使用Active Directory的常見問題1

剛使用Active Directory的三點問題。剛接觸剛在企業內部開始推廣Active Directory 活動目錄的管理員朋友們，都會遇到這樣的尷尬：用戶是否使用活動目錄，活動目錄管理員沒法控制，活動目錄變成了一個無關緊要的東西。爲何這麼說呢？請看以下三點Active Directory活動目錄的常見問題：

• 不登陸到域的用戶不容許接入接入公司網絡(身份驗證),好比,一臺機器不加入AD,則不能訪問任何網絡內資源,必須經過身份認證纔可
   
• 定義域中共同的操做與方法,好比,在某一個時間段分發安裝一個軟件,或者開機後全部機器自動登錄公司網站等
   
• 移動計算機以及從新安裝過系統而又未通知管理員的機器如何管理?

回答：根據您的描述，我對這個問題的理解是：您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-1
     
     您須要瞭解AD環境是否支持如下管理特性：
         1. 不屬於域的計算機或是不登陸到域的用戶不準接入公司網絡；
          2. 實現域中客戶機的集中化操做，如統一分發軟件、自動訪問網站等；
         3. 管理移動計算機以及新安裝的系統。

對於以上問題：

1. 能夠在AD環境下實現。有不少方案能夠作到，如：在域內統一實施IPSec策略或是設置802.1x認證等。當計算機不屬於該域或是非本域用戶登陸時，雖然能夠物理鏈接到網絡，可是因爲未通過身份驗證，沒法和域內的服務器或客戶機實現通訊。

但願瞭解更多關於IPSec的信息，請參考：
Internet Protocol Security (IPSec)
http://technet2.microsoft.com/windowsserver/en/library/cef71791-bcf2-4f0f-9a56-db1682cf8a241033.mspx

但願瞭解更多關於使用802.1x驗證保護網絡訪問的信息，請參考：
802.1X Authenticated Wired Access
http://technet2.microsoft.com/windowsserver2008/en/library/1a3d42a2-a323-4194-b1c1-a4d009e97adf1033.mspx

關於您的第一個問題：能夠限制用戶上網。

由於整個網絡中能夠部署IPSec策略實現加密通訊。若是沒有加入到域，那麼此計算機沒法和域中已經實現IPSec的計算機通訊（包括代理服務器），既不能訪問公司文件也不能上網，只能訪問本地資源和未實現IPSec的服務器。

2. 能夠經過AD實現。AD中的組策略能夠用來向客戶機統一分發軟件，只需在某容器的策略中指定分發軟件包，該容器下的用戶或計算機都會獲得此軟件的安裝信息以及安裝該軟件。組策略也能夠實現對IE的統一設定。此外，對於更加複雜的自動化管理需求，能夠將其寫成腳本，並利用組策略將腳本分發到客戶機或用戶，使其在啓動/關機或是登陸/註銷時自動執行。

但願解更多關於使用組策略實現軟件分發的信息，請參考：
Use Group Policy Software Installation
http://technet2.microsoft.com/WindowsServer/en/library/b238ecdb-cda5-402b-9b3d-f232045a30fa1033.mspx

但願瞭解更多關於組策略分發腳本的信息，請參考：您看到的文章來自活動目錄seo http://gnaw0725.blog.51cto.com/156601/d-1

Use Startup, Shutdown, Logon, and Logoff Scripts
http://technet2.microsoft.com/windowsserver/en/library/22cf660f-c165-49e3-b768-2b8898a5684b1033.mspx

關於您的第二個問題：

若是計算機加入到了域（在該計算機的「系統屬性」?「計算機名」中能夠確認），不論登陸到該機器的用戶是域用戶仍是本地用戶（甚至沒有任何人登陸，只要該計算機啓動完畢），此計算機始終會接受域的統一管理，如：IPSec策略、網絡訪問限制等等。

固然，咱們也可以對登陸進行限制，如：能夠設置「容許本地登陸」的策略，僅容許域用戶和本地管理員登陸到此計算機。

3. 若是是加入到域的移動計算機能夠被AD管理。並且，因爲策略設置等信息會被保存在客戶機本地，即便是離線之後，仍然能夠接受管理。但若是沒有加入到域，好比是新安裝的系統，是沒法被AD管理的。

穆驥 微軟全球技術支持中心

使用Active Directory的常見問題的相關文章請參考
使用Active Directory的常見問題1
使用Active Directory的常見問題2
使用Active Directory的常見問題3 －－－gnaw0725