smb.conf 在[global]区块内 修改为 workgroup = TEST password server = 1.1.1.254 realm = https://www.sodocs.net/doc/3e2677863.html, security = ads idmap uid = 16777216-33554431 idmap gid = 16777216-33554431 template shell = /bin/bash winbind use default domain = false winbind offline logon = false template homedir = /home/%U winbind separator = / winbind enum users = Yes winbind enum groups = Yes server string = Samba Server Version %v netbios name = linux

组策略 软件分发

用组策略部署软件，省心又省力！ 责任编辑：李鹏作者：姜磊福 2006-06-20 【IT168 专稿】作为一名网管员，你是否经常会被一些软件安装的问题所困扰呢？比如说在网络环境下安装软件！面对网络环境下数量众多，需求各异的用户，硬件配置不同，用途也不同的计算机，几乎每天都有各种各样关于软件安装的需求，对于此你是否感到疲于奔命，无所适从呢？Windows 2000中的组策略 软件部署就可以帮我们解决这个困扰，让这些令人烦恼的事情变的轻松起来，使我们广大的网管员朋友彻底的摆脱软件部署的烦恼，省心又省力！ 一、准备安装文件包 实现组策略软件部署的第一步是获取以ZAP或MSI为扩展名的安装文件包。 MSI安装文件包是微软专门为软件部署而开发的。这两个文件有些软件的安装程序会直接提供，有些软件的安装程序是不提供的。对于不提供MSI文件的软件我们可以使用一个叫WinINSTALL LE的打包工具来创建，通过使用它可以将一些没有提供MSI文件的软件打包生成MSI文件以便于实现组策略软件布署。WinINSTALLLE工具我们可以从Windows 2000安装光盘的 \VALUEADD\3RDPARTY\MGMT目录下找到，但该软件实际使用的效果并不是很理想，推荐有条件的朋友使用它的升级版本WinINSTALL LE2003。软件界面如图1。可 以在https://www.sodocs.net/doc/3e2677863.html,/下载获得。 图1（点击看大图） 二、创建软件分发点 实现组策略软件部署的第二步是必须在网络上创建一个软件分发点。 软件分发点就是包含MSI包文件的共享文件夹。即在文件服务器上创建一个共享的文件夹，在这个文件夹的下面，再创建要部署软件的子目录，然后将MSI 包文件及所有需要的安装源文件放于其中。再给共享文件夹设置相应的权限，使

域环境通过组策略分发软件给客户端讲课稿

域环境通过组策略分发软件给客户端

域环境通过组策略分发软件给客户端 通常情况下，我们可以通过软件安装来分发后缀名为.msi的可执行文件(卡巴就是这个后缀名的哦）。通过在组策略的“计算机配置”中的“软件安装中，点击右键，如何选择程序包，通过UNC路径（注意了哦：这个是网络路径，所以，管理员必须把此软件共享出去）找到程序位置。如何，选择"已指派"就可以了。当然，在“用户配置”的"软件安装"中的配置也是按照此顺序完成的。 大家看见了没有？在发布好软件后，选择软件里面的属性，查看“部署”，可以看见“指派”与“发行”两个选项（计算机配置中，发行为灰色）。所以，这里有就有三种软件部署的方法了： 1、发行给用户 2、指派给用户 3、指派给计算机 下面，来剖析下这三种方法的区别。 第一种是发行给用户。选择此方式时，软件只会出现在“添加与删除对话框内。用户可以选择删除此软件。等以后需要的时候再安装。 第二种时指派给用户。选择此方式，用户再任何一台电脑登陆域，都可以在开始菜单与桌面上看到软件的快捷方式。同时，计算机中也会注册该软件的相关信息。如关联的文件等。用户只要点击“开始菜单”或桌面上的快捷方式时，计算机就会自动下载安装次软件。但与发行给用户不同的是，用户可以删除此软件，但是，下次登陆时，它还是会出现，意思是说，它是阴魂不散的。除非管理员删除了它或者你安装了它。 第三种是指派给计算机。选择此方式，用户不用手动执行，计算机会在启动时，自动下载并安装此软件。用户不能删除此软件，只有管理员有此特权。 下面是我简单作的一个部署方法区分表 执行方式发行给用户指派给用户指派给计算机 生效时间下次登陆域下次登陆域下次启动计算机 完整的软件触发时机用户从“添加与删除程序”安装第一次点击快捷方式计算机启动自动安装 是否出现快捷方式否是是 何种身份删除软件发行的对象指派的对象系统管理员

使用域组策略及脚本统一配置防火墙

使用域组策略/脚本统一配置防火墙 目前企业内网多为域环境，部分企业应用例如入侵检测等需要客户端统一开放某一端口比如Ping，如果企业环境较大，客户端数千个逐个设置将是浪费工作效率且不灵活的方案；所以可以通过使用域策略来统一设置； 统一配置可以通过域策略中自带的防火墙模板来设置，也可以通过使用bat脚本来配置，下面即分别演示配置方法； 1 域组策略统一配置防火墙 使用域管理员登录域控制器，打开“管理工具>组策略管理”； 在目标组织单位右击，新建GPO； 1.1 禁用客户端防火墙 1.1.1 域策略配置 右击目标OU的GPO，选择编辑GPO，选择“计算机配置>策略>Windows设置>安全设置>系统服务”；

选择Windows Firewall/Internet Connection Sharing(ICS)俩项服务，并禁用该俩项服务； 结果如下； 1.1.2 查看客户端结果 重启XP客户端查看结果

重启Win7客户端查看结果 1.2 开放客户端防火墙端口 （注：首先将上面组策略中的系统服务设置还原在进行下一步的配置） 1.2.1 域策略配置 右击目标GPO选择编辑，选择“计算机配置>策略>管理模板>网络>网络连接>Windows防火墙”，下面的子集即为客户端防火墙配置项目，此处主要包含俩个子集“域配置文件”和“标准配置文件”两个策略子集，其中，域配置文件主要在包含域DC的网络中应用，也就是主机连接到企业网络时使用;标准配置文件则是用于在非域网络中应用；

组策略设置描述 Windows 防火墙: 保护所有网络连接 用于指定所有网络连接都已启用Windows 防火墙。 Windows 防火墙: 不允许例外 用于指定所有未经请求的传入通信将被丢弃，包括已添加到例外列表的通信。 Windows 防火墙: 定义程序例外 用于通过应用程序文件名定义已添加到例外列表的通信。 Windows 防火墙: 允许本地程序例外 用于启用程序例外的本地配置。 Windows 防火墙: 允许远程管理例外 用于启用远程过程调用(RPC) 和分布式组件对象模型(DCOM)，它们对于很多使用诸如Microsoft 管理控制台(MMC) 和Windows Management Instrumentation (WMI) 等工具执行的远程管理任务是必需的。

linux下的域控做法

IBM X3400-MT7674安装redhat AS5布署samba3域控和文件服务器 来源: ChinaUnix博客日期：2008.09.11 11:06(共有0条评论) 我要评论 IBM X3400-MT7674安装redhat AS5布署samba3域控和文件服务器 Date:2008.4.9 Author:Wang Xiantong,xiantong@https://www.sodocs.net/doc/3e2677863.html, 1、需求 50个用户，提供域控及文件服务器功能 总经理室/行政组/财务组/工程组/关务组/品保组/制造组 文档中心组 网管组 2、硬件环境 服务器型号:IBM X3400-MT7674 CPU:Intel Xeon E5310 1.6GHz 四核CPU 内存：2G 硬盘:SATA 150G 两块 Raid：hostraid,支持raid0 raid1 raid5 网卡：1000M网卡两块 3、系统安装 3.1、hostraid的raid1(mirror)配置 启动服务器，当出现Press F1 for Configuration/Setup按F1进入setup 选择Devices and I/O Ports =>Advanced Chipset Control 把Serial ATA的参数改为Enabled SATA Controller Mode Option的参数改为Enhanced SATA RAID Enable的参数改为Enabled 按Esc，保存退出

这样就启用了SATA HostRAID功能 接着配置SATA Host RAID,这里建建立一个raid1 按ctrl+alt+del重启服务器 当出现Press for Adaptect RAID Configuration Utility按CTRL+A进入raid配置菜单 选择Array Configuration Utility 选择Ctreate Array 新建raid1，按insert键把两个盘加入,创建方式选Quick Int 按Done完成退出 3.2、安装rehdat AS5 安装linux，最重要的就是到IBM官方下载相对应的LINUXhostraid驱动，否则raid1不能成功应用，安装的的时候还是会看到两块物理硬盘,目前IBM官网只提供redhat AS4U1-AS4U5,AS5,AS4U6和AS5U1没有提供驱动,我刚开始使用centos4.6(对应于redhat as4u6)，使用as4u5的驱动不能成功。 下载地址： https://www.sodocs.net/doc/3e2677863.html,/systems/support/supportsite.wss/docdisplay?brandind=5000008&lndocid=MIGR-63041下载ibm_dd_adpahci_1.2.5574_rhel5_x86_64.img对应于我的AS5 因为没有软驱，所以选择用U盘加载刚下载的hostraid驱动,找一台LINUX，利用dd把驱动复制进U盘 #dd if=ibm_dd_adpahci_1.2.5574_rhel5_x86_64.img of=/dev/sdc，这里sdc是我的U盘,你可以通过fdisk -l /dev/sdc 查看是否是U盘，数据写入U盘之后，在linux和windows下都不能看到里面有东西，不要担心，这是因为我们此时把U盘当软盘用，U盘上没有分区，现在只是一个软盘功能了 如果你有外接软驱，你还可以下载Rawrite.exe，利用这个工具在DOS下生成软盘hostraid驱动盘，把 bm_dd_adpahci_1.2.5574_rhel5_x86_64.img和Rawrite.exe全部复制至某盘如C盘的根目录 c:\rawrite回车 Enter disk image Source file name:输入img文件名称，回车 Enter target diskette drive:输入a回车 Please insert a formatted diskette into drive A: and press –Enter-:回车 如果出现不能识别目标文件，请把下载的文件名改个名，rawrite所解压的文件名必须满足8个字符以下，扩展名不能超过3个字符

域组策略应用详解

Win2003域之组策略应用 目前大部分的公司都去购买MS的OS产品,刚推出不久的VISTA,以及即将面视的WINDOWS SERVER 2008,大家都已习惯了WINS的操作界面,不过在企业当中看中的是MS的AD的应用,而在AD中,能起到关键作用的就是"组策略",利用组策略管理域中的计算机和用户工作环境，实现软件分发等一系列功能,快速便捷的帮助管理员完成烦琐的工作. 但要了解组策略的使用,不是了解它的具体有哪些选项,而是要掌握它的应用规则! 那么我们开始学习组策略吧: 1.理解组策略作用: 组策略又称Group Policy 组策略可以管理计算机和用户 组策略可以管理用户的工作环境、登录注销时执行的脚本、文件夹重定向、软件安装等 使用组策略可以: a)对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境 b)降低布置用户和计算机环境的总费用 因为只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 c)推行公司使用计算机规范 桌面环境规范 安全策略 总结: a)集中化管理 b)管理用户环境 c)降低管理用户的开销 d)强制执行企业策略 总之组策略给企业和管理员带了高效率,地成本.原来做同样的工作需要10个管理员要忙10天都不能完成的事情,如果使用组策略1个管理员在一天的工作日就把事情全搞定,而且还有时间做下来喝咖啡.听起来好像不太可能,而事实得到了证明,但那你需要掌握组策略的应用规则.

2.组策略的结构 组策略的具体设置数据保存在GPO中 创建完AD后系统默认的2个GPO:默认域策略和默认域控制器策略 GPO所链接的对象:S(站点)D(域)OU(组织单位),当然也可以应用在"本地" GPO控制的对象:SDOU中的计算机和用户 GPO的组件存储在2个位置: GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象 GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构

管理员操作手册 AD域控及组策略管理 CTO

AD域控及组策略管理 目录一、Active Directory(AD)活动目录简介 1、工作组与域的区别........................................ 2、公司采用域管理的好处.................................... 3、Active Directory(AD)活动目录的功能...................... 二、AD域控（DC）基本操作.................................... 1、登陆AD域控............................................. 2、新建组织单位（OU）...................................... 3、新建用户................................................ 4、调整用户................................................ 5、调整计算机.............................................. 三、AD域控常用命令.......................................... 1、创建组织单位：(dsadd)................................... 2、创建域用户帐户(dsadd)................................... 3、创建计算机帐户(dsadd)................................... 4、创建联系人(dsadd)....................................... 5、修改活动目录对象（dsmod）............................... 6、其他命令（dsquery、dsmove、dsrm）....................... 四、组策略管理 .............................................. 1、打开组策略管理器........................................ 2、受信任的根证书办法机构组策略设置........................ 3、IE安全及隐私组策略设置 .................................