内容介绍:
本文主要讲解如何管理与使用windows server 2022 AD域控服务器,主要涵盖域控端如何创建OU(组织单位)、用户,客户端如何加入AD域,如何使用AD域批量部署共享目录及文件、禁止客户端用户修改ip,禁用移动usb存储设备,软件批量下发安装,批量设置客户端桌面壁纸,批量jh系统等。
一、管理与使用
1、AD域控服务端创建用户与客户端加入域
1.1 AD域控服务端创建用户
1.2 ,选择adsrvtest01.com 右键→新建→组织单位(OU)
1.3选择刚刚创建的组织单位右键→新建→组织单位→用户组
1.4选择刚刚创建的组织单位用户组右键→新建→组织单位→部门
1.5选择刚刚创建的组织单位部门右键→新建→用户 填好信息→下一步→设置密码→账户策略(根据要求)
这里,也可以是在为用户定义专门接入的ip分配。
1.6关于AD域组的类型及作用域介绍,请参考《windowsAD域控基础-AD域控组的介绍》一文 (可选)
1.7 将用户加入到刚才新建的安全组,选中新建账户,右键→添加到组
2、将客户端加入 AD 域
修改客户端 SID
参见 修改 SID 操作说明,修改作为客户端实例的 SID。
2.1. 登录作为客户端的实例,详情参见 使用标准方式登录 Windows 实例。
2. 2修改 DNS 服务器地址。
2.3打开控制面板 > 网络和 Internet > 网络和共享中心,在网络和共享中心窗口中,单击以太网。如下图所示:
2.4在以太网状态窗口中,单击属性。
2.5 在以太网属性窗口中选择 Internet 协议版本4(TCP/IPv4),并单击属性。
2.6 在 Internet 协议版本4(TCP/IPv4)属性窗口中,选择使用下面的 DNS 服务器地址,并将首选 DNS 服务器地址设置为 DC 实例的 IP 地址,本文以 172.31.10.15 为例。如下图所示:
在 部署 AD 域控制器 中已将 2台AD 域服务和 DNS 服务部署在同一台 实例上(IP地址为172.31.10.200),故此处指定 DNS 服务器的地址为172.31.10.200,如果生产环境可能需要单独搭建一台DNS服务器。
2.7 单击确定,保存修改。
2.8.在 cmd 窗口中,执行以下命令,检查是否能 Ping 通 DNS 服务器 IP 地址。
ping adsrvtest01.com
返回结果如下图所示,说明可 Ping 通 DNS 服务器 IP 地址
2.9.打开控制面板 > 系统和安全 > 系统,并单击“系统”窗口中的更改设置。如下图所示:
2.10. 在弹出的系统属性窗口中,单击更改。如下图所示:
2.11.在弹出的计算机名/域更改窗口中,按需修改计算机名,并设置隶属于域为 adsrvtest01.com。如下图所示:
2.12.单击确定。
2.13. 在弹出的 Windows 安全窗口中,输入 DC 实例的用户名及登录密码,单击确定。 弹出如下图所示确认窗口,表示已成功加入域。
单击确定,重启实例使配置生效。
说明
对于作为域成员的计算机(CVM 实例)不推荐使用已加入域的计算机来创建自定义镜像,否则新镜像创建的实例会报错“服务器上的安全数据库没有此工作站信任关系”。如果确实需要,建议您在创建新的自定义镜像前先退出域,并做 Sysprep 动作,确保每一台加入域的计算器具有唯一 SID,有关 Sysprep 详情请参见 通过 Sysprep 实现云服务器入域后 SID 唯一。
3、批量部署共享网络驱动器
3.1 在非系统盘任一盘符下创建一个新文件夹作为共享文件夹,或者单独搭建文件服务器,将文件服务器加入域中
3.2 配置好共享后,复制文件夹路径,打开服务器管理器→工具→组策略管理
3.3 进入组策略依次展开 林→域→adsrvtest01.com→右键点击defalt domain policy
3.4 在组策略管理器编辑器中,用户配置→首选项→windows设置→驱动器映射(右键)→新建→映射驱动器
3.5 进入界面后,操作:选择新建,位置(将刚刚复制的路径粘贴过来就可以了),驱动器号选择使用第一个可用的,后面下拉随便选择一个设置驱动器的盘符,然后点击确定
3.6 使用域用户登录客户端,在cmd命令里输入gpupdate /force,更新策略,然后打开文件管理器可以看到刚刚在服务端配置共享文件夹
4、禁止域内用户或计算机修改ip地址
4.1、组策略管理器→用户配置→策略→管理模板→网络→网络连接 ,启用 “禁用TCP/IP高级配置”和“禁止访问LAN连接的属性”
4.2 再次进入客户机输入gpupdate /force更新策略
4.3 打开客户端查看以太网属性进行验证,这时看到已没有权限查看
5、禁止域内用户或计算机使用USB移动存储设备
5.1组策略管理编辑器→计算机配置→策略→管理模板→系统,选择可移动存储访问→所有可移动磁盘存储类→拒绝所有权限
5.2 进入客户端,更新策略 gpupdate /force ,然后客户端插入u盘进行验证
6、域内用户或计算机批量下发软件并自动安装
通过 AD 域控制服务器配置 GPO 组策略部署.MSI 格式软件推送到客户机进行自动托管安装。
封装MSI软件使用Advanced Installer,封装教程待补充。
6.1 在文件服务器或AD域服务器(这里将ad域控制器也部署成了文件服务器),新建共享文件夹,将.msi软件包放至目录里,配置好用户访问权限
6.2 共享文件夹设置完成后记住网络路径,设置好了之后,后续的新分发策略就可以省略这个步骤
6.4 AD域控制服务端组策略配置软件分发部署
6.4.1要求是所在【实施部】组织单位(OU)的用户部署软件分发,当前OU下有3位用户
6.4.2 打开组策略管理,右键【实施部】组织单位(OU)并新建 GPO,命名 GPO 为【实施部软件分发部署】
6.4.3 新建完成后,再右键新建的【实施部软件分发部署】进行【编辑】
6.4.3 在组策略管理编辑器依次打开【用户配置】→策略→软件设置→【软件安装】→【属性】,设置默认程序数据包位置为前面设置共享的路径,并设置数据包为【高级】和用户界面选项为【最大】
6.4.4 软件安装选项右键【新建】——【数据包】
6.4.5将打开已配置的软件数据包网络路径,双击选择本次要部署分发的软件
6.4.6 在软件【企业微信】的属性中配置【部署】的部署类型为【已分配】和部署选项为【在登录时安装此应用程序】
6.4.7以及设置该软件的安全选项为添加 Everyone组 或添加指定用户组,权限为【读取】
6.4.8 完成以上配置后,通过 cmd 或 PowerShell 来更新组策略;
命令:gpupdate /force
6.4.9 登录已部署软件分发所在组织单位(OU)的用户,登录后一直转圈,系统安装托管软件企业微信需要先传输软件包,安装快慢决定于包大小跟网络;
6.4.10 安装过程很快,安装完成后即进到用户桌面
7、统一下发设置域内用户或计算机桌面壁纸
7.1 将下载的桌面壁纸下载上传到域控服务器或文件服务器的目录下,如下图(这里域控也是文件共享服务器)
7.2 打开AD域控服务器管理器 → 工具 → 组策略管理 → 右键Default Domain Policy → 编辑 → 用户配置 → 首选项 → Windows设置 → 文件夹 ,右键,新建→文件夹 - 操作为“创建” 选则“路径”
7.3 打开AD域控服务器管理器 - 工具 - 组策略管理 - Default Domain Policy(这里为了方便后期分类管理,也可以新建一个策略,如”桌面壁纸设置“) - 用户配置 - 策略 - 管理模板 - 桌面 - 桌面墙纸 - 强制名称设置为C:\bgp\xxx.jpg - 填充 - 应用
7.4在客户端 更新策略
gpupdate /force ,或者注销后再登录
8、部署jh工具批量jh域内计算机
在企业内部部署“批量jh工具”,跟域控制器结合,只要电脑加域就自动jh对应的Windows、Office版本。当电脑脱预后,自动回收jh。
我这里部署的环境:域控制器Windows Server版本为Windows Server 2022 standard 。
用户电脑版本为Windows 10专业版。
Windows版本为专业版的KMS my;Office为2016、2019的企业版KMS my。
KMS my的获取方式,通过渠道购入合规授权,在微软的“批量许可服务中心”查找对应的版本对应的KMS my。
方法一:
部署批量my的前提,必须先部署完成域控制器服务(我这里2台域控服务器已搭建完成),在域控制器服务器的"服务器管理器"中添加安装"批量jh服务",按照提示点击下一步,直到提示安装完成。
部署批量jh的前提,必须先部署完成域控制器服务(我这里2台域控服务器已搭建完成),在域控制器服务器的"服务器管理器"中添加安装"批量jh服务",按照提示点击下一步,直到提示安装完成。
回到域控服务器,在“服务器管理器”中“工具”菜单,选择“批量jh工具”,点击“下一部”按照提示选择“基于Active Directory的jh”,点击“下一步”
等待检索数据完成,按照提示选择“安装KMS主机my”,输入KMS my
输入完成,点击“下一步”,选择“在线my”,选择“提交”,等待“正在执行AD林jh”完成,继续点击“下一步”
此处划重点::在部署添加KMS my的过程中,会提示错误添加失败的情况。
解决方案:
1、必须到微软网站上现在批量jh的管理工具,链接如下
使用基于 Active Directory 的jh执行jh - Windows Deployment | Microsoft Learn
了解如何将基于 Active Directory 的jh实现为依赖于 AD DS 来存储jh对象的角色服务。
选择需要部署的批量jh的软件版本,下载对应的VL包安装,Office必须下载VL包安装,windows可以直接按照提示添加KMS my即可。
2、在安装office VL包的过程中,同步在如下窗口中添加KMS必要(此处重点:不要等待VL包安装完成再去添加KMS my,一定一定要在安装过程中添加KMS my才可以添加成功)
如上所有步骤完成后,就可以在用户电脑上安装对应版本的Windows、Office,加入域控制器重启完成,就会自动jh对应的Window、Office。