我在迁移过程中遇到了一些麻烦。 我的主要angular色是15年的Linux / Sunpipe理员,所以Windows Server 2008环境对我来说有点新意,但是可以理解。
这是我们的情况和迁移的原因…
我们有一组开发人员在Visual C中用一些内联汇编程序开发非常低级的软件。 所有的工作站都是相互独立的,这些问题引起了开发库,版本等的一致性问题。
我们的目标是把他们都扔到Windows域,我们可以控制工作站的安装,修补程序(这可能会导致巨大的问题),软件版本等…所有开发工作站运行Windows XP x32(sp3)和x64( sp2)我遇到了用户权限问题,我在想,也许我在部署期间错过了一个,两个或几个东西。
这是我目前所做的:
对组策略没有深入的了解,我还没有深入研究这个领域。
我遇到的问题:1.当我configuration任何XP工作站来login我们的域时,一旦用户使用他们的新的ADlogin,一切都会顺利,除非他们有非常严格的权限。 (例如:如果用户打开任何现有的文件,他们没有写权限,除了在他们的文件夹中。)由于这些家伙正在低系统级别的事件,他们需要读/写所有文件。 所有我想要限制在软件安装。
我是否正确地假设我可以使用WSUS来维护域的热修复和更新推送到工作站?
我需要在用户login时映射一个集中的共享开发驱动器。 这对所有人开放。 现在我有通过他们的ADconfiguration文件login时映射的用户文件夹。 但是,如果我已经在AD的个人资料中定义了一个共享,我该如何映射一个共享呢?
任何回应将非常感激。
我必须为域用户configuration和定义组策略吗?
我可以使用卷镜像在两台独立的服务器上镜像/同步两个驱动器,还是应该编写一个rsync或MS Synctool脚本? 驱动器只存储每晚的系统映像。
我没有看到你所做的设置域的任何错误。 看起来你只需要一个相当基本的设置,这就是你现在正在运行的。
首先你与开发者的问题:
他们有非常有限的访问行为是AD按devise工作。 默认情况下,当您join域时,本地计算机组会发生以下情况:
因此,您的所有用户都(正确)位于“域用户”组中,只有正常的用户级别访问工作站。
至于解决scheme。 这有点困难,尤其是在处理Windows系统的低级访问时,可能取决于何时出现问题。 他们是否试图运行程序? 他们是否在开发过程中尝试访问驱动器上的某些文件?
我可以想到几个可能的解决scheme:
现在到你的问题。 我会让他们有点失序,主要是因为他们3或4的答案是学习使用和爱集团的政策。 恕我直言,组策略是在Windowsnetworking中的杀手级应用程序。 我不打算深入研究如何在团体政策中设置这些东西,因为这个问题有点深远,但是请在这个网站上search一下,然后提出问题,那里有很多聪明人和好人这里的团队政策信息。
就WSUS而言,它将允许您在每个方面configurationWSUS如何将更新传递到机器。 修补程序的实际授权是通过WSUS界面完成的。
对于驱动器映射,我个人偏好是不使用AD用户对象中的设置。 正如你已经发现它非常不灵活。 你可以通过组策略来做以下两件事之一:
\\<domain>\NETLOGON\<script_name>
并将其作为组策略中的login脚本进行分配。 随着你的系统映像,我会继续使用rsync,如果你对它的舒适DeltaCopy是一个Windows端口,是多一点的Windows友好。 我会远离同步玩具,因为我发现它在大型副本上很慢。 如果你想要另一个选项,你可以使用robocopy或richcopy,并编写一个计划任务来每天晚上复制文件。
好吧,我只是在我看到他们的时候去处理事情。 首先是为所有开发人员添加一个组,显然把它们全部放在里面。 然后在本地机器上将该组添加到适当的本地组。 我的意思是 – 如果您希望他们成为pipe理员,可以将您在AD中创build的开发人员组添加到本地pipe理员组(或高级用户,或任何您想要的地方)。 如果你想进一步深入了解他们做什么/没有控制权,你必须使用组策略。
假设您可以使用WSUS来维护所有修补程序并使用它来将它们压低 – 是正确的,但是您需要设置策略以便本地机器应用更新等。
你能解释一下集中式共享开发驱动推理吗? 他们都是从同一个目录开发的吗? 你可以用login脚本完成第二个共享 – 但是我会强烈build议使用源代码控制,并让它们在本地开发,如颠覆。
至于你的卷镜像,你可以检查到DFS(分布式文件系统),以同步这两个驱动器,只要这两台机器是Windows服务器。
我确定我已经错过了一些东西,但这些只是乍一看。
你正好在正确的轨道上。
为了完成大部分您想要做的事情,您需要了解组策略。 他们会让你做任何事情。
首先,在您的Active Directory中创build一个组织单元(OU),以便将所有这些pipe理员转储到中.GPO通常应用于OU,因此这意味着OU之外的每个人都无法获得所有设置。
其次,你需要为该OU设置一个GPO。 GPO将允许您:
如果要在两台独立的服务器上同步两个驱动器,并且它们都运行Windows Server,请调查分布式文件系统(DFS)。 它将保持两个服务器上的指定文件夹保持最新状态,提供单一访问点,并且将根据两台(或多台)服务器之间的configuration方式进行故障转移或负载平衡。
对于您的开发人员,您可能会发现让他们的计算机的pipe理员(或超级用户)是合理的。 您可以使用GPO覆盖“pipe理员”或“超级用户”或“XXXX组”的“受限制的组”。
pipe理员
YOURDOMAIN \企业pipe理员
YOURDOMAIN \域pipe理员
YOURDOMAIN \ Developer安全组