公司电脑加入AD域有什么用?

AD域项目说明\r\n\r\n 一、权限管理集中、管理成本下降\r\n域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理。所有用户只要登入到域，在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低。防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障，降低维护成本。通过域管理可以有效的分发和指派软件、补丁等，实现网络内的一起安装，保证网络内软件的统一性。限制员工上网环境，禁止访问非工作以外的其他网站。\r\n 二、安全性能加强、权限更加分明\r\n 有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写，但另一个人就不可以读写；哪一个文件只让哪个人看；或者让某些人可以看,但不可以删/改/移等。可以封掉客户端的USB端口，防止公司机密资料的外泄。安全性完全与活动目录(Active\r\nDirectory) 集成。不仅可在目录中的每个对象上定义访问控制，而且还可在每个对者缺象的属性上定义。活动目录(Active\r\nDirectory)提供安全策略的存储和应用范围。安全策略可包含帐户信息：如域范围内的密码限制或对特定域资源的访问权；通过组策略设置下发并执行安全策略。\r\n 三、账户漫游和文件夹重定向\r\n 个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。当客户机故障时，只需使用其他客户机安装相应软件以用户帐号登录即可，用户会发现自己的文件仍然在“原来的位置”（比如，我的文档），没有丢失，从而可以更快地进行故障修复。在服务器离线时（故障或其他情况），“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作，并在注销或登录系统时与服务器上的文件同步，保证用户的工作不会被打断。\r\n 四、方便用户使用各种共享资源\r\n可由管理员指派登录脚本映射分布式文件系统根目录，统一管理。用户登录后就可以像使用本地盘符一样，使用网络上的资源，且不需再次输入密码，用户也只需记住一对用户名/密码即可。各种资源的访问、读取、修改权限均可设置，不同的账户可以有不同的访问权限。即使资源位置改变，用户也不需任何 *** 作，只需管理员修改链接指向并设置相关权限即可，用户甚至不会意识到资源位置的改变，不用像从前那样，必须记住哪些资源在哪台服务器上。\r\n 五、SMS系统管理服务（System Management Server）\r\n通过能够分发应用程序、系统补丁等，用户可以选择安装，也可以由系统管理员指派自动安装。并能集中管理系统补丁（如WindowsUpdates），不需每台客户端服务器都下载同样的补丁，从而节省大量网络带宽。\r\n六、灵活的查询机制\r\n用户和管理员可使用“开始”菜单、“网上邻居”或“ActiveDirectory 用户和计算机”上的“搜索”命令，通过对象属性快速查找网络上的对象。例如，您可通过名字、姓氏、电子邮件名、办公室位置或用户帐户的其他属性来查找用户。通过使用全局编录来优化查找信息。\r\n 七、扩展性能较好\r\nWIN2K的活动目录具有很强的可扩展性，管理员可以在计划中增加新的对象类，或者给现有的对象类增加新的属性。计划包括可以存储在目录中的每一个对象类的定义和对象类的属性。\r\n 八、方便在 MS 软件方面集成\r\n 如首尺辩ISA、Exchange、Team Foundation Server、SharePoint、SQL Server等。\r\nJ九、域的规划建议\r\n 1、系统集成在做企业网络维护过程中，采用单域单站点管理模式，建设AD与BAD，即主域控器与备份域困灶控制器，在其下面采用OU（组织单元）的模式进行集中管理各部门人员与电脑。此种管理模式，成本降低，且减少管理复杂度和维护量。\r\n \r\n2、AD(主域控制器)：公司所有权限管理，用户建立以及各种策略、软件等的管理及实施到每台电脑。\r\n \r\n3、BAD(备份域控制器)：采用与AD完全相同的设置，继承AD上的所有管理资料，防止AD出现故障后，公司电脑无法登陆AD和使用网络资源，，将BAD服务器做成WSUS服务器（windows补丁服务器），管理公司所有电脑的补丁的下载与提供安装的服务，如有需要还可集成ISA SERVER服务器，进行公司网络的管控（上网行为管理）\r\n4、域的服务器配置建议在XEON 2.8G 4G内存，硬盘视需求而定，硬盘做RAID，AD数据定期做完整，增量，异地备份。

1控制面板--管理工具--本地安全设置---IP安全策略咐消---服务器（请求安全）右键指派

2

服务器（请求安全）右键属性---然后一直下一步，有添加的时候用添加，把UDP的端口都封掉！！！

3.单击“开始-运行”，输入gpedit.msc回车，打开组策略编辑器。

在左侧依次展开“用户配置-管理模板-系统”，双击右侧的“不要运行指定的windows应用程序”项，在随后打开的对话框中选择“已启用”再单击下面的“显示”按扭，有会打开一个对话框，单击其上的“添加”输入要禁止的程序文件名（如：QQ.exe)。

单击“确定”就不能再运行衡空知QQ程序了。会d出对话框提示该软件禁止运行。。。。（同样方法可禁止其它软件）

若要取消对软件限制，可从新执行上述步骤，不过第二步中，不是单击“添加”而是“删除”“显示内容”里的软亏橡件名。

---