文件夾重定向配合賬戶漫遊

① 域管理的好處詳細點

公司電腦使用域管理的優點

一 工作組與域的區別 現公司所有電腦採用工作組的管理模式域管理與工作組管理的主要區別在於
1、工作組網實現的是分散的管理模式每一台計算機都是獨自自主的用戶賬戶和許可權信息保存在本機中同時藉助工作組來共享信息共享信息的許可權設置由每台計算機控制。在網上鄰居中能夠看到的工作組機的列表叫瀏覽列表是通過廣播查詢瀏覽主控伺服器由瀏覽主控伺服器提供的。 而域網實現的是主/從管理模式通過一台域控制器來集中管理域內用戶帳號和許可權帳號信息保存在域控制器內共享信息分散在每台計算機中但是訪問許可權由控制器統一管理。這就是兩者最大的不同。
2、在「域」模式下資源的訪問有較嚴格的管理至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作相當於一個單位的門衛一樣稱為「域控制器Domain Controller簡寫為DC」。

3、域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時域控制器首先要鑒別這台電腦是否是屬於這個域的用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄用戶就不能訪問伺服器上有許可權保護的資源他只能以對等網用戶的方式訪問Windows共享出來的資源這樣就在一定程度上保護了網路上的資源。而工作組只是進行本地電腦的信息與安全的認證。

二 公司採用域管理的好處
1、方便管理許可權管理比較集中管理人員可以較好的管理計算機資源。
2、安全性高有利於企業的一些保密資料的管理比如一個文件只能讓某一個人看或者指定人員可以看但不可以刪/改/移等。
3、方便對用戶操作進行許可權設置可以分發指派軟體等實現網路內的軟體一起安裝。
4、很多服務必須建立在域環境中對管理員來說有好處:統一管理方便在MS 軟體方面集成如ISA EXCHANGE郵件伺服器、ISA
SERVER上網的各種設置與管理等。
5、使用漫遊賬戶和文件夾重定向技術個人賬戶的工作文件及數據等可以存儲在伺服器上統一進行備份、管理用戶的數據更加安全、有保障。
6、方便用戶使用各種資源。
7、SMSSystem Management Server能夠分發應用程序、系統補丁等用戶可以選擇安裝也可以由系統管理員指派自動安裝。並能集中管理系統補丁如Windows Updates不需每台客戶端伺服器都下載同樣的補丁從而節省大量網路帶寬。
8、資源共享
用戶和管理員可以不知道他們所需要的對象的確切名稱但是他們可能知道這個對象的一個或多個屬性他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表通過域使得基於一個或者多個對象屬性來查找一個對象變得可能。
9、管理
A、域控制器集中管理用戶對網路的訪問如登錄、驗證、訪問目錄和共享資源。為了簡化管理所有域中的域控制器都是平等的你可以在任何域控制器上進行修改這種更新可以復制到域中所有的其他域控制器上。
B、域的實施通過提供對網路上所有對象的單點管理進一步簡化了管理。因為域控制器提供了對網路上所有資源的單點登錄管理遠可以登錄到一台計算機來管理網路中任何計算機上的管理對象。在NT網路中當用戶一次登陸一個域伺服器後就可以訪問該域中已經開放的全部資源而無需對同一域進行多次登陸。但在需要共享不同域中的服務時對每個域都必須要登陸一次否則無法訪問未登陸域伺服器中的資源或無法獲得未登陸域的服務。
10、可擴展性
在活動目錄中目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量的對象。因此目錄可以隨著組織的增長而一同擴展允許用戶從一個具有幾百個對象的小的安裝環境發展成擁有幾百萬對象的大型安裝環境。
9、安全性
域為用戶提供了單一的登錄過程來訪問網路資源如所有他們具有許可權的文件、列印機和應用程序資源。也就是說用戶可以登錄到一台計算機來使用網路上另外一台計算機上的資源只要用戶具有對資源的合適許可權。域通過對用戶許可權合適的劃分確定了只有對特定資源有合法許可權的用戶才能使用該資源從而保障了資源使用的合法性和安全性。
10、可冗餘性
每個域控制器保存和維護目錄的一個副本。在域中你創建的每一個用戶帳號都會對應目錄的一個記錄。當用戶登錄到域中的計算機時域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當存在多個域控制器時他們會定期的相互復制目錄信息域控制器間的數據復制促使用戶信息發生改變時比如用戶修改了口令可以迅速的復制到其他的域控制器上這樣當一台域控制器出現故障時用戶仍然可以通過其他的域控制進行登錄保障了網路的順利運行。

域管理的作用
企業 企業內部網路以及信息系統的管理會更安全更靈活管理成本會進一步降低。 管理員 勞動強度工作量下降管理復雜性降低IT管理策略措施更靈活、更快捷、更安全。
客戶 使用體驗增強滿意度提高工作效率上升。 域管理的方法和效果 1.帳號集中管理 所有帳號均存在伺服器上方便對帳號的重命令/重置密碼
2.軟體集中管理 利用軟體發布策略分發軟體可以讓用戶自由選擇安裝軟體
3.環境集中管理 利用AD可以統一客戶端桌面IETCP/IP等設置.
1.控制網路員工不能想幹嘛就幹嘛可提高員工的工作效率
2.網路比較的安全資料統一管理不易丟失或者不易被竊
3.監控網路使網路速度合理分配
4.統一部署殺毒軟體和掃毒任務避免電腦系統經常崩潰既節省開支又不影響工作
5.集中化管理公司文化更易傳播更規范合理讓客戶看到咱們的一體化和信息化建設如此強大
6.合理的機房設施也是公司向客戶承諾一種信息、資料是安全可靠的信號
三 公司域的詳細規劃
下圖為域建設圖
1、公司採用單域單站點管理模式建設AD與BAD即主域控器與備份域控制器在其下面採用OU組織單元的模式進行集中管理各部門人員與電腦。此種管理模式成本降低且減少管理復雜度和維護量。
2、AD主域控制器公司所有許可權管理用戶建立以及各種策略、軟體等的管理及實施到每台電腦。
3、BAD備份域控制器採用與AD完全相同的設置繼承AD上的所有管理資料防止AD出現故障後公司電腦無法登陸AD和使用網路資源在BAD伺服器上建立資源共享文件夾即File server進行公司種文件的共享和使用將BAD伺服器做成WSUS伺服器windows補丁伺服器管理公司所有電腦的補丁的下載與提供安裝的服務如有需要還可集成ISA SERVER伺服器進行公司網路的管控上外網的的控制。
現企業當中有電腦500台左右有200台在澳門200台在中山另外有100台電腦分布在其它三個城市中山與澳門是通過384K的IPLC專線連接其它各個分部是通過VPN進行連接不穩定。現此網路環境需要布署設計域環境。
要考慮以下問題
1活動目錄的總體如何規劃
2域控制器及OU如何命名
3中山的域控制器與澳門及其它各個分部的域控制器如何進行同步
4如何利用組策略來管理OU
6DNSDHCPWINSRIS如何應用 不知大家是如何設計布署及考慮相關問題的。
首先這個規模的AD不是一個很大的case所以不要感覺很復雜很難其實等你做完了你發現也就不過如此. 總體規劃你們各個分支機構的技術力量不是很強所以還是不要用父域-子域模式了就用一個域好了.因為澳門中山直接有穩定的專線所以可以把他們2個地方當作一個地方來看各部署一台DC好了當然如果你們機器多可以多部署一台其他3個城市每個地方部署一台dc然後做site這樣分支機構登錄速度有保證的. DC和OU的命名和規劃這個每個企業的組織架構和使用方法不一樣所以沒有什麼定式的怎麼方便怎麼好管理就怎麼用. DC的同步問題在win2003裡面AD的同步做的很好了如果你沒有很大的改動的話每次同步的數據流不是很大所以不要為這個太擔心. 如何用組策略管理OU不明白什麼意思怎麼方便怎麼管理呵呵. 至於其他的DNSDHCP等根據自己的實際情況應用沒有什麼一定的當然DNS是一定要有的.

② 用戶配置文件的重定向

文件夾重定向提供了許多好處：
·提高了漫遊用戶配置文件的性能。因為只有一部分文檔需要復制，所以當從伺服器復制用戶配置文件時，性能得到了提高。每次用戶登錄時，並不是用戶配置文件中的所有數據都被傳輸到桌面--只有用戶需要的數據才傳送。
·儲存在網路伺服器上的數據可以作為系統管理日程的一部分被備份出來。這樣就比較安全，並且在用戶端不需要做任何活動。
·指定給一個用戶的數據可以從裝有操作系統文件的硬碟重定向到用戶計算機上的一個不同的硬碟。如果操作系統需要重新安裝，這樣做就保護了用戶的數據。
－即使當用戶登錄到不同的計算機時，在網路中的任何計算機上都可得到相同的文檔。
－管理員可以使用組策略來設置磁碟配額，限制用戶文件夾佔用空間的大小。 重定向文件夾的過程有五個步驟：
1、根據在登錄時發生改變的策略，確定要重定向的文件夾。
2、確定希望重定向的位置並驗證訪問許可權。
3、如果文件夾不存在：創建文件夾，設置訪問控制列表（ACL）。
4、如果文件夾存在，檢查ACL及所有權。
5、如果一切就緒，移動內容。
文件夾重定向失敗僅僅影響以文件夾為基礎的文件夾重定向擴展。如果你預先創建了文件夾，而不是讓文件夾重定向擴展自動創建文件夾，則典型的錯誤包括：
--重定向到一個許可權設置錯誤的文件夾。
--用戶不是文件夾的所有者。
--目標不存在。
除了在應用程序事件日誌中記錄事件外，文件夾重定向還能提供了一個幫助解決故障的詳細記錄。為了給文件夾重定向創建一個詳細的日誌文件，請使用下面的注冊表鍵值：
HKLM/S--ftware/Micr--s--ft/Wind--ws NT/CurrentVersi--n/Diagn--stics Set: Fdepl--yDebugLevel = Reg_DW--RD 0x0f
注意：日誌文件可在%windir%/debug/userm--de/fdepl--y.l--g中找到。 文件夾重定向只能處理兩個環境變數：%username%和%userpr--file%。其它環境變數，如：%l--g--nserver%、%h--medrive%和%h--mepath%將無法用文件夾重定向處理。
Wind--ws 2000不支持直接重定向到主目錄，但是你可以使用完整的UNC路徑來重定向到一個主目錄。Wind--ws XP允許你將一個用戶的My D--cuments文件夾重定向到他或她的主目錄而不使用UNC路徑，但是在Wind--ws 2000的客戶端上應用到主目錄的重定向策略可能會失敗。
如果試圖為將用戶的文件夾重定向到他們的主目錄，但是文件夾重定向失敗了，提示一個錯誤信息：這個安全ID可能沒有作為此目標的所有者被分配。 這種情況，默認情況下，如果重定向目標文件夾已經存在了，那麼文件夾重定向就會檢查這個用戶是否是該文件夾的所有者。如果這個用戶不是文件夾的所有者，則重定向就會失敗，並伴隨著事件ID 101：這個安全ID可能沒有作為此目標的所有者被分配。文件夾重定向將其視為一個錯誤保護，以防止一個懷有惡意的用戶出於不良目的而預先創建文件夾。
為了避免這個錯誤：
--不要預先創建文件夾，讓文件夾重定向來為你創建文件夾。
--如果文件夾已經存在，並且其中還有數據，則在文件夾重定向對話框中的設置頁上取消對將我的文檔的排它許可權授予用戶復選框的選擇。這就告訴文件夾重定向不做所有權檢查，並且假定許可權是合適的。如果你要這樣做，就必須保證已經正確設置了許可權。

③ 如何在域中實現個人配置漫遊

對某一用戶啟用漫遊用戶配置文件後﹐在某些計算機上可以實現以上功能。但在有些計算機上，所有需要的文件都漫遊過來了(除了C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\Outlook中的個人資料夾*.pst )還是不行。此前曾設過伺服器的策略編輯器﹐不知是否與此有關﹖ 答：對於這個問題，需要使用Windows 2000 Server中的組策略中的「文件夾重定向」功能來解決。
假設Windows 2000Server域名為msft.com，計算機名為w2kser，在NTFS分區上創建一個目錄如public並設置共享名為public，文件夾許可權和共享許可權為everyone用戶組完全控制。
進入「Active Directory用戶和計算機」，用滑鼠右鍵單擊域名msft.com，從出現的菜單中選擇「屬性」，單擊「組策略」選項卡，選中「Default Domain Policy」，單擊「編輯」按鈕，單擊「用戶配置→Windows設置→文件夾重定向」。這時可以看到有4個選項，先用滑鼠右鍵單擊「Application Data」，從出現的菜單中選擇「屬性」，從「設置」右側選擇「基本，將每個人的文件夾重定向到同一個位置」，在「目標文件夾位置」輸入\\w2kser.msft.com\public\%username%\applicationData，其中wk2ser是計算機名，msft.com是域名，%username%是通配符，applicationData是重定向後的目錄。接著單擊「確定」按鈕返回。 然後將「桌面」重定向到\\w2kser.msft.com\public\%username%\desktop，將「My Documents」重定向到\\w2kser.msft.com\public\%username%\mydocuments，將「 開始 菜單」重定向到\\w2kser.msft.com\public\%username%\startmenu。

④ 本地安全組策略命令是什麼

本地安全組策略命令是gpedit.msc。

打開本地安全組策略的方法如下：

1、以win10為例，按win+R打開運行，在運行中輸入「gpedit.msc」並回車。

⑤ 電腦無法加入公司域

1. 使用另外一個計算機名稱。
2. 等待 Active Directory 進行復制，或使用以下命令強制進行復制：
repadmin /sync DomainDN目標 DSA GUID._msdcs 源 DSA GUID /force
3. 在加入過程中使用域管理員帳戶。
4.向您正在使用的帳戶授予附加許可權： 1. 啟動 Adsiedit.msc。
5. 打開「Domain NC, DC=域, CN=Computers」節點。
3. 單擊「計算機」，然後單擊「屬性」。
4. 在「安全」選項卡上，單擊「高級」。
5. 單擊「添加」，然後單擊適當的用戶帳戶或組。
6. 在「應用到」框中，單擊「計算機對象」。
7. 在「許可權」窗格中，單擊以選中「寫入所有屬性」、「重設密碼」和「將這些許可權只應用到這個容器中的對象和/或容器上」復選框。
8. 單擊「確定」，直到做出更改。
9. 等待 Active Directory 進行復制，或強制進行同步。

⑥ AD為什麼以單位計劃

咨詢記錄 · 回答於2021-10-05

⑦ AD域控對用戶來說究竟好在哪裡

您好，我根據個人感受回答一下您的問題。
其實域是方便了管理員，不方便用戶的。

第一、微軟基於AD的域模式，最大的優點是實現了集中式管理。以前在無數客戶端要重復多次的設置，只要在域控制器上做一次設置就可以了。減少了管理員的工作量，甚至可以裁員了，減少了維護企業網路的開支，降低了總體擁有成本。方便了管理員。
第二、對於域中的普通用戶來說可能不是一件好事了，原來是工作組每個人都是本地計算機的管理員，想裝QQ裝QQ，想裝迅雷裝迅雷，人人都是土皇帝。在域模式後。普通的域用戶對於客戶機的許可權少的可憐，可以說管理員讓干什麼才能幹什麼，失去了對主機的控制。對平常工作時間炒個股、玩個游戲、裝個亂七八糟的軟體的人來說是沒有任何實惠的。但是公司不是網吧，這樣做可以提高工作的效率，是符合公司整體利益的。
第三、AD是一個大的安全邊界，用戶只要在登錄時驗證了身份，這個域林中所有允許訪問資源都可以直接訪問，不用再做身份驗證，也提高的效率減少了維護成本。
第四、對於用戶好處，通過文件夾的重定向我們可以將所有用戶桌面的「我的文檔」重定向到文件伺服器上。一來可以集中備份，不用擔心客戶端重裝和故障造成用戶數據丟失；而來不管用戶在域中哪台計算機登錄都可以找到自己的「我的文檔」，實現文檔跟隨用走。

⑧ 關於文件轉移

建議你安裝矮人這個軟體
http://nj.onlinedown.net/soft/24990.htm
安裝後重啟

直接在啟動項就能引導到ghost。然後你把C盤ghost到其他分區就行了
以後即使系統壞了。再引導進去，用ghost還原即可。

⑨ AD域的好處和以後能實現的功能越全越好~！謝謝~！

AD域項目說明

一、許可權管理集中、管理成本下降
域環境，所有網路資源，包括用戶，均是在域控制器上維護，便於集中管理。所有用戶只要登入到域，在域內均能進行身份驗證，管理人員可以較好的管理計算機資源，管理網路的成本大大降低。防止公司員工在客戶端隨意安裝軟體, 能夠增強客戶端安全性、減少客戶端故障，降低維護成本。通過域管理可以有效的分發和指派軟體、補丁等，實現網路內的一起安裝，保證網路內軟體的統一性。限制員工上網環境，禁止訪問非工作以外的其他網站。
二、安全性能加強、許可權更加分明
有利於企業的一些保密資料的管理,比如說某個盤允許某個人可以讀寫，但另一個人就不可以讀寫；哪一個文件只讓哪個人看；或者讓某些人可以看,但不可以刪/改/移等。可以封掉客戶端的USB埠，防止公司機密資料的外泄。安全性完全與活動目錄(Active
Directory) 集成。不僅可在目錄中的每個對象上定義訪問控制，而且還可在每個對象的屬性上定義。活動目錄(Active
Directory)提供安全策略的存儲和應用范圍。安全策略可包含帳戶信息：如域范圍內的密碼限制或對特定域資源的訪問權；通過組策略設置下發並執行安全策略。
三、賬戶漫遊和文件夾重定向
個人賬戶的工作文件及數據等可以存儲在伺服器上，統一進行備份、管理，用戶的數據更加安全、有保障。當客戶機故障時，只需使用其他客戶機安裝相應軟體以用戶帳號登錄即可，用戶會發現自己的文件仍然在「原來的位置」（比如，我的文檔），沒有丟失，從而可以更快地進行故障修復。在伺服器離線時（故障或其他情況），「離線文件夾」技術會自動讓用戶使用文件的本地緩存版本繼續工作，並在注銷或登錄系統時與伺服器上的文件同步，保證用戶的工作不會被打斷。
四、方便用戶使用各種共享資源
可由管理員指派登錄腳本映射分布式文件系統根目錄，統一管理。用戶登錄後就可以像使用本地盤符一樣，使用網路上的資源，且不需再次輸入密碼，用戶也只需記住一對用戶名/密碼即可。各種資源的訪問、讀取、修改許可權均可設置，不同的賬戶可以有不同的訪問許可權。即使資源位置改變，用戶也不需任何操作，只需管理員修改鏈接指向並設置相關許可權即可，用戶甚至不會意識到資源位置的改變，不用像從前那樣，必須記住哪些資源在哪台伺服器上。
五、SMS系統管理服務（System Management Server）
通過能夠分發應用程序、系統補丁等，用戶可以選擇安裝，也可以由系統管理員指派自動安裝。並能集中管理系統補丁（如WindowsUpdates），不需每台客戶端伺服器都下載同樣的補丁，從而節省大量網路帶寬。
六、靈活的查詢機制
用戶和管理員可使用「開始」菜單、「網上鄰居」或「ActiveDirectory 用戶和計算機」上的「搜索」命令，通過對象屬性快速查找網路上的對象。例如，您可通過名字、姓氏、電子郵件名、辦公室位置或用戶帳戶的其他屬性來查找用戶。通過使用全局編錄來優化查找信息。
七、擴展性能較好
WIN2K的活動目錄具有很強的可擴展性，管理員可以在計劃中增加新的對象類，或者給現有的對象類增加新的屬性。計劃包括可以存儲在目錄中的每一個對象類的定義和對象類的屬性。
八、方便在 MS 軟體方面集成
如ISA、Exchange、Team Foundation Server、SharePoint、 SQL Server等。
J九、域的規劃建議
1、系統集成在做企業網路維護過程中，採用單域單站點管理模式，建設AD與BAD，即主域控器與備份域控制器，在其下面採用OU（組織單元）的模式進行集中管理各部門人員與電腦。此種管理模式，成本降低，且減少管理復雜度和維護量。

2、AD(主域控制器)：公司所有許可權管理，用戶建立以及各種策略、軟體等的管理及實施到每台電腦。

3、BAD(備份域控制器)：採用與AD完全相同的設置，繼承AD上的所有管理資料，防止AD出現故障後，公司電腦無法登陸AD和使用網路資源，，將BAD伺服器做成WSUS伺服器（windows補丁伺服器），管理公司所有電腦的補丁的下載與提供安裝的服務，如有需要還可集成ISA SERVER伺服器，進行公司網路的管控（上網行為管理）
4、域的伺服器配置建議在XEON 2.8G 4G內存，硬碟視需求而定，硬碟做RAID，AD數據定期做完整，增量，異地備份。