AD域中如何布置软件自动分发

AD域服务器实现软件安装部署
一、发布应用程序建立安装WINDOWS安装程序包的文件夹 1、请在任何一台服务器上内建立一个文件夹，例如：Ｃ:\packages，这个文件夹是要用来存储应用程序的。

２、将此文件夹设置为共享，并给一个共享名。

因为网络上的用户必须ＵＮＣ路径来访问，所以要设置共
一、发布应用程序
４、“
——
５、“
\共享文件夹。

安装被发布的应用程序
１、利用域用户或组织单位用户来登录
２、开始——设置——控制面板——“添加／删除程序”。

精心整理
３、添加新程序——从网络添加程序（就会显示出已经发布的应用程序）。

４、选择要安装的应用程序——单击“添加”——就会安装此应用程序。

测试自动修复应用程序功能
１、请找到应用程序的安装位置。

２、删除此应用程序的安装文件夹。

——软1
2
3、设置当安装此应用程序时，是否出现完整的安装界面，或者只显示部分的界面。

在被部署应用程序上单击鼠标右键——属性——部署。

4、将应用程序升级：在被部署的应用程序单击鼠标右键——属性——升级——添加
精心整理
精心整理。

软件分发功能简易说明网络服务端五大功能区控制及软件功能切换区被控机管理员密码输入及被控机启动盘选择区功能控制菜单区主窗口状态栏控制及软件功能切换区1.群组：用来选择需要控制的群组，最多可以控制80个群组。

2.电脑：用来选择群组中需要控制的计算机，一个网络服务端程序最多可以控制一个群组中的80 台计算机。

3.电脑列表：列出所有收集到的安装Max-User 计算机相关信息及状态；包括“群组”、“计算机名称”、“IP 地址”、“系统”、“模式”、“属性”和“网卡地址”。

4.档案传输：列出正在进行文件传输的计算机及状态。

5.网络唤醒排程：设定（新增、删除、修改）控制排程和设定（新增、删除、修改）触发事件，主要用于在保护系统的系统保护。

6.帮助：提供电子版本的帮助文件。

7.关于：公司服务电话及Email。

8.离开：退出MaxControl控制软件操作界面。

输入被控端管理员密码输入及选择被控机启动盘1.输入被控端管理员密码：需要输入正确的密码才能对安装MaxUser的计算机进行控制，该密码与硬盘保护系统的密码一致。

2.选择被控机启动盘：此处显示的操作系统为当前用户使用的操作系统的名称，同时可以通过选择不同的操作系统的名称配合功能控制菜单区中的功能选项进入不同的操作系统。

功能控制菜单1.收集ID:收集被控计算机ID，用于读取安装网络客户端程序的计算机状态，同时在主窗口界面中显示出来，用户可以根据主窗口的显示对该计算机进行相关的操作。

若被控机处于硬盘保护启动菜单状态下，请选择按保护系统信息收集；若被控机已经进入Windows 操作系统状态下，请选择按操作系统信息收集。

2.网络唤醒：将所选择的被控计算机通过网络唤醒。

需要将CMOS中的关于网络唤醒的选项打开，并确认被控计算机前次关机是从Windows 状态下进行正常关机的。

如遇以下情况被控机也将无法唤醒：公用电网停电、正常关机后单机切断电源或机房统一切断电源。

3. 重启：命令所选择的被控计算机进行重新启动的操作。

如何在域管理环境中进行软件的推送安装1,要把你准备分发的软件制作成.msi软件安装包.在Windows2000安装光盘运行x:\Valueadd\3rdparty\Mgmt\Winstle\Swiadmle.msi安装制作.msi软件包所需要的工具VERITAS discover.运行"VERITAS discover"就可以开始制作.msi软件包了,制作.msi文件的基本原理就是,在给系统安装一个软件之前,先给系统的磁盘拍个"快照",记录下来当前存在的文件.然后将需要制作成.msi软件包的软件安装到系统中,然后再给系统的磁盘拍个"快照".Discover软件会自动对比两次"快照",找出两次"快照"的不同,生成一个.msi文件.2,在服务器上创建一个共享文件夹,建议设置成只读属性,并且保证所有用户都可以访问它.然后把你制作好的.msi软件包放到这个共享目录中.3,进行组策略设置进行软件的分发.登陆域控制器打开"组策略编辑器",在"用户配置"或者"计算机配置"里面选择"软件设置",添加你要分发的软件,可以选择"指派"或者"发布".这样,当客户机下次登陆的时候,就会自动运行安装你所要分发的软件或者发布到目标机由用户选择安装.发布和指派的区别:发布是指可以将一个程序分发发布给用户.当用户登录到计算机上时,发布的程序就显示在添加/删除程序对话框中,并且可以从这里安装.指派是指可以将程序分发指派到用户或计算机.如果将程序指派给一个用户,在该用户登录到计算机时就会自动安装此程序.在该用户第一次运行此程序时,安装过程最终完成.如果将程序指派给一台计算机,在计算机启动时就会安装此程序,所有登录到该计算机上的用户都可以使用它.在某一用户第一次运行此程序时,安装过程最终完成.域环境下的软件发布和指派标签：生活2010-11-06 01:18 星期六软件的发布和指派在域环境下，可以将为用户和计算机分配各种软件，那么在用户登录的时候可以自行添加和删除软件{在控制面板中---添加删除程序}，这种方式称之为软件的发布；它是只针对用户生效。

（某）有限公司活动目录（域控管理）解决方案XXXXXX有限公司2013年5月目录1概述 (3)1.1背景介绍 (3)1.2现状描述 (3)1.3问题分析 (3)2总体功能需求 (4)2.1集中的组织与管理网络内的服务器及客户端 (4)2.2 统一的数据组织与资源管理 (4)2.3 单一登录的网络环境 (4)2.4 集中化的软件部署与运行限制 (5)2.5 功能强大并易于扩展的IT基础架构 (5)3解决方案建议 (5)3.1概念描述 (5)3.2建设内容 (7)3.2.1建立基础平台 (7)3.2.2整合现有信息技术环境 (7)3.3建设策略 (7)4解决方案实施 (8)4.1AD域命名和DNS的规划 (8)4.2确定AD逻辑结构 (8)4.3确定AD物理结构 (9)4.4规划OU结构和组策略 (10)4.5创建OU 以管理和委派 (11)4.6创建OU 支持组策略 (12)4.7应用组策略选项 (13)4.8硬件设备选型建议 (14)5解决方案优势 (14)5.1为什么选择微软 (14)5.2Windows Server 2008 R2 活动目录的优点 (15)6服务内容 (17)6.1可行性调查 (17)6.2规划活动目录部署方案 (17)6.3部署活动目录服务 (18)6.4制订活动目录管理维护规范 (18)6.5工程师定时上门进行活动目录日常维护 (18)6.6处理活动目录紧急情况 (19)6.7整理和存档资料 (19)6.8培训系统管理员 (20)7服务质量保证 (20)8部分成功案例 (21)概述背景介绍本解决方案将从（某公司）的IT环境现状出发，分析现有环境，提出（某公司）关心的关键问题及未来的挑战，并根据相关问题详细阐述对应解决方案，帮助（某公司）快速解决问题，以信息技术提升企业生产力。

现状描述当前国内企业内部网络环境多数仍为松散的管理状态，IT环境中硬件设备伴随着组织中人员数量的增加每年都在增长，大力的信息化建设使硬件和应用软件单纯从技术层面上讲都达到了较高的水平，但实际环境中无论是工作用桌面计算机还是服务器都是采用工作组模型，各自独立。

AD域设置及其管理AD域（Active Directory Domain）是一种基于Windows Server的网络服务，用于在企业内部管理和组织用户、计算机和其他网络资源。

AD域提供了集中式身份验证、授权和资源访问的功能，使得网络管理员能够更加高效地管理企业内部的IT环境。

本文将对AD域的设置和管理进行详细介绍。

一、AD域的设置1.硬件和软件要求设置AD域之前，首先需要确保服务器硬件满足要求。

具体要求包括CPU、内存、硬盘空间等方面。

2. 安装Windows Server操作系统在服务器上安装Windows Server操作系统，并进行必要的配置。

安装完成后，系统会自动启动Server Manager。

3.创建域控制器利用Server Manager的角色和功能向导创建域控制器。

在角色和功能的安装向导中，选择“Active Directory域服务”作为要安装的角色。

4.设置域和域名在安装向导中，输入要创建的域和域名。

域名是一个唯一的标识符，用于识别网络中的计算机和用户。

5.设置域控制器选项在安装向导中，对域控制器进行必要的设置，如设置数据库和日志文件的位置、密码策略等。

6.完成安装向导根据安装向导的指导完成安装过程。

完成后，系统会自动重新启动。

二、AD域的管理AD域的管理包括用户管理、计算机管理、策略管理等多个方面。

以下是对几个重要管理操作的介绍。

1.用户管理AD域的用户管理功能非常强大，可以进行用户的创建、修改和删除等操作。

管理员可以根据需要设置用户的权限、密码策略等，并可以将用户分组进行更方便的管理。

2.计算机管理AD域允许管理员管理整个网络中的计算机。

管理员可以加入新的计算机到AD域中，也可以监控和管理已经加入AD域的计算机，包括配置计算机的安全策略、更新软件和操作系统等。

3.策略管理AD域提供了策略管理功能，管理员可以根据需要设置和配置不同的策略。

策略可以用于控制用户的权限、设置计算机的安全策略、禁用特定的功能等。

域组策略批量分发软件（MSI方式）组策略批量发布软件，整体分为两个大步骤进行：1、封装EXE安装程序为MSI程序，使用Advanced Install软件完成。

2、在域组策略设置，完成软件批量分发的功能。

一将EXE封装成为MSI1.1 安装Advanced Install封装软件，可参考如下网址下载（版本为6.6）：/detail/songwenze/26856031.2 在一台电脑上默认安装该软件（注：PC或者虚拟机均可，但需保证该系统和要分发软件的虚拟机的系统版本一致）。

1.3安装完毕后，就开发封装软件，封装过程过程如下：1.3.1打开程序1.3.2打开菜单》新建工程》重新包装安装1.3.3开始程序安装前的系统快照1.3.4开始安装程序直到程序安装完成1.3.5开始程序安装后的系统快照进行比较1.3.6比较完成，开始导入到一个新的工程1.3.7点击“完成”，Advanced Installer 再次打开点击左侧列表进行你要生成的msi程序的修改，如安装参数，产品名称和公司名称最好填英文的，中文好像在软件一些地方不正常显示。

勾选“限定为基本用户界面…”可以使软件在域发布时不显示安装界面。

左侧列表其他的如“用户界面”>“翻译”可以选择软件的安装语言，包含多种方式选择。

1.3.8完成你需要的设置后，点击菜单栏的工程“构建”，就可以生成MSI程序，到域发布了。

二到域中组策略发布应用程序2.1 将MSI软件共享将刚刚打包好的MSI软件存放到一台服务器的文件夹下，并将这个文件夹共享，并记录他的UNC路径。

在这里，我们就假设该文件夹UNC路径为\\192.168.0.10\Install，后面我们会参考该路径。

2.2 设置组策略以域管理员账号登录到域控制器主机上。

点击开始-〉管理工具-〉组策略，进入到组策略编辑器。

找到LenovoVCCTaskUserGPO，点击鼠标右键，点编辑。

在“组策略编辑器”窗口，选择“User Configuration—Software Settings—Software installation”，在右面板上，点右键，选择New—Package，如下图：在“Open”对话框中，输入软件所在的位置，注意：这里的路径必须使用\\server\folder\setup.msi的方式，不能使用C:\path\setup.msi的方式，否则，安装的时候会找不到路径。

Active Directory配置详解一为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录…，很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Director y系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器F lorence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

基于域控制器的软件部署软件部署是指将公司所拥有的软件资源，集中由系统管理员决定以何种方式，分配给哪些用户或计算机，软件部署有三种方式：（1）发布给用户：当某个软件发布给用户以后，如果下一次用户以任何一台计算机登录域，那么该软件都会出现在控制面板的添加或删除程序中，供其下载安装.（2）指派给用户：是比发布更具有强制性的部署方式，当软件被指派给用户时，如果下次用户从任一台计算机登录域时，那么会在开始/所有程序菜单或桌面看到该软件的快捷方式，同时计算机的注册表数据库也会登记该项软件的相关信息，用户只要执行该应用程序或者打开了该软件的关联文件，计算机会立即自动下载、完整安装。

虽然用户可以不使用指派的软件，但是无法阻止该软件的快捷方式出现在桌面或开始菜单中。

（3）指派给计算机：当系统管理员将软件指派给计算机后，计算机会在下一次启动时，自动将其下载安装，而这些计算机所有用户，都可以执行该软件。

除了拥有本机系统管理员同等权限的用户之外，其它人都不允许删除该软件，不过，用户依然可以利用控制面板的添加或删除程序，修复或重新安装受损的应用程序。

下面以部署信安之星内网管理客户端为例，介绍基于域控制器的软件部署。

案例场景说明：（1）域控制器·操作系统：windows server 2003·IP：192.168.2.153·域名：·先决条件：已经配置好DNS、域控制器（活动目录）（2）域客户端·操作系统：windows xp sp3·IP：192.168.2.139·域登录账号：guozhihui·先决条件：已经加入到域（3）软件安装包·必须封装为特定格式，即MSI格式。

软件部署主要包括四个步骤：1、建立软件分发点；2、设置软件分发策略；3、发布软件；4、客户端安装。

下面介绍软件部署步骤一、建立软件分发点第一步：在域控制器上新建一个文件夹，命名为test，这就是存放软件安装包的软件分发点。

AD域控及组策略管理目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。

1、工作组与域的区别...................... 错误!未指定书签。

2、公司采用域管理的好处.................. 错误!未指定书签。

3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。

二、AD域控（DC）基本操作 .............. 错误!未指定书签。

1、登陆AD域控........................... 错误!未指定书签。

2、新建组织单位（OU）.................... 错误!未指定书签。

3、新建用户.............................. 错误!未指定书签。

4、调整用户.............................. 错误!未指定书签。

5、调整计算机............................ 错误!未指定书签。

三、AD域控常用命令.................... 错误!未指定书签。

1、创建组织单位：(dsadd)................. 错误!未指定书签。

2、创建域用户帐户(dsadd)................. 错误!未指定书签。

3、创建计算机帐户(dsadd)................. 错误!未指定书签。

4、创建联系人(dsadd)..................... 错误!未指定书签。

5、修改活动目录对象（dsmod）............. 错误!未指定书签。

6、其他命令（dsquery、dsmove、dsrm）..... 错误!未指定书签。

四、组策略管理......................... 错误!未指定书签。

1、打开组策略管理器...................... 错误!未指定书签。

软件设置打开组策略软件安装打开组策略软件安装1.打开“组策略管理控制台”。

右键单击要编辑的组策略对象，然后单击“编辑”。

2.若要将软件应用程序指派给计算机，请在控制台树中展开“计算机配置\策略”。

若要向用户指派或发布软件应用程序，请在控制台树中展开“用户配置\策略”。

3.展开“软件设置”，然后单击“软件安装”。

其他注意事项要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

设置组策略软件安装的默认值若要将软件安装程序包添加到用户设置，可以发布或指派程序包。

选定站点、域和组织单位的用户使用控制面板中的“添加/删除程序”或使用文件激活可以安装已发布的程序包。

选定站点、域或组织单位中的用户在下次登录时（指派给用户）或计算机重新启动时（指派给计算机）将收到已指派的程序包。

设置组策略软件安装的默认值1.打开“组策略软件安装”。

（在控制台树中，右键单击“软件安装”。

）2.单击“属性”，然后在“常规”选项卡上指定下列选项：o在“默认程序包位置”中，指定默认的软件分发点。

o在“新增数据包”中，指定将新数据包添加到用户设置中的方法。

默认情况下，数据包可以被发布或指派。

（对于计算机，只能指派。

）如果要对每个数据包都选择这些选项，请单击“显示部署软件”对话框。

若要分别对各个数据包进行更多的控制，请单击“高级”。

o根据希望安装过程对用户所显示的外观，单击“安装用户界面选项”中的“基本”或“最大”。

其他注意事项∙要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

ad域常用操作
AD(Active Directory)域（Active Directory Domain）是一种集
中式网络管理和身份认证的解决方案，常用于Windows服务
器操作系统。

以下是AD域的常用操作：
1. 创建域：使用AD域控制器向导创建新的域。

2. 创建组织单位（OU）：将域内的用户、计算机和其他对象
分组管理。

3. 创建用户和组：在AD域中创建和管理用户和组对象，以便进行身份验证和授权。

4. 设置密码策略：定义密码的复杂性要求和过期策略，以增加网络安全性。

5. 分配权限和访问控制：通过组策略管理工具为用户和组分配权限，控制他们对网络资源的访问。

6. 启用审计日志：启用AD域的审计功能，以便记录和追踪用户和组的活动。

7. 建立信任关系：与其他域或外部身份验证系统建立信任关系，以实现跨域认证和资源共享。

8. 进行备份和恢复：定期备份和恢复AD域的数据，以防止数据丢失或意外损坏。

9. 更新和维护：定期更新AD域控制器和相关组件，以确保系统的安全性和性能。

10. 监控和故障排除：使用AD域监控工具监视域的运行状态，并及时解决出现的故障和问题。

这些是AD域的常见操作，用于管理和维护域内的用户、计算机和安全设置。

创建OU委派权限OU就是组织单位，能把用户、组、计算机和其他组织单位放入其中的活动目录容器，OU 在域控制器(DC)上创建，控制权限仅次于域OU和组账户都是活动目录对象，都是基于管理的目的创建OU中可以有用户账户、组账户、计算机、打印机、共享文夹及子OU等对象OU是活动目录中最小的管理单元OU是活动目录和企业中最重要的组件之一，它是活动目录和企业的实际环境联系的纽带1创建OU创建OU步骤以系统管理员身份登录域控制器，在开始菜单中依次单击“管理工具”→“Active Directory 用户和计算机”菜单项，打开“Active Directory用户和计算机”窗口。

在左窗格中用鼠标右键单击域名，并在弹出的快捷菜单中依次选择“新建”→“组织单位”命令2添加用户到OU中3给OU中的用户赋予权限4委派高级权限将用户添加入OU中然后。

然后选取一个用户委派权限管理OU中的成员/article/627.html分发软件包为Active Directory域中的计算机或用户安装各种应用软件是网络管理员的日常工作之一，而通过编辑组策略在Active Directory域中进行“软件部署”是迅速完成任务的理想方式。

在Active Directory域中实现软件部署主要取决于三个方面：Windows Installer、组策略和安装文件本身，并且既可以为域用户部署软件，也可以为域成员计算机部署软件。

MSI（Microsoft Software Installer，微软软件安装器）文件是Windows Installer能够部署的仅有的两种文件类型之一，Windows Installer是Microsoft企业制定的一种安装文件标准，采用这种标准的安装文件会采取一种所有组件彼此独立的方式进行打包。

用户可以对这种安装文件进行检查、精简，并可以决定将其安装在本地或是不安装。

1以系统管理员身份登录域控制器，打开“Active Directory 用户和计算机”窗口。

AD域中如‎何布置软件‎自动分发本篇文章介‎绍了如何使‎用组策略自‎动将程序分‎发到客户端‎计算机或用‎户。

您可以通过‎以下方法使‎用组策略分‎发计算机程‎序：分配软件您可以将程‎序分发分配‎到用户或计‎算机。

如果将程序‎分配给一个‎用户，在该用户登‎录到计算机‎时就会安装‎此程序。

在该用户第‎一次运行此‎程序时，安装过程最‎终完成。

如果将程序‎分配给一台‎计算机，在计算机启‎动时就会安‎装此程序，所有登录到‎该计算机上‎的用户都可‎以使用它。

在某一用户‎第一次运行‎此程序时，安装过程最‎终完成。

发布软件您可以将一‎个程序分发‎发布给用户‎。

当用户登录‎到计算机上‎时，发布的程序‎会显示在“添加或删除‎程序”对话框中，并且可以从‎这里安装。

注意：Windo‎w s Serve‎r 2003 组策略自动‎程序安装要‎求客户端计‎算机运行 Micro‎s oft Windo‎w s 2000 或更高版本‎。

创建分发点‎要发布或分‎配计算机程‎序，必须在发布‎服务器上创‎建一个分发‎点： 1. 以管理员身‎份登录到服‎务器计算机‎。

2. 创建一个共‎享网络文件‎夹，将您要分发‎的 Micro‎s oft Windo‎w s 安装程序包‎（.msi 文件）放入此文件‎夹。

3. 对该共享设‎置权限以允‎许访问此分‎发程序包。

4. 将该程序包‎复制或安装‎到分发点。

例如，要分发 Micro‎s oft Offic‎e XP，请运行管理‎员安装(setup‎.exe /a) 以将文件复‎制到分发点‎。

创建组策略‎对象要创建一个‎用以分发软‎件程序包的‎组策略对象‎(GPO)，请执行以下‎操作： 1. 启动“Activ‎e Direc‎t ory 用户和计算‎机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Activ‎e Direc‎t ory 用户和计算‎机”。

2. 在控制台树‎中，右键单击您‎的域，然后单击“属性”。

2016新编AD域控规划方案活动目录AD规划方案1.1. 活动目录介绍活动目录是Windows网络体系结构中一个基本且不可分割的部分，它为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。

活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。

另外，目录服务在网络安全方面也扮演着中心授权机构的角色，从而使操作系统可以轻松地验证用户身份并控制其对网络资源的访问。

同等重要的是，活动目录还担当着系统集成和巩固管理任务的集合点。

活动目录提供了对基于Windows的用户账号、客户、服务器和应用程序进行管理的唯一点。

同时，它也帮助组织机构通过使用基于Windows的应用程序和与Windows相兼容的设备对非Windows系统进行集成，从而实现巩固目录服务并简化对整个网络操作系统的管理。

公司也可以使用活动目录服务安全地将网络系统扩展到Internet上。

活动目录因此使现有网络投资升值，同时，降低为使Windows网络操作系统更易于管理、更安全、更易于交互所需的全部费用。

活动目录是微软各种应用软件运行的必要和基础的条件。

下图表示出活动目录成为各种应用软件的中心。

1.2. 应用Windows 2012 Server AD的好处Windows 2012 AD简化了管理，加强了安全性，扩展了互操作性。

它为用户、组、安全服务及网络资源的管理提供了一种集中化的方法。

应用Windows 2012 AD之后，企业信息化建设者和网络管理员可以从中获得如下好处: 1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。

4、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

Symantec¹Ù·½ÔÚADÓò»·¾³Ê¹ÓÃ×é²ßÂÔ·Ö·¢SAV10.1¿Í»§¶ËQuestion/Issue:This document describes how to install Symantec AntiVirus 10.x by using a Active Directory Group Policy Object in Windows 2003/2000.Symptoms:Installing Symantec AntiVirus 10.x using a Group Policy Object (GPO) installation This document describes how to install Symantec AntiVirus 10.x by using a Active Directory Group Policy Object in Windows 2003/2000.Solution:--------------------------------------------------------------------------------Before you begin:This procedure works only with Symantec AntiVirus installations or upgrades. It does not work with Symantec Client Security.Symantec AntiVirus cannot be added to a software installation Group Policy Object for Active Directory Deployment if the same version of Symantec AntiVirus is already installed.Confirm that your DNS server is set up correctly. The correct setup is very important because Active Directory relies heavily on your DNS server for computer communication. To test the setup, from a client computer that has joined the domain, try to ping the Windows 2003/2000 Active Directory computer, and then ping in the opposite direction. (Use the fully qualified domain name; the use of the computer name alone does not call for a new DNS lookup.) Use the following format:ping --------------------------------------------------------------------------------To install Symantec AntiVirus using a Windows 2003/2000 Active Directory Group Policy ObjectFrom a Windows 2003/2000 Active Directory computer, share the WIN32 folder from the Symantec AntiVirus server installation that is in the following location:\Program Files\SAV\Symantec AntiVirus\CLT-INST\WIN32If Symantec AntiVirus client is installed on the Windows server, copy the Win32 folder from a Symantec AntiVirus primary or secondary server to a location on the Windows 2003/2000 Active Directory computer, and then share the folder.On the Windows Taskbar, click Start > Programs > Administrative Tools > Active Directory Users and Computers.In the console tree, right-click the organizational unit to which you plan to deploy clients, and then click Properties.On the Group Policy tab, click New to create a specific policy. Type the following as the new policy name:Elevated Group PolicyClick Elevated Group Policy, and then click Edit.Under the Computer Configuration, expand Software Settings.Right-click Software installation, and then click New > Package.In the Open dialog box, type the Universal Naming Convention (UNC) path to the shared WIN32 folder that contains the MSI package.Do not browse to the location. Be sure that you use the UNC path to the shared folder, as in the following example:\\<server name>\WIN32\Symantec AntiVirus.msiClick the Symantec AntiVirus.msi file, and then click Open. Click Assigned, and then click OK.The package is listed in the right pane of the Group Policy window. Under Computer Configuration, expand Administrative Templates> Windows Components.Click Windows Installer.In the right pane, double-click Always install with elevated privileges.Check Enable.If the option is present, check Check to force setting on; uncheck to force setting off.Some organizational units may not show this option.Click Apply, and then click OK.Close the Group Policy window, and then click Close or OK.Close Active Directory Users and Computers.To apply the changes, on the Windows taskbar, click Start > Run. In the Open box, do one of the following:In Windows 2003, type the following text:gpupdate /forceIn Windows 2000, type the following text:secedit /refreshpolicy machine_policyClick OK.When the client computer starts, the Symantec AntiVirus client software package is installed before the logon. For Symantec AntiVirus client upgrades, the computer restarts after the installation./blog-htm-uid-35280.html Ô-Blog。