Customer Service & Support

Presentation on theme: "Customer Service & Support"— Presentation transcript:

1 Customer Service & Support
8/26/2019 全国总工会AD培训课程 孙剑 MVP/MCITP © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

2 议程 全新高效的移动办公解决方案 - Windows To Go 一、服务端： 利用Powershell-完成AD账户管理
二、客户端： 全新高效的移动办公解决方案 - Windows To Go

3 powershell 批量管理 AD账户

4 Module 3: Active Directory Objects and Trusts
Course 6425A 自动化管理AD DS 对象的工具 Active Directory Users and Computers Directory Service Tools Dsadd Dsmod Dsrm Briefly describe the concept of automating AD DS object management. The goal of automating object management is to be able to perform repetitive management tasks, like creating and managing user accounts, more quickly. Automating object management also decreases the chances of making mistakes. Provide examples of how you can use each of the tools on the slide to automate object management. Mention that, with Active Directory Users and Computers, you can select a large number of users and modify some attributes for all of those users. Demonstrate the settings that you can configure. Mention that administrators can still use Microsoft Visual Basic Scripting Edition (VBScript) to manage Active Directory objects. If students already have VB scripts developed, they should be able to reuse those scripts with very little modification. Powershell3.0

5 第一种方法 图形化管理AD账户和组

6 第二种方法 简单命令，单条去做 Dsadd user Dsadd mod Dsrm

7 Customer Service & Support
8/26/2019 Dsadd user Dsadd mod Dsrm 命令 © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

8 第三方法 在企业，肯定要建大量用户，而这些用户不可能一个一个去手动创建，怎么建更方便呢？
我想各位可以到人事那里拿一个表，这个表是每位员工的信息，你可以通过修改这个表格，然后把人事信息通过powershell批量导入到AD。 当然利用Excel修改这个表格，你最后需要保存为.csv的格式

9 Powershell创建和修改AD用户 Windows PowerShell是一种专门为系统管理而设计的命令行界面和脚本语言。
Windows PowerShell构建在Microsoft .NET Framework之上，可帮助IT专业人士自动控制Windows操作系统以及管理Windows上运行的应用程序。

10

11 PowerShell命令-单个建立用户：
New-ADUser -Surname 孙 -GivenName 剑 -Name sunjian -DisplayName 孙剑 -AccountPassword (ConvertTo-SecureString -AsPlainText -force ) -PasswordNeverExpires $true -ChangePasswordAtLogon $False -Enabled $true -PassThru

12 Customer Service & Support
8/26/2019 PS-批量： ipcsv C:\User.csv -Encoding Default |ForEach -Object {New-ADUser -Surname $_.SureName -GivenName $_.GivenName -Name $_.Name -DisplayName $_.DisplayName -Title $_.Title -Department $_.Department -Manager $_.Manager -AccountPassword (ConvertTo-SecureString $_.AccountPassword -AsPlainText -force ) -PasswordNeverExpires $true -ChangePasswordAtLogon $False -Enabled $true -PassThru} Encoding Default 采用默认编码格式 ForEach -Object 循环对象 © 2012 Microsoft Corporation. All rights reserved. Microsoft, Windows, and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

13 组策略应用 刷新组策略可通过命令gpupdate /force来实现。

14 技能展示 理解组策略的作用 理解组策略的应用顺序 会配置组策略的继承 会配置组策略的强制生效 会配置组策略实现软件分发
教员介绍本章的技能目标，让学员明确通过本章的学习可以掌握哪些具体技能，以激发其学习本章的兴趣。

15 组策略的作用2-1 方便管理AD中用户和计算机的工作环境 用户桌面环境 计算机启动/关机与用户登录/注销时所执行的脚本文件 软件分发
安全设置 组策略 域 引入：通过配置本地安全策略加强了工作组中计算机的安全性。在域环境中，如果要对多台客户机进行同 样的安全设置，是否需要在每一台计算机上进行单独配置呢？ →不需要，在域环境中，可以通过“组策略”对多台客户机进行统一的配置。 通过应用组策略，管理员可以很方便的管理域中的计算机和用户的工作环境，例如，用户的桌面环境，计 算机启动、关机与用户登录、注销时所执行的脚本文件、软件安装、安全设置等。 所谓组策略，就是基于组的策略。它以Windows中的一个MMC管理单元的形式存在，可以帮助系统管理员 针对整个计算机或是特定 组策略界面图 用户来设置多种配置，包括桌面配置和安全配置。譬如，可以为特定用户或用户组定制可用的程序、桌面 上的内容，以及“开始”菜单选项等，也可以在整个计算机范围内创建特殊的桌面配置。简而言之，组策 略是Windows中的一套系统更改和配置管理工具的集合。 其实简单地说，组策略设置就是在修改注册表中的配置。当然，组策略使用了更完善的管理组织方法，可 以对各种对象中的设置进行管理和配置，远比手工修改注册表方便、灵活，功能也更加强大。 组策略的作用 是一种与域、地址或组织单元相联系的物理策略。在NT 4.0系统中，一个单一的系统策略文件（例如 ntconfig.pol）包括所有的可以执行的策略功能，但它依赖于用户计算机中的系统注册表的设置。在Win2K 中，GPO包括文件和AD对象。通过组策略，可以指定基于注册表的设置、使用NT 4.0格式.adm模板文件的 运行Win2K的本地计算机、域的安全设置和使用Windows安装程序的网络软件安装，这样在安装软件时就 可以对文件夹进行重定向。

16 组策略的作用2-2 通过组策略可以 组策略适用的操作系统 对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU下的工作环境
降低布置用户和计算机环境的总费用 只须设置一次，相应的用户或计算机即可全部使用规定的设置 减少用户不正确配置环境的可能性 推行公司使用计算机的规范 桌面环境规范 安全策略 组策略适用的操作系统 目前主要应用于Windows 2000/XP/2003/Vista/2008/win7/wiin8 通过使用组策略可以 对域设置组策略影响整个域的工作环境，对OU设置组策略影响本OU的工作环境。 推行公司使用计算机的规范，包括桌面环境规范以及安全策略等内容。 组策略不适用于早期的Windows操作系统，如Windows 9x/NT，那时使用的是“系统策略”。 组策略是系统策略的更高级扩展，它是由Windows 9x/NT的“系统策略”发展而来的，具有更多的管理模 板、更灵活的设置对象及更多的功能，目前主要应用于Windows 2000/XP/2003/Vista/2008中。

17 组策略的结构3-1 组策略的具体设置数据保存在GPO中 默认GPO GPO所链接的对象 GPO控制 默认域策略 组策略 GPO SDOU
计算机 用户 默认域控制器策略 GPO所链接的对象 SDOU GPO控制 用户和计算机 GPO（Group Policy Object）：组策略对象 ——组策略是通过使用组策略对象来进行管理。 SDOU，活动目录容器，容器中包含的用户和计算机这两种活动目录对象，受组策略的控制。 域创建完时，默认有2个GPO： ◆ Default Domain Policy：默认域策略→影响域中所有的用户和计算机 ◆ Default Domain Controllers Policy：默认域控制器策略→影响组织单位“Domain Controllers”中所有的用 户和计算机。 强调虽然活动目录中的对象有很多，但最终组策略可以控制的只是活动目录中的用户和计算机 组策略设置主要包括：用户计算机环境（如“开始”菜单、桌面快捷项、控制面板选项、可用程序等）、计 算机和用户的本地或网络访问权利，以及其他安全控制策略（如组策略中的各种安全选项、IP安全策略 等）。可以用组策略定义用户和计算机组的配置。 GPO 组策略和AD 要充分发挥GPO的功能，需要有AD域架构的支持，利用AD可以定义一个集中的策略，所有的Win2K服务器 和工作站都可以采用它。然而，每台运行Win2K的计算机都有一个本地GPO（驻留在本地计算机文件系统 上的GPO），通过本地GPO，可以为每台工作站指定一个策略，它在AD域中不起作用。例如，出于安全原 因，你不会在AD域中配置公用的计算机。利用本地GPO，可以通过修改本地策略来得到安全性和对台式机 的限制使用而无需利用基于AD域的GPO。访问本地GPO的方法有2种，第1种方法，在需要修改GPO的计算 机的“开始”菜单上选择“运行”，然后键入：gpedit.msc。

18 组策略的结构3-2 站点的概念 站点和域的关系 站点的主要作用 活动目录中的站点是从物理上抽象的概念
由一个或几个通过高速链路连接在一起的IP子网组成 站点和域的关系 一个站点中可以有多个域 一个域中可以有多个站点 站点的主要作用 优化复制 使用户能够使用可靠、高速的连接登录到域控制器上 站点映射网络的物理拓扑结构，域映射网络的逻辑拓扑结构。 组策略可以链接在站点上，影响站点中的用户和计算机。

19 组策略的结构3-3 GPC（组策略容器）与GPT（组策略模板） GPC：GPC是包含GPO属性和版本信息的活动目录对象
GPT：GPT在域控制器的共享系统卷（SYSVOL）中，是一种文件夹层次结构 讲解GPO的组成并演示查看GPC与GPT。 ◆ GPC主要包含组策略的属性和版本信息，例如组策略的版本是否增加，组策略是停用还是启用等 ◆ GPT是组策略模板，组策略的具体设置保存在GPT当中 GPC(Group Policy Container）组策略容器：GPC存储在活动目录中，包含GPO属性和版本信息的AD对象。 可让计算机访问它来查找GPT，域控制器能够访问它来获得版本信息。 GPT(Group Policy Template）组策略模板：GPT存储在SYSVOL目录中，包含所有的组策略设置和信息，包 括管理模版、安全性、软件安装、命令和文件夹重定向设置。路径为%Systemroot%/SYSVOL\sysvol

20 计算机配置与用户配置2-1 计算机配置 策略 软件设置 Windows设置 管理模板 首选项 控制面板设置
打开或新建一条组策略，演示查看计算机配置中所能设置的策略。 注意： ◆ 计算机配置只对容器中的计算机生效 ◆ 用户配置只对容器中的用户生效 ◆ 安全策略是组策略的一部分 说明：组策略中的策略非常多，不可能每一条都讲解，重点是掌握配置方法和应用顺序。

21 计算机配置与用户配置2-2 用户配置 策略 软件设置 Windows设置 管理模板 首选项 控制面板设置
查看完计算机配置之后，展开用户配置，演示查看用户配置中所能设置的策略。 计算机配置一般是重启计算机才能生效，用户配置一般是用户重新登录就可以生效。

22 案例：组策略的简单应用 需求： 公司的网络采用域结构进行管理，销售部员工的用户账户都位于销售部_OU中，现要求销售部的员工禁止使用控制面板 实现思路： 创建并链接组策略 配置组策略 用户配置→策略→管理模板→控制面板→禁止访问“控制面板” 要求针对用户进行配置，所以需要配置组策略中的用户配置。 实现方法：右击“Sales_OU”→“在这个域中创建GPO并在此处链接” 教员进行组策略配置的演示并验证用户是否可以更改桌面背景 该案例完成后，不要删除相应的策略，后继的实验继续使用。 强调更改组策略后，需要在服务器和客户端都刷新组策略

23 小结 请思考： 组策略能够链接在哪些对象上？ 请举一个组策略应用的实例。 以提问的形式检验并巩固前面的学习效果，同时可使学员集中精力。
1、SDOU：站点、域和组织单位。 2、统一管理：统一公司所有计算机的桌面；阻止访问注册表编辑工具；关闭自动播放等。

24 组策略的应用规则 继承与阻止继承 累加 应用顺序 强制生效 筛选
引入：前面学习了组策略可以链接到SDOU，但用户和计算机可能会受多条策略的影响，要知道最终计算 机和用户会应用哪些策略的设置，并通过设置达到用户的需求，就需要学习组策略的应用规则。 本页让学员对组策略的应用规则有个大体的了解，不需要花太多时间，后面将逐一展开讲解。 组策略设置是按下列顺序进行处理的： 1.本地组策略对象 — 每台计算机都只有一个在本地存储的组策略 对象。对于计算机或用户策略处理，都会处理该内容。 2.站点 — 接下来要处理任何已经链接到计算机所 属站点的 GPO。处理的顺序是由管理员在组策略管理控制台 (GPMC) 中该站点的“链接的组策略对象”选 项卡内指定的。“链接顺序”最低的 GPO 最后处理，因此具有最高的优先级。 3.域 — 多个域链接 GPO 的处理顺序是由管理员在 GPMC 中该域的“链接的组策略对象”选项卡内指定的。“链接顺序”最低的 GPO 最后处理，因此具有最高的优先级。 4.组织单位 — 链接到 Active Directory 层次结构中最高层组织单 位的 GPO 最先处理，然后是链接到其子组织单位的 GPO，依此类推。最后处理的是链接到包含该用户或 计算机的组织单位的 GPO。

25 继承与阻止继承 在默认情况下，下层容器会继承来自上层容器的GPO 子容器可以阻止继承上级的组策略 右击容器→阻止继承 继承test的组策略
与NTFS权限类似，组策略也是继承的，子容器也可以阻止继承。 教员演示： 在Sales_OU下新建两个子OU，查看子OU:bj_sales的“组策略继承”页，其中有继承于域的GPO和上级OU的 GPO 验证：以bj_sales中的用户登录域，查看是否受到Sales_OU上设置的策略影响（不能修改桌面背景） 。 继承域的组策略

26 累加 容器的多个组策略设置如果不冲突，则最终有效策略是所有组策略设置的总和 容器的多个组策略设置如果冲突，则后应用的组策略覆盖先应用的组策略
是否冲突 OU的有效设置 域：IE主页设置为 OU：已启用“阻止更改墙纸” 否 IE主页设置为 阻止更改墙纸 域：已启用“阻止更改墙纸” OU：已禁用“阻止更改墙纸” 是 可以更改墙纸 按照上表中的设置，教员进行演示并验证结果。 ◆ IE主页设置：用户配置→策略→管理模板→Windows组件→Internet Explore→启用“禁用更改主页设置”， 并设置主页为 ◆ 阻止更改墙纸：“用户配置”→“策略”→“管理模板”→“桌面”→“桌面” ，启用或禁用“不允许 更改” 域的GPO规定禁止更改壁纸，OU的GPU规定可以更改壁纸，则OU的有效设置是可以更改壁纸。

27 应用顺序 组策略按以下顺序被应用： LSDOU 首先应用本地组策略对象 如果有站点组策略对象，则应用之 然后应用域组策略对象
如果计算机或用户属于某个OU，则应用OU上的组策略对象 如果计算机或用户属于某个OU的子OU，则应用子OU上的组策略对象 如果同一个容器下链接了多个组策略对象，则按照策略优先级从大到小逐个应用 L本地 S站点 D域 OU组织单位 后面的策略优先于前面的策略

28 强制生效 强制生效是上级容器强制下级容器执行其GPO设置 强制的
组策略的“强制生效”会覆盖“阻止继承”设置，也就是如果上级容器中的策略设置强制生效，那么下级 容器与其相冲突的一律无效。 但NTFS权限的继承与阻止继承是哪个后设置，后设置的生效。 教员演示： 右击 “Sales_OU”下的“Sale_OU Policy”，选择“强制” ，再到bj_sales的“组策略继承”页中查看，如果 时间允许，可以在bj_sales下创建一个与“Sale_OU Policy”冲突的策略，并验证最终效果。

29 小结 请思考： 如果OU上的组策略设置与域上的组策略设置冲突，OU的有效策略是什么？
组策略的应用顺序是什么？ 以提问的形式检验并巩固前面的学习效果，同时可使学员集中精力。 1、OU上的组策略设置 2、二者的累加 3、组策略按以下顺序被应用： LSDOU，它表示本地Local、站点Site、域Domain、组织单位Organizational Unit。

30 利用组策略实现软件分发 分发软件 修复软件 删除软件 升级软件
说明利用组策略可以实现软件分发、修复、删除和升级，本页是一个整体介绍，后面将以一个实例展开讲 解。

31 分发软件 分发软件的步骤 分配与发布的区别 获取Windows安装程序包文件；该软件包包含一个.msi文件以及必要的相关安装文件
将软件安装文件放到一个软件分发点 创建或修改GPO 分配与发布的区别 分配：分配到用户或计算机 发布：发布给用户 分配比发布更具强制性 引入：网络管理员在布置域中的软件时，常常会遇到要在很多台计算机上对同一软件进行安装、修复、卸 载和升级操作。如果在每台计算机上重复这些操作，工作量大而且容易出错。利用GPO设置软件分发策略， 可以实现容器下所有用户和计算机的软件管理，有效地提升软件部署效率。 教员演示分发MBSA软件，应提前准备好相关软件（在此先分发MSBA2.0，后继演示软件升级时升级到 MSBA2.1）。 在分发时注意软件分发点应该是一个网络路径，在进行软件分配时，注意客户机登录用户是否有安装软件 的权限。 对于怎样制作.msi的安装包可稍微提一下，具体的转换操作可放在上机课或由学员自行实验。具体如何制 作参考教学指导书。 那么在2003中，这里的是指派和发布

32 修复软件 用户的软件发生文件丢失或损坏时，自动重新复制正确的文件来修复 如果原来软件分发点上的安装文件发生丢失或损坏
在服务器上修复该软件的源文件 重新部署一次

33 删除软件 不再需要分发的软件，可以在GPO中删除软件设置 下一次用户和计算机登录或启动时，软件会被强制删除
用户和计算机仍可继续执行使用软件，但不允许重新安装 由于后继还需使用分发的软件，因此该处不演示，学员可在实验时验证效果。

34 升级软件 强制升级 可选升级 允许用户同时使用一个应用程序的两个版本 强制用户将当前软件升级到新的版本 教员提前准备二个版本的.msi文件
演示通过组策略将MSBA2.0升级到MSBA2.1

35 Windows TO GO 刷新组策略可通过命令gpupdate /force来实现。

36 Windows To Go，您的移动解决方案
Workspace A consistent Windows 8 experience on any device with Windows To Go Windows To Go，您的移动解决方案 Systems Management Tools App-V 好处 一致的Windows 8 体验* 在线或离线工作 易于使用和个性化 本地数据保护 易于部署和管理 Folder Redirection FIREWALL App-V Folder Redirection Folder Redirection App-V 参考链接： Windows To Go：方案概述 Booting from External USB drive BitLocker Booting from Internal hard drive *on any device certified (Logo) for use with Windows 7 or Windows 8 regardless of what OS is running on the system

37 成本有效和轻量级的解决方案 轻便出行 使用个人设备 临时以及外派员工 机位自由

38 为Windows To Go优化的基于SSD的闪存USB驱动器
目前市场上的合作伙伴 为Windows To Go优化的基于SSD的闪存USB驱动器

39 使用Creator Tool创建自己的Windows To Go
8/26/2019 8:43 AM 使用Creator Tool创建自己的Windows To Go 选择驱动器 选择镜像 启用 BitLocker © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

40 8/26/2019 8:43 AM © 2010 Microsoft Corporation。保留所有权利。Microsoft、Windows、Windows Vista 和其他产品名称是或可能是美国和/或其他国家（或地区）的注册商标和/或商标。 此处的信息仅供参考，而且仅代表 Microsoft Corporation 截至演示之日的观点。由于微软必须应对不断变化的市场，因此，此处提供的信息不应理解为微软的承诺，并且微软不保证所提供的信息在演示之日后的准确性。 微软对本演示文稿中的信息不提供任何形式的担保，无论是明示的、暗示的还是法律的担保。 © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.