服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Windows Server 2008迁移 – 我错过了什么?
Intereting Posts
连接到第三方VPN服务器,但不使用它作为默认路由? 如何在使用LaunchConfig时在CloudFormation模板中获取实例的公有IP Drupal使用IIRF具有不同的子文件夹和根网站,在IIS6上清理URL Sharepoint恢复 .htaccessredirect所有子目录和文件 为AWS复制(打印)MFA令牌 请求跟踪4.2.9&请求跟踪4.2.10 带有两个失败设备的RAID 5 如何设置单独的日志文件,在nginx中logging400个错误的请求错误 Mac上的rsync –iconv选项不起作用(从远程Linux服务器同步到本地Mac) 编辑HA群集configurationcib.xml 脚本目录服务没有密码 Jenkins Active Directory需要更安全的身份validation方法 Linode私人IP 连接两个16端口千兆交换机

Windows Server 2008迁移 – 我错过了什么?

我在迁移过程中遇到了一些麻烦。 我的主要angular色是15年的Linux / Sunpipe理员,所以Windows Server 2008环境对我来说有点新意,但是可以理解。

这是我们的情况和迁移的原因…

我们有一组开发人员在Visual C中用一些内联汇编程序开发非常低级的软件。 所有的工作站都是相互独立的,这些问题引起了开发库,版本等的一致性问题。

我们的目标是把他们都扔到Windows域,我们可以控制工作站的安装,修补程序(这可能会导致巨大的问题),软件版本等…所有开发工作站运行Windows XP x32(sp3)和x64( sp2)我遇到了用户权限问题,我在想,也许我在部署期间错过了一个,两个或几个东西。

这是我目前所做的:

  1. 安装并激活Windows Server 2008
  2. 添加了DNS和Active Directory的angular色
  3. 使用WINS为NetBIOS名称使用configurationDNS
  4. 将开发人员添加到AD,并将其共享文件夹映射到其configuration文件
  5. 添加了IIS7的angular色并configuration了开发者SVN
  6. 安装了MySQL企业版以供开发使用

对组策略没有深入的了解,我还没有深入研究这个领域。

我遇到的问题:1.当我configuration任何XP工作站来login我们的域时,一旦用户使用他们的新的ADlogin,一切都会顺利,除非他们有非常严格的权限。 (例如:如果用户打开任何现有的文件,他们没有写权限,除了在他们的文件夹中。)由于这些家伙正在低系统级别的事件,他们需要读/写所有文件。 所有我想要限制在软件安装。

  1. 我是否正确地假设我可以使用WSUS来维护域的热修复和更新推送到工作站?

  2. 我需要在用户login时映射一个集中的共享开发驱动器。 这对所有人开放。 现在我有通过他们的ADconfiguration文件login时映射的用户文件夹。 但是,如果我已经在AD的个人资料中定义了一个共享,我该如何映射一个共享呢?

任何回应将非常感激。

  1. 我必须为域用户configuration和定义组策略吗?

  2. 我可以使用卷镜像在两台独立的服务器上镜像/同步两个驱动器,还是应该编写一个rsync或MS Synctool脚本? 驱动器只存储每晚的系统映像。

我没有看到你所做的设置域的任何错误。 看起来你只需要一个相当基本的设置,这就是你现在正在运行的。

首先你与开发者的问题:

他们有非常有限的访问行为是AD按devise工作。 默认情况下,当您join域时,本地计算机组会发生以下情况:

  • AD域和企业pipe理员组添加到本地pipe理员组
  • AD域用户添加到本地用户组

因此,您的所有用户都(正确)位于“域用户”组中,只有正常的用户级别访问工作站。

至于解决scheme。 这有点困难,尤其是在处理Windows系统的低级访问时,可能取决于何时出现问题。 他们是否试图运行程序? 他们是否在开发过程中尝试访问驱动器上的某些文件?

我可以想到几个可能的解决scheme:

  • 使它们成为本地计算机上“高级用户”组的一部分。 这将使他们有一个更高的访问级别,而不是完全的pipe理员
  • 使用进程资源pipe理器找出他们正在挂起什么文件/目录,并授予他们只有这些项目的权限
  • 安装VMWare工作站,并给他们一个基本的形象,他们可以做一个副本,然后摆脱副本完成后,他们总是工作在相同的基本形象(尴尬,可能不太可行,但我不记得如果VMWare工作站让你做快照)

现在到你的问题。 我会让他们有点失序,主要是因为他们3或4的答案是学习使用和爱集团的政策。 恕我直言,组策略是在Windowsnetworking中杀手级应用程序。 我不打算深入研究如何在团体政策中设置这些东西,因为这个问题有点深远,但是请在这个网站上search一下,然后提出问题,那里有很多聪明人和好人这里的团队政策信息。

就WSUS而言,它将允许您在每个方面configurationWSUS如何将更新传递到机器。 修补程序的实际授权是通过WSUS界面完成的。

对于驱动器映射,我个人偏好是不使用AD用户对象中的设置。 正如你已经发现它非常不灵活。 你可以通过组策略来做以下两件事之一:

  • 设置一个batch file,将映射的所有用户驱动器映射到\\<domain>\NETLOGON\<script_name>并将其作为组策略中的login脚本进行分配。
  • 使用GPO中的托pipe首选项(我道歉,我忘记了我头顶的确切名称)用户策略来设置映射的驱动器

随着你的系统映像,我会继续使用rsync,如果你对它的舒适DeltaCopy是一个Windows端口,是多一点的Windows友好。 我会远离同步玩具,因为我发现它在大型副本上很慢。 如果你想要另一个选项,你可以使用robocopy或richcopy,并编写一个计划任务来每天晚上复制文件。

好吧,我只是在我看到他们的时候去处理事情。 首先是为所有开发人员添加一个组,显然把它们全部放在里面。 然后在本地机器上将该组添加到适当的本地组。 我的意思是 – 如果您希望他们成为pipe理员,可以将您在AD中创build的开发人员组添加到本地pipe理员组(或高级用户,或任何您想要的地方)。 如果你想进一步深入了解他们做什么/没有控制权,你必须使用组策略。

假设您可以使用WSUS来维护所有修补程序并使用它来将它们压低 – 是正确的,但是您需要设置策略以便本地机器应用更新等。

你能解释一下集中式共享开发驱动推理吗? 他们都是从同一个目录开发的吗? 你可以用login脚本完成第二个共享 – 但是我会强烈build议使用源代码控制,并让它们在本地开发,如颠覆。

至于你的卷镜像,你可以检查到DFS(分布式文件系统),以同步这两个驱动器,只要这两台机器是Windows服务器。

我确定我已经错过了一些东西,但这些只是乍一看。

你正好在正确的轨道上。

为了完成大部分您想要做的事情,您需要了解组策略。 他们会让你做任何事情。

首先,在您的Active Directory中创build一个组织单元(OU),以便将所有这些pipe理员转储到中.GPO通常应用于OU,因此这意味着OU之外的每个人都无法获得所有设置。

其次,你需要为该OU设置一个GPO。 GPO将允许您:

  • 指定要使用的WSUS服务器(用于强制更新)
  • 映射networking驱动器以及其configuration文件中指定的networking驱动器
  • 允许或限制对本地系统的访问权限
  • 允许或限制访问安装软件
  • 甚至强制安装某些软件(以及其他适当configuration的服务)

如果要在两台独立的服务器上同步两个驱动器,并且它们都运行Windows Server,请调查分布式文件系统(DFS)。 它将保持两个服务器上的指定文件夹保持最新状态,提供单一访问点,并且将根据两台(或多台)服务器之间的configuration方式进行故障转移或负载平衡。

对于您的开发人员,您可能会发现让他们的计算机的pipe理员(或超级用户)是合理的。 您可以使用GPO覆盖“pipe理员”或“超级用户”或“XXXX组”的“受限制的组”。

  1. 在AD中创build一个安全组
  2. 将开发人员添加到此安全组
  3. 在开发人员使用的计算机上应用GPO,以便在“受限制的组”下使用“pipe理员”

pipe理员

YOURDOMAIN \企业pipe理员

YOURDOMAIN \域pipe理员

YOURDOMAIN \ Developer安全组