AD+SCCM桌面标准化解决方案

精选优质文档-倾情为你奉上AD+SCCM桌面标准化解决方案Professional Wang目录0. 序言中国现在正全面开展企业信息化建设，各大企业也纷纷加入到了开展企业信息化的行列，在开展企业信息化的过程中，不同地方，不同企业的信息化进展都不一样，在信息化发展的过程中也会面临各种各样的挑战，比如说，在信息化开展的初期，企业可能没有一种很好的IT集中化管理方式，导致企业内部的计算机与服务器都很分散，没有办法去集中的进行控制，一旦计算机与服务器出现故障，或者企业桌面需要安装软件，更新操作系统，补丁更新等操作的的时候，IT管理员就需要充当消防员的角色，赶赴到各个终端的现场，去进行很多重复性的安装、更新、修复工作，这样就不是一种很高效的IT运作方式，时间久了，不光是IT管理员难以有更多的发展空间，对于用户与企业来说，如果真的很多台计算机都出现了故障，如果要进行一次大批量的软件更新，系统安装，也需要很长的时间才能交付完成，而且分散管理模型中，如果真的大规模出现了故障，往往也很难找到故障所在，没办法很快速的修复解决问题。针对于这些挑战，我们推荐采用微软的AD+SCCM解决方案, 来帮助企业进行IT的集中管控，通过AD+SCCM的技术，帮助企业高效灵活的进行集中身份验证，集中网络资源发布，集中策略设置，软件安装，软件更新，操作系统安装，资产统计，远程协助，计算机安全评估等操作，IT管理员只需要坐在AD和SCCM服务器跟前，就能自动化，大批量，标准化的为企业进行桌面管理，使管理员从重复性的IT工作中解放出来，可以投入更多的精力，来帮助企业优化IT业务系统。同时也帮助企业IT信息化进入一个更高的层次。1. 使用AD域进行企业IT集中管控1.1 为什么企业要用域 自1981年，IBM与微软联合，推出了第一款个人PC之后，个人PC渐渐的走进了我们的生活，让普通用户也可以对计算机触手可及，随着信息科技的发展，个人PC也越来越便宜，操作系统也越来越易用，如今，个人PC已经几乎遍布了每家企业，每个人的家里。 有了个人PC之后，企业开始想，我们都可以用计算机来做什么，这时候计算机网络就渐渐映入了人们的眼帘，企业可以在一个网络中，让网络中的计算机进行互连，通讯，资源共享，以及交互娱乐，电子商务，信息管理，生产管理，等高级网络应用。 其中，对于企业来说，首要的就是互连与资源共享，互连，指的就是通过网络设备将分布在同一地点或不同地点的计算机连接起来，形成同一个网络，让同一个网络内的计算机，可以共同遵循某种协议，来进行互相访问，简单来讲，互连就是让不同的计算机与计算机之间，可以进行互访通讯了。 将企业中的计算机互相连接起来形成一个计算机网络后，下一步就是通过资源共享，来让不同的计算机，访问我们共享的资源，来进行基本的协同工作。在传统的分散式网络管理模型，也就是我们常见的工作组模型中，每一台计算机，都是独立的计算机，独立的身份验证数据库，独立的管理，在这种工作组模型中，好处就是每台计算机都独立平等的，每台计算机都是一个独立的安全边界，可以快速方便的建立起一个工作组，将多台计算机加入到一个工作组，在一个工作组里面进行资源共享。但是从企业的角度来看，这种工作组网络模型，并不是最理想的一种网络模型，它还是有一定的缺点的。1.1.1 传统分散式网络模型缺点n 网络集中管理不方便因为每台工作组计算机都是独立的安全边界， 所以如果我们想要为企业所有的计算机统一设置一套账户安全策略，密码策略，计算机安全策略，就需要去每台计算机上，都设置一遍相同的策略，而不能只设置一次，让所有计算机一起应用，这种情况，针对于企业内客户端的统一管理，就变得很不集中，很不方便。n 身份验证不集中，网络资源共享配置繁琐因为每台工作组都存储着独立的身份验证数据库， 所以如果我们在一台工作组中的计算机上，想要共享资源出来让大家访问，首先我们需要在这台计算机上建立需要运行访问共享资源的用户，比如说a用户，然后其它用户通过UNC或者网上邻居的方式，来访问共享资源，就需要输入a用户的账户密码，输入之后，可以通过资源共享计算机的身份验证后，则允许访问共享资源。那么如果说有10台计算机都共享了资源呢？我们就需要在10台计算机上，都建立一遍这个用户，100台计算机，就需要建立100遍整个用户，不光管理员会累死，用户也要记住他在这100台计算机上的用户密码，可见，在这种工作组模型的网络中，一旦共享资源多了起来，就会变得很不方便，而且工作组网络模型中，配置资源共享的步骤也很繁琐，其中还涉及到来宾Guset用户，本地策略，防火墙的设置，一旦设置不对，就会导致资源共享失败。 那么，能不能有没有一种网络管理模型，可以集中的对网络进行身份验证，集中的进行资源共享，集中的进行客户端的管理策略设置呢？于是域管理模型应运而生。1.2 什么是域 域即一种逻辑层面的集中网络管理模型，域管理模型不同于工作组管理模型，在一个域网络内，所有计算机的地位不再是平等的，而是会有一台服务器，来扮演控制器的角色，负责管理环境内所有的域客户端，这台控制器，我们就叫它 ”域控制器“，在一个域模型网络中， 存储着活动目录数据库的服务器就是域服务器，域控制器负责执行域环境内所有管理操作，新建用户，发布网络资源，客户端策略设置，都是在域控制器集中进行。 （同时域控制器也支持远程管理工具方式，可以在普通客户端上安装AD域的远程管理工具来管理服务器） 在同一个域内，可以有多台域控制器，域内所有域控制器使用一份几乎完全相同的活动目录数据库，域控制器与域控制器之间会不断的进行复制，以达到数据同步。 域也是一个整体的安全边界，没有域用户账号，就不能访问域模型中的网络资源，每一台域控制器都存储着域内独一无二的域活动目录数据库分区， 不同域之间的域活动目录数据库分区不同。域是微软在NT4.0时引进的目录服务管理平台，微软AD域是业界公认的最佳目录服务管理平台，具备一定的稳定性与实用性，目前世界五百强很多企业，都纷纷部署了AD域来进行企业的IT管理1.2.1 域的优势n 集中身份验证：使用域架构，管理员只需要在域控制器上，新建一个用户，并且为用户分配它在整个域网络内的权利，那么只要这个用户具备相应的访问权限，这个用户就可以在域内任何一台终端上面，通过一个域用户，来访问企业内任何网络资源，解决管理员需要在不同服务器上分别创建用户的困扰n 集中管理网络资源：使用域架构，管理员只要在域控制器上，就可以管理发布整个域网络内的共享文件夹，网络打印机等资源， 用户再也不需要记住每一个共享服务器或者共享打印机的名字，使用了域之后，用户只需要在域网络中进行搜索，就可以搜索到网络内所有可用的网络资源。n 集中策略设置：使用域架构，如果管理员希望让域内客户端统一应用一个策略，那么管理员只需要在域控制器中，设置一个组策略，就可以让域内所有的客户端，或者部分指定的客户端 应用策略，通过组策略，管理员可以集中控制域客户端的桌面，IE设置，系统设置，账户策略设置，密码策略设置，注册表，服务，软件策略，首选项，文件系统等等， 通过组策略，我们几乎可以按照自己的想法，任意的控制域环境内客户端的设置，比较典型的应用，是通过组策略，限制环境内所有客户端的USB访问接入，限制环境内客户端随意安装软件，通过组策略，将所有用户的用户配置和文件夹，重定向到服务器上进行集中管理。1.3 什么是ADAD ( Active Directory)，即 活动目录，什么是目录，对照现实生活来说，我们的在电话本中写入了很多个人的电话信息，然后我们通过电话本，可以快速的查找到我们需要的用户，这就是一种目录服务，还有，我们的电子图书馆，图书馆内有很多的书籍，我们把这些书籍录入到电子图书馆系统，然后学生就可以在电子图书馆系统界面去查询和浏览图书，这也是一种目录服务，总结来说，可以针对于已有的存储数据，进行有序的编录，形成一份规范的目录，让用户可以简单便捷的在目录中查询资料，这样的一个功能，我们就叫它目录服务。在域中，我们创建了很多用户和组，发布了很多共享资源，那么怎么去查询和访问这些资源， 我们就可以使用域中的活动目录服务，活动目录服务通过Ldap（Light Directory Access Protocol）协议，可以更加有序的组织管理域中的活动目录数据库，将域内所有的用户、组、共享资源、都纳入到目录服务中去，让用户和管理员，通过网络邻居中查询搜索的方式， 去访问域中的资源， 而之所以叫做活动目录，是因为 Active Directory 并不是固定大小的目录，Active Directory可以视企业域中数据的大小，来活动的扩展目录大小，相当于一个 无限页数的 “电话本”1.4 如何选择适合您企业的域架构模型默认情况下，当企业环境没有域的情况下，我们去安装配置一台域控制器，来新建一个域，当新建企业内第一台域控制器的时候，同时也新建了企业内第一个林，第一个域树，第一个域，在一个域网络的逻辑概念中，林是最大的一个概念，一个林中可以包含多个域树，一个域树中又可以包含多个域。在一个企业的单个域树中， 域与域之间的名称空间是连续的，单个域树内中的每个域之间都是相互信任的。多个域树之间的名称空间不同，但可以将多个域树组成一个林，林中的所有域树，域，都可以互相访问资源。在一个域网络内，不光有逻辑的林、树、域概念，也有相对的物理概念，比如说，站点，如果企业内的域分布在不同地域 ，域控制器与域控制器之间如果要进行数据库复制，就可以将与域控制器划分为不同的站点，在站点与站点之间进行复制同步的时候，可以结合企业内部网络实际情况，来进行合理的规划控制，例如，可以设置一个复制计划，让站点间的复制只在某一个时间段进行，还可以通过 开销，来设置域控制器之间复制的时候，优先采取那条网络路径。1.4.1 单林单域单站点 如果企业之前采用的是工作组管理模型，现在想转到域模型，那么单林单域单站点，是您的首选推荐，选择单林单域单站点也是一个很好的过度，在单林单域单站点的域模型中，管理员只需要维护一个域就可以了， 管理起来相对也并不复杂，也并不涉及到域树、信任、林，站点管理等概念， 后期如果希望进行负载均衡，容错的话，还可以在一个域内添加多台域控制器进行扩展，以支持更多的访问，如果企业人数在50-100人左右，初期希望通过域来进行统一身份验证， 集中管理， 那么这种单林单域单站点，可以很好的帮您过度到域管理阶段。 1.4.2 单林单域多站点 如果您的企业相对来说比较大，在不同城市都有分公司，-我们推荐您采取这种单林单域单多站点的架构，企业内部只有一个域，但是我在一个域内，可以部署多台域控制器，将不同的域控制器，放在不同的地域，比如说，contoso公司，在北京设立总部，在上海设立分部，在没有多站点的情况 上海域用户登录，也许就要去北京的域控制器上，来进行身份验证，如果上海与北京的网络出现故障，或者网络连接不稳定，就会导致上海的用户没办法登陆。 但如果采用了多站点，就不会出现这种问题，我们可以分别在北京和上海，部署两台域控制器，结合站点的设置，就可以让上海的用户，登陆到域就通过上海本地的域控制器来做身份验证，北京的用户登录到域，就可以通过北京的域控制器来做身份验证。这样就解决了不同地域用户登录到域的问题，如果您的企业是这种跨地域的公司，那么我们强烈建议您，采用单林单域多站点的架构。1.4.3 单林单域树父子域 这种单林单域树父子域的架构，适用于”分散式安全管理“ 与 “站点网络链接慢速“的应用场景，如果企业已经创建了一个父域，当前父域在北京总部建立，随着业务扩展，公司在上海建立了一个分部，公司希望上海和北京的域进行分开的管理，即上海的IT管理员在上海分公司创建的用户、组策略，不会被应用到北京，北京总部只可以创建总部的用户与组策略，不能将在总部创建分部的域用户，从而实现安全边界的“分散式安全管理” 。 在单林单域树父子域环境中，也可以将父域和子域部署在不同的地域，从而实现AD站点的架构，在父子域架构的多站点钟，父站点与子站点之间进行数据同步的时候，不需要同步很多数据，只需要同步整个林中统一的架构和配置信息，而不需要将父站点的所有数据库内容都同步到子站点，从而降低多站点同步时网络带宽的要求，如果企业分支机构与总部之间网络连接并不快，可以采用父子域架构的多站点方式。 1.4.4 单林多域树单林多域树的架构，适用于更加大型的AD拓扑结构，可以将不同地域，不同部门，划分成为一个单独的域树，来加入到林中的根域，域树中可以包含父域，父域中可以包含子域，多域树架构的典型应用场景就是企业兼并，例如A公司收购了B公司，但是B公司名称在市场内也有一定的影响力，所以A公司希望B公司还保留它原来的公司名称，这种情况就可以在A公司建立一个林根域树，然后将B公司的现有域树加入到A公司中，这样B公司逻辑上被A公司管理，但依然保留B公司自己的公司名称。在多域树的架构中，也可以将不同的域树分别部署在不同的站点，但是AD发展到今天来看，在企业中，网络可能已经不再是瓶颈，所以如果不是特定的需求，微软建议尽量采用单林单域多站点的架构，越简单越好，能使用多站点解决的问题，就不采用父子域，能用父子域解决的问题就不采用多域树，总之，企业的AD域模型，只要能满足需求，拓扑架构越简单越好，管理起来方便，出现错误也容易排错。1.4.5 多林架构 多林架构即在企业内部署多个林，来实现一种多林的大型架构，这种架构并不常见，除非公司AD架构要求规范的很大，或者要求分散管理，否则一般不会应用多林架构，多林架构的典型应用，一个是跨公司的，两家公司建立了合作关系，希望能够员工能够在自己的公司就可以访问其它公司的资源，那么就可以建立多林架构，组成林信任。另外一种应用场景就是，新旧更替，比如企业在2003年，建立了一套AD架构，同时采用了exchange2003作为企业的邮件系统，但是到2010年，企业又引进了一批2008R2的服务器，上面装了Exchange2010，希望将旧的运行在2003上面的数据迁移过来。那么也可以在这种多林架构下进行跨林的迁移1.5 什么是活动目录数据库 之前介绍域的时候，我们提到过，域中的 老大 “域控制器“，上面会存放一个 活动目录数据库，那么这个活动目录数据库中，到底存储了什么？可以说，我们整个域内的所有数据，都存放在这个活动目录数据库中，同时，当用户登录到域客户端，访问资源的时候，就会经过活动目录数据库的身份验证，如果用户登录信息和数据库内信息一致，则允许用户登录，如果用户登录信息与数据库信息不一致，则用户无法登陆。 活动目录数据库包括四个分区 架构分区：架构分区中存储着整个林中，所有的对象，对象属性定义，架构分区是林中全林复制的，林中所有域树、域、子域，都应用相同的架构分区，除了administrators组，只有林中的Schema admins组，有权限修改林中的架构分区。 配置分区：配置分区存储着整个林中 域树，域，站点，服务，信任关系的信息，配置分区也是林中全林复制的，林中所有域树、域、子域，都应用相同的配置分区。 域分区：域分区存储着每个域内特有的数据，比如域中的用户、组、计算机、共享资源等数据，在一个林中，域与域之间的域分区数据是不相同的，域分区仅在一个域内进行同步。 应用程序分区：应用程序目录分区是仅复制到特定域控制器的目录分区。参与特定应用程序目录分区复制的域控制器寄存该分区的副本。只有运行 Windows Server 2003 的域控制器可以寄存应用程序目录分区的副本。 我们在AD管理工具的UI界面修改的数据，比如我们为域中新建了一个用户，发布了一个共享资源，添加了一台计算机，使用exchange扩展了AD的架构，等等，这些数据，最终都会被存入至活动目录数据库，活动目录管理工具或活动目录域服务，都是以Ldap协议通过DN或RDN路径对数据库进行新增、查询、更新、删除等操作 1.6 域的可靠性与容错性1.6.1 域的可靠性企业将微软的AD域作为企业的集中管理平台后，就可以将AD域作为企业的集中身份验证平台，在AD上面创建一次用户，该用户就可以单点访问域网络内所有的资源。可以将AD作为企业的资源发布平台，将企业内所有已共享的文件夹，打印机等网络资源，发布到AD活动目录中，让用户查询使用，还可以通过AD域控制器来统一设置域中的组策略，通过组策略来控制域内所有用户的桌面工作环境、系统设置、安全策略。当企业很好的应用了AD域后，就会开始考虑域的一个可靠性，默认我们可能只部署了一台域控制器，这种情况下，如果这台域控制器宕机，就会导致，所有用户没办法登陆，没办法访问网络资源，没办法应用组策略，导致整个网络处于一种瘫痪的状态，如何避免这种情况。我们就可以在一个域内部署多台域控制器来解决可靠性的问题，域内的多台域控制器，他们的活动目录数据库是几乎完全一致的。简单来说，单站点单域，域内一台域控制器，添加了一个用户，经过15秒，也许更快，就会把这个新添加的用户，复制到域中 直接复制伙伴 域控制器的活动目录数据库上，所以，在同一个域内的域控制器，他们的活动目录数据库是相互复制的，即使一台域控制器宕机，那么其它的域控制器也可以挺身而出，接替工作，同时，如果我们为单域环境添加了多台域控制器，那么多台域控制器就可以同时为用户提供服务，可能这台用户登录访问资源，为它提供服务的是这台域控制器，下一个用户登陆，就会是另外一台域控制器为他提供服务，通过添加多台域控制器，不仅可以通过复制的方式，来解决域的可靠性问题，还可以达到负载均衡1.6.2 域的容错性 虽然说，我们可以通过在域中部署多台域控制器，来进行负载均衡，避免一台域控制器宕机导致企业网络瘫痪，但是这样却并不能达到一种很好的容错效果，万一IT管理员不小心在域控制器上删除了某个用户，万一管理员不小心操作失误，导致了两台域控制器宕机，这种情况下，应该怎么办？ 这个就是容错考虑，除了前期做好正确的域规划，我们还强烈建议客户，针对于域控制器做好备份，可以使用Windows Server 自带的Backup 工具，定期单独备份活动目录状态，或者裸机备份域控制器，或者使用DPM，Symantec等其他备份工具，来备份域控制器。 除了针对于服务器做备份，还可以针对于与域控制器来启用快照和回收站。 这里的快照有两层含义，一种指的是，域控制器虚拟化时，hyper-v的快照，另外一种指得就是活动目录数据库的快照，从2008R2开始，我们就可以在ntdsutil命令集中，针对于活动目录数据库来制作快照，制作好活动目录数据库快照后，一旦那一天活动目录数据库瘫痪，或者误删除，就可以通过挂载快照的方式，重新挂载恢复活动目录数据库。 回收站指的是活动目录回收站，这项功能也是2008R2开始引进的功能，通过启用回收站，可以让管理员，“有后悔药可吃”，默认活动目录中的部分对象，都会有一个墓碑时间，这个墓碑时间，默认是180天，比如说，我们误删除了一个用户，删除之后，我们只是给这个用户添加了一个已删除的标记，但是这个用户并未彻彻底底的从我们的活动目录数据库中删除，而是处于一个“游魂阶段”但依然存在于我们的活动目录数据库，等到180时间到了后，这个用户才会被彻底的从活动目录数据库中删除。如果我们启用了活动目录回收站的功能后，那么 处于“游魂阶段”的用户，就可以被恢复回来。比如说，我们误删除了一个用户，但是我们启用了活动目录回收站这个功能，就可以在回收站中将这个用户恢复回来。通过这些可靠性与容错性的考虑与实现，就可以保证企业的AD域平台更加高度可用，更加可靠的运行1.7 如何创建一个域要实现一台域控制器，对于服务器硬件要求并不是很高。只要你是市面上常见的至强E5 cpu , 内存4-8GB，硬盘初期300-500GB，中小企业采用这样一台服务器，就足够支撑起企业域的运行。同时域服务属于Windows Server里面的一个角色，企业不需要额外再购买任何东西搭建域的系统要求n 要求服务器安装指定的Windows Serer操作系统n 要求服务器具备一个NTFS分区用来存放SYSVOL数据，最小具备250MB大小n 规划好企业域名以及服务器静态IP地址n 必须要有管理员权限，普通用户不能安装域控制器服务器满足这些要求就可以安装域控制器。在最新的Windows Server 2012R2中安装域控制器的步骤也并不复杂，一共分为几步n 配置服务器IP地址，域名，防火墙，更新补丁n 添加Active Directory域服务角色n 指定要采用的域架构模型，定义企业域名n 指定企业域功能级别，林功能级别，设置DSRM密码n 是否委派DNS，Netblos网络名称是什么n 指定AD数据需要存放在哪n 验证域控制器配置步骤设置，确认无误，选择创建，重启之后，服务器为域控制器n 通过以上几个简单的步骤，输入企业的特定信息，选择合适的架构，就可以帮助企业快速的实现一台域控制器，相比于业内其他目录管理平台，微软的AD域服务器架构起来是最简单，最快速的。1.8 AD集中管理用户资源演示当安装好AD域服务角色后，服务器重启，重启好了后，该服务器即升级为一台域控制器，同时，在服务器上会多出如下几个工具管理员日常针对于AD域环境执行创建用户，发布共享资源，组策略设置，主要是在Active Directory 用户和计算机 与 组策略管理。这两个工具中进行操作n Active Directory 用户和计算机界面如下n 如果想要创建用户，只需要定位到指定OU下，在空白处点击右键选择“新建”“用户”即可指定新建的用户，包括用户的登录名，以及要在AD中显示的姓名n 还可以设置用户登录时的密码n 输入用户名称，登录名，密码后，就可以完成创建一个用户，默认情况下，这个用户可以在域环境内任何一台客户端进行登录，但是也可以针对于用户来进行不同的管理限制n 比如可以指定用户，只能在那一台机器上登录n 可以控制，用户在什么时间段内可以进行登录n 包括用户VPN拨入时要应用的路由，用户远程连接会话的中断时间，用户的配置文件，用户在域中的权限，都可以在AD用户与计算机中，来对用户进行这种集中的管理。n 在AD中还可以创建组，将不同的用户加入到组之后，管理员在设置共享文件夹权限的时候，可以针对于一个组来赋予权限，组内所有用户都继承组的权限。在AD中，可以创建安全组和通讯组，安全组主要用来指派权利赋予权限，通讯组主要负责收发邮件的，比如我们创建通讯组，那么在发送邮件的时候，就可以针对于一个组来发送邮件。n 管理员不光可以在AD域控制器上面进行集中的用户创建，用户管理。还可以通过AD域控制器来发布环境内的网络资源，比如说，环境内有五台文件服务器，五台文件服务器上面又存放了很多个共享文件夹，那么最终用户如果需要访问我的共享文件夹，就需要记住这五台共享文件服务的访问方式，而有了AD后，我们就可以在AD里面来进行统一的发布，将域环境内的共享文件夹都纳入AD中，作为一个域共享资源，用户只需要记住访问，我需要访问域，域内就会有我所有想要的资源，就可以了。n 要发布域共享文件夹，同样只需要定位到指定OU下，在空白处点击右键选择“新建”“共享文件夹”n 在共享文件夹中，输入一个显示名称，以及共享文件的UNC路径n 点击确定后，即可创建完成一个共享文件夹，但这共享文件夹并不会存在于域控制器上，只是域控制器作为一个逻辑的空间，将网络中一个个共享文件夹做成一个快捷方式，存储到活动目录中。n 如果管理员觉得，默认的访问名称，比较繁琐，用户不好记住，还可以针对共享文件夹设置关键字，让用户在网络里面搜索关键字，就可以找到共享资源n 管理员在域控制器上将资源发布好了后，最终用户只需要在客户端的网络邻居上，选择查找网络资源，在查找里面输入相应的关键字，开始查找 就可以找到所有想要的资源1.9 组织单元与组策略 企业采用了AD域环境后，最核心的三个应用，不外乎就是通过AD来集中进行身份验证，集中进行网络资源的发布，统一管理客户端的策略设置，集中的身份验证和资源发布，可以通过Active Directory 用户和计算机 工具来进行，而集中客户端策略设置，就是通过组策略管理来进行。 组策略即一组策略的集合，通过组策略可以帮助管理员，集中的控制环境内客户端，用户的桌面环境，安全策略，软件策略，管理员在域控制器的组策略管理里面定义好了一套策略，就可以将这套策略，应用到域内的客户端上。 组策略的策略设置主要包括一下几个大的方面： 客户端统一桌面工作环境：通过组策略控制客户端的桌面图标、开始菜单、屏保锁屏，用户账户，个性化设置，用户配置文件，资源管理器设置，日历设置 操作系统统一设置:通过组策略集中域内客户端的环境变量，系统启动，电源设置，可移动设备访问，硬件设备安装，系统驱动器访问，更新设置，网络设置，打印机设置，驱动程序设置，powershell设置 安全设置：通过组策略可以控制域内客户客户端安全策略，账户策略，密码安全策略，软件限制策略，公钥策略，应用程序控制策略，注册表，本地组，系统服务，事件日志等策略设置，还可以通过组策略实现对于环境内客户端的审核策略，通过审核策略，可以审核域客户端的账号登陆，远程访问，文件访问，特权使用，实现审计功能。 软件安装：在AD组策略中，也提供软件推送安装的策略设置，通过组策略就可以简单的向域内的客户端去推送软件，可以通过发布或者分配的方式去推送软件，通过组策略仅可以推送MSI , MSP ,ZAP 三种格式的软件。 首选项设置：首选项设置是Windows Server2008开始之后，提供的，针对于组策略的一些增强，通过首选项设置，可以预先在客户端配置好需要应用的设置，客户端一旦用到配置，就会自动应用首选项中的指定，首选项中提供了更多更方便的客户端策略控制操作，比如，在首选项中可以设置，为环境里面的域客户端统一在桌面创建一个文件夹，统一复制一个文件到所有客户端上，在首选项中为所有客户端的本地用户与组，新建用户。 开机/关机/登录/注销时的操作:在组策略中也可以进行脚本设置，指定域环境内客户端，开机，关机的时候，需要运行那些远程脚本来执行任务。 其实组策略里面管理员定义的一个个策略，在后台修改的就是注册表，早期NT,98时代，那时候组策略的功能还不是很健全，所以管理员如果要执行一些终端规范化，终端的安全设置，有时候还需要去手动修改注册表，而随着操作系统越来越庞大，注册表里面的键值也越来越多，再使用注册表去控制计算机，就不是非常方便，于是微软提出了组策略，管理员通过在组策略中，就可以修改计算机的运行环境，桌面，系统设置，安全设置。在工作组环境下，可以通过本地组策略来设置工作组计算机的策略，在域环境下可以通过组策略，来统一设置域中客户端的策略。 管理员可以在组策略中根据如上这些个角度，来针对环境内客户端进行统一桌面，统一系统设置，统一安全，从而达到一种标准化、安全的企业终端策略管理。管理员不光可以将策略应用到域上，也可以将组策略应用到一个组织单元中，换言之，如果管理员不希望我制定一个策略，就让所有客户端都应用这个策略，只想让一部分客户端应用策略，也是可以的，可以在域中创建多个组织单位，针对不同的组织单位设置不同的策略，如果组织单位策略与域策略产生冲突，那么最终组织单位内的客户端，以组织单位策略为准。组织单位就是一个容器，管理员可以将用户，组，计算机，统一放到一个组织单位下进行统一的管理。微软建议，如果可以通过划分组织单位就能够解决的问题，则不必新建域。组织单位一般可以按照地域位置，按照工作职能，按照公司结构来进行划分，从而体现企业的组织架构划分组织单位主要的目的是针对组织单位应用组策略，或者，可以将一个组织单位委派给人进行管理，比如a公司建立了一个域，在域中划分了销售部，信息部，人事部，三个组织单位，那么总的管理员就可以去针对这三个组织单位来委派管理员，比如将销售部的组织单位委派给销售部的某个人进行管理，那么销售部日常的账号新建，组新建，删除等等操作，就可以由销售部门自己进行。1.10 AD集中管理域客户端策略演示实际针对组策略的管理也非常简单管理员如果需要统一设置客户端策略，只需要在域控制器上打开 “组策略管理“ n 选择策略右键点击编辑，即可看到策略设置视图n 可以轻易地控制客户端移动设备的访问n 可以轻易控制客户端的统一电源策略编辑好了后，等待30-90分钟，客户端即可应用我们设置的策略，组策略设置起来就是这么简单1.11 使用AD域带来的好处1.11.1 帮助企业构建统一身份验证平台企业没有搭建域环境之前，是由每台服务器独立存储着自己的身份验证数据库，有了AD域环境之后，企业中所有的客户端，服务器，都可以通过域服务器来进行集中的身份验证，用户只需要具备一个域账户，就可以在域中任何一台客户端登陆。只需要具备一个域账户就可以访问企业任何的共享文件夹，企业架构了域环境后，还可以将现有的OA系统，CRM系统，ERP系统与AD进行身份验证的集成，实现通过AD账户，就可以单点访问企业中任何的系统，任何的资源。1.11.2 帮助企业构建统一资源发布平台企业没有搭建域环境之前，如果有很多台文件服务器共享了文件和打印机，那么用户如果需要访问的话，就需要记住这五台服务器的访问方式，企业架构了域环境后，域控制器可以将企业网络内所有共享资源集中的进行发布，对于用户来说，用户不再需要记住一台一台的服务器，只需要在域网络内进行简单的搜索，就可以轻易获取到自己想要的资源。1.11.3 帮助企业构建集中的策略管理平台企业搭建AD域环境之后，默认就具备了网络集中策略管理的能力，不需要再额外购买其它套件，管理员只需要在AD域控制器上，经过一些简单的操作设置，就能够统一管理企业客户端的桌面环境，安全策略，设备访问。通过搭建AD域环境，使用组策略，可以帮助企业终端实现集中的管理，实现桌面的标准化，统一化，集中的控制终端安全。2. 使用SCCM提高企业IT生产力2.1 什么是SCCMSCCM ( System Center Configuration Manager )，是微软System Center中的一个套件，主要用来配合企业IT管理战略，实现企业桌面终端的标准化管理，资产统计，远程维护等功能。通过SCCM管理员可以灵活按需的进行批量软件部署，批量系统部署，批量软件更新，从而提高企业IT生产力，让企业IT更加标准化，自动化。2.2 SCCM 软件分发通过SCCM可以针对于企业内部的PC设备，移动设备进行软件推送，SCCM不光支持针对电脑的软件推送，也支持针对于Windwos Phone，IOS，IPAD ，安卓设备进行软件推送。那么，企业已经有了AD域环境，可以通过组策略推送软件了，为什么还要用SCCM去分发软件呢？因为SCCM更加灵活，更加专业。通过组策略只能推送MSI，ZAP，这两种有限格式的软件，其它格式，比如exe，zip这种常见的软件格式，组策略都不支持，但是SCCM支持，SCCM支持更加广泛的软件类型， 可以将exe格式，安卓格式，WindowsPhone等应用格式的软件，分发给客户端或者手机。同时使用SCCM进行软件分发，还可以进行更加详细的策略设置，比如软件推送是可用的还是强制的，软件要在什么时间内进行分发，软件要分发到那些满足条件的客户端，这些都是可以进行控制的。SCCM还提供用于软件分发的自服务门户，可以让用户在Web门户中进行选择软件安装，请求安装的操作管理员在管理控制台执行批准操作后，用户就可以进行软件安装在最新的SCCM 2012R2中，有着以用户为中心服务概念，现在企业中员工来到单位办公，可能会带着自己很多个终端，包括笔记本，PC，平板，智能手机等等，这种情况下，如果直接使用SCCM进行软件分发，也许就会把用户所有的终端都给安装上软件，但是管理员可以在SCCM里面定义，用户的主要使用设备是那个，这样，在分发软件的时候，就可以只把软件分发到用户的主要使用设备上。或者管理员可以定义设备的主要用户， 等等，有了这个功能后，管理员进行分发软件，就可以用户为服务中心，进行IT管理，用户需要在那台设备安装，就在那台设备安装，用户需要给这台设备那个用户安装，就给那个用户安装。2.3 SCCM 操作系统分发 微软针对于操作系统分发，有很多针对的解决方案，比如WDS , MDT ,SCCM，微软针对于操作系统分发主要分为几个大类：标准镜像部署，定制镜像部署，轻接触部署，零接触部署。 标准映像部署：简单来说就是通过WDS进行PXE网络引导，然后由TFTP下载映像进行能安装，或者是直接通过CD，image映像进行安装，不执行任何自定制，自动化操作的操作系统部署，就是微软的标准映像部署。 定制映像部署：即微软所说的OSD，OSD的流程，首先需要安装一台干净的模板机，然后为这台机器安装软件，更新，优化，执行好了标准的模板更改操作后，将模板进行sysprep，然后捕获上传到映像部署服务器，可能是WDS，MDT，或者SCCM，然后WDS再根据捕获上来的映像，进行操作系统分发。这样最大的好处，就是可以在捕获模板机的时候，就把软件补丁都安装进去，捕获下来，然后新的操作系统部署，直接使用捕获下来的映像进行安装，就不必执行标准部署，不必再单独进行软件推送和补丁推送。 轻接触部署：轻接触部署就是将操作系统部署中的步骤进行简单化，比如说可以使用WDS结合MDT，在MDT中就可以预先把要执行部署的操作系统，分区，系统名称等等都设置好，等部署的时候，用户只需要输入简单的个性化信息，即可完成操作系统的轻接触部署。 零接触部署：就是将操作系统部署的过程完全实现无人值守自动化安装，不需要人为干预，即可完成操作系统的部署，令接触部署操作系统可以使用WDS+ADK或WDS+MDT+ADK或SCCM实现，零接触大体思维就是将操作系统部署的过程，都在配置文件或者unattend中定义好，操作系统过程中需要设置的步骤，就会由相应的配置文件自动完成。不论是标准部署，定制部署，轻接触部署，零接触部署，都可以通过SCCM来进行实现，SCCM针对于操作系统部署是很强大的，也很灵活。 除了执行全新的操作系统安装，SCCM还可以支持更新安装，比如企业内客户端现在都是xp系统，可以通过SCCM将所有客户端都平滑升级成为win7，同时，还可以保证xp系统下的用户数据也顺利移动到win7中，这个就是SCCM的更新部署和用户状态迁移功能 同时，一些进阶性的高级功能，比如把操作系统做成一个任务序列，放在自助门户上，用户选择操作系统就会开始安装，还可以在SCCM服务器上添加回退状态点的功能，防止部署失败。2.4 SCCM 病毒防护 补丁更新 在最新的SCCM2012R2中也集成了Endpoint Protection的功能 Endpoint Protection是一款客户端防病毒软件，能够帮助PC抵御恶意软件，例如病毒、间谍软件和其它可能对计算机有害的软件。提供三种方式来提高计算机的安全性：实时保护、扫描选项、检测。 Endpoint Protection需要经常性的定义更新其病毒库、杀毒引擎和信息库，以保证提供最佳的安全性，而定义更新是通过软件更新点SUP来实现的。 通过SCCM中的添加Endpoint Protection功能点后，即可针对于SCCM客户端去进行SCEP客户端的推送在客户端打开后界面如下，通过SCEP，就可以定期去扫描客户端的健康状态，查看客户端是否安装间谍软件，是否中病毒，等等。如果发现客户端不正常，SCEP会帮助客户端进行防御，同时发送警报通知管理员 补丁更新，没什么好说的，不论是企业，校园，还是政府，都需要定期更新操作系统的补丁，如果补丁不进行更新的话，操作系统就会很容易遭受到攻击。 所以SCCM中也集成了补丁更新的功能，在进行实施操作的时候，需要在SCCM服务器上安装一个WSUS组件，安装好了这个组件之后，针对于补丁的管理操作，都是在SCCM控制台中进行，相比较于简单的WSUS更新，在SCCM中则是可以进行更加详细的补丁策略控制，比如，要下载什么类型，什么时间，什么产品的补丁，还可以将多个补丁打包成组，然后进行批量的补丁部署，还可以设定，软件更新自动部署规则，如果满足指定条件的补丁，就不需要管理员审批，自动安装补丁，同时SCCM里面针对于补丁更新最大的优点，就是SCCM可以评估出来，那些客户端，适用于那些更新，将适用于客户端的更新推送下去，不适用于客户端的更新就不为客户端推送。2.5 SCCM 符合性基线在SCCM中还有一个鲜为人知的功能，这个功能在国内也许用的并不是很多，但也是一个比较有用的功能。在SCCM2012R2里面集成了符合性基线的功能，这个功能之前要通过SCM等产品才能实现，现在已经内置在了SCCM中在SCCM里面，管理员可以定义一个基线，基线就是管理员定义的一个标准，通过基线去评估客户端的状态，如果如果符合基线，就是健康的，不符合基线状态就是不健康的。比如说，管理员可以定义一个文件系统的基线，定义所以客户端的硬盘中，如果都存在一份“员工入门守则”，那么就是健康的，如果有客户端电脑里没有这份文档，那么就是不健康的。如果不健康，管理员可以定义是否要进行修复不健康的客户端， 如果选择修复，SCCM就会自动从一台健康的客户端上复制这个文件到不健康的客户端。SCCM的符合性基线不光可以针对于文件系统来进行定义基线，还支持针对于注册表，数据库，网络设置，防火墙设置，等等，来定义基线。去评估客户端的运行状态，在服务器端可以定期输出客户端基线状态的报表，也可以去自动修复不健康的客户端。2.6 SCCM 资产收集通过SCCM的资产收集功能， 可以帮助企业收集IT资产，包括详细的硬件资产，带外设备资产， 以及软件资产，SCOM都可以收集上来，然后通过漂亮的报表进行展示，在SCCM的资产收集报表中， 还包括客户端机器中安装的那些软件，以及企业IT软件资产的计量功能。如果企业需要进行IT资产的检阅，只需要快速生成一张SCCM报表就可以了。例如：生成特定计算机的磁盘信息-分区报表2.7 SCCM 远程协助 企业内的IT管理员可能经常需要进行客户端的维护工作，比如XX办公室的电脑坏了，请你去现场修复一下，XX员工的office坏了，要你去配置一下，等等，很多时候，IT管理员都需要充当救火队员的角色，到处去跑，有了SCCM之后，管理员只需要坐在服务器端，将SCCM代理推送下去，就可以在服务器端，对环境里面的客户端执行远程管理。 在SCCM中，集成了远程协助的功能，SCCM里面的远程协助也可以选择级别，可以选择只是查看客户端的界面，或者是远程操控计算机的界面，也可以选择，是否让用户同意管理员的连接请求，用户同意管理员远程连接过去，管理员才能连接，或者也可以不提示用户，管理员强制的链接到远程客户端。同事，使用SCCM进行远程管理的时候，还会强制把客户端的防火墙开启远程端口，即使客户端的防火墙是关闭的，SCCM也可以强行连接过去2.8 SCCM 其它功能除了以上这些SCCM的典型应用，SCCM还具备一些其它的功能，比如说带外管理：SCCM可以对支持Intel主动管理技术(Intel AMT的设备进行带外的管理，比如，可以审计带外设备的操作历史，带外管理还允许管理员在计算机关闭、处于睡眠或休眠模式或通过操作系统无响应的其他情况下连接到计算机的管理控制器。对比起来，带内管理是 Configuration Manager 及其前置任务使用的标准方法，使用带内管理时，在被管理计算机上，代理在完整操作系统中运行，管理控制器通过与管理代理通信完成任务。带外管理是对带内管理的补充。虽然带内管理支持更多的操作，这是因为它的环境是完整的操作系统，但是如果操作系统不存在或不可操作，带内管理可能不起作用。在这些情况下，使用带外管理的补充功能，管理员可以管理这些计算机，而不需要本地访问计算机。带外管理任务包括： 打开一台或多台计算机的电源（例如，在工作时间以外对计算机进行维护）。 关闭一台或多台计算机的电源（例如，操作系统停止响应）。 重新启动未正常运行的计算机，或从本地连接的设备或已知正常的启动映像文件来启动计算机。 通过从位于网络上的启动映像文件启动或使用 PXE 服务器来重新镜像计算机。 重新配置选定计算机上的 BIOS 设置，绕过 BIOS 密码（如果 BIOS 制造商支持）。 启动到基于命令的操作系统，以运行命令、修复实用程序或诊断应用程序（例如，升级固件或运行磁盘修复实用程序）。 配置计划的软件更新部署和播发以在运行前先唤醒计算机。n 电源管理: 在Configuration Manager许多组织都有监控并降低他们的计算机的电源消耗需求。Configuration Manager中的电源管理将相关和一致的设置应用于组织中的计算机的 Windows 中内置的电源管理功能的利用。管理员可以在工作时间和非业务时间期间适用于计算机不同的电源设置。例如，管理员可能希望在非业务时间内计算机应用限制性更强的电源计划。其中计算机必须始终处于打开的情况下，管理员可以防止电源管理设置的应用。电源管理，在Configuration Manager包含多个报表，来帮助管理员分析电源消耗和计算机电源设置，管理员的组织中。管理员可以使用报表来帮助管理员解决使用电源管理问题n NAP集成SCCM：NAP是微软在Windows Server 2008时引进的功能，叫做网络访问保护，主要可以通过NAP为DHCP客户端，VPN客户端去评估健康状态，比如去评估客户端的防火墙是否开启，补丁是否安装，如果防火墙开启就是健康的，就为其分配IP地址，如果防火墙关闭就是不健康的，就给不健康的客户端放在受限制的区域中，或者不给予分配IP地址，等到修复成健康状态后，就允许上网。网络访问保护主要是实现健康状态验证，健康状态符合性，网络访问限制等功能，当配置SCCM与NAP集成后，SCCM即可获得NAP的功能。n 委派权限：在SCCM中，可以进行详细的权限委派设置，比如说A管理员只负责推送操作系统，B管理员只负责推送软件，C管理员只负责人事部门的IT管理等等， 在SCCM中支持使用基于角色的安全访问控制。从而实现委派管理，安全性控制。2.9 使用SCCM带来的好处 企业在没有使用SCCM之前，很多IT工作，都需要管理员去客户现场执行操作，而且大部分还是重复性的工作。使用了SCCM之后，管理员只需要在SCCM服务器上，就可以为环境里面的客户端，执行大规模的，灵活的，高效的系统分发，软件分发，补丁分发，远程管理，符合性基线，NAP集成等终端标准化的工作 如果企业需要进行资产统计，只需要在SCCM中，输出一下报表，就可以完成工作了，简化了以前管理员需要手动录入的过程。 从而最终实现，通过SCCM简化企业IT管理任务，实现自动化，标准化，可控制的IT日常管理，提高企业IT的生产力，减轻管理员负担，提高用户满意度。3. 总结通过AD域，可以帮助企业构建统一身份验证的平台，统一资源发布平台，统一的策略控制平台，实现企业的集中化管理。有了AD之后，企业就可以在AD基础上技术扩展邮件平台、OA平台、管理平台。通过SCCM，可以帮助企业更好的去管理IT，让IT管理员从繁杂重复性的IT管理工作中解放出来，按照企业的需求，灵活的去进行终端管理。企业有了AD域和SCCM之后，就具备了集中化管理与桌面管理的能力，企业就可以依托AD和SCCM这两个平台，来更好的配合实施企业的IT管理战略，让IT运转更加高效。专心-专注-专业