http://tw.myblog.yahoo.com/jw!na7P9NGBBQcc54VwtIxozwTKYzE-/article?mid=211&prev=212&next=210
□ 自動建立Partition-XYZ電腦磁碟自動分割;OU:貓咪工作室
群組原則物件編輯=>電腦設定=>windows設定=>指令碼=>啟動(指令需擺放在指定的路徑)
.CreateDiskPartition.bat執行檔(需判斷所分割硬碟是否存在)
if exist X:\ goto end:
diskpart /s \\dm11.corp\SysVol\dm11.corp\Policies\{5E79A768-F330-4511-84BE-23B23A7ABDCB}\Machine\Scripts\Startup\CreateDiskPartition.txt(需指向文字檔詳細路徑)
format X: /fs:FAT /V:FAT /Q /Y
format Y: /fs:FAT32 /V:FAT32 /Q /Y
format Z: /fs:NTFS /V:NTFS /Q /Y
end:
.CreateDiskPartition.txt
Select disk 1
Create partition primary size=100
Assign letter=X
Create partition extend size=500
Create partition logical size=100
Assign letter=Y
Create partition primary size=100
Assign letter=Z
exit
□ 用戶端WSUS更新;OU:電腦主機
1. 群組原則物件編輯=>電腦設定=>系統管理範本=>右鍵,新增/移除範本wuau
去別人家\\SVRXX2\c$\windows\inf\wuau.adm
2. 群組原則物件編輯=>電腦設定=>系統管理範本=>Windows元件ðWindows Update做細部設定,ex.設定自動更新內容;指定內部網路段http://SVRXX2
□ 指令做排程Shutdown 或File Server備份
□ 隱藏用戶端O:磁碟機user登入看不到某一個partition;OU:貓咪工作室
1. 隱藏硬碟
群組原則物件編輯=>使用者設定=>系統管理範本=>Windows檔案總管ð隱藏[我的電腦]中這些指定的磁碟機(NoDrives_Help)
防止從[我的電腦]存取磁碟機(NoViewOnDrive_Help)
.選單管理??在那一台改
C:\Windows\inf\system.adm檔案新增
NoDrives_Help =>Name !!COOnly VALUE NUMERIC (2的2次方)+(2的14次方);
NoViewOnDrive_Help =>Name !!OOnly VALUE NUMERIC (2的14次方);
OOnly=”只限制O磁碟”;COOnly=” 只限制C和O磁碟”
.記得在各工作站命令指令gpupdate /force重整
0922
□ File Server DCXX2
.主目錄=>網路磁碟機
.如果資料透過網路存取,資料一定要分享出來
.實務:作業系統及Data應排放不同的Partition(OS建議40G)
□ 共用資料夾:domain users(群組觀念),完全控制
.權限最好給群組,方便以後管理
.AD在”貓咪工作室”建群組(命名不能跟OU一樣,後面加群組)
方法a. 指令OU加群組
dsquery group群組:資源存取能力管控,ex.read,print
dsquery ou組織單位:GPO指定,管理範圍的切割
dsquery user [ou] | dsmod group [group] -addmbr
方法b. 儲存查詢=>新增資料夾=>新增查詢=>定義查詢
□ Share Permission使用權限
1. 資源一定要分享出來,才可設定的Permission
2. FAT/FAT32/NTFS上的資源皆可分享出來
3. 分享的對象以Folder為單位
4. Share Permission只能管控透過網路來存取
5. Share Permission具有繼承性
6. Share Permission具有累加性
※200台以上電腦可停掉網路芳鄰,HD$(加$其他人看不到)
□ 特定檔案只可Read,ex.會計部門的特定檔案
.在FAT/FAT32只好另建資料夾,把檔案放入
.NTFS:安全性是第二層保護,預設自己建的檔案可修改,但別人建的檔案只能Read
□ NTFS Permission特性
1. 只有NTFS檔案系統下才能設定
2. 可針對Folder或File為對象
3. 可針對網路來的使用者或本機登入的使用者做管控
4. 具有繼承性
5. 具有累加性
□ Domain User看不到C及O糟,只能看到以自己為名的虛擬硬碟
1. 資料夾建在DCXX2:建立HomeFolder資料夾,右鍵共用和安全性,
.共用名稱:HD$
.使用權限:只剩Domain Users,權限為完全控制
.安全性:新增Domain User及Create Owner做搭配,Domain User只有建立資料夾的權限
※記得把允許從父項繼承權限取消
2. Active Directory使用者及電腦
選取所有員工=>右鍵,內容=>設定檔=>主資料夾\\dsXX2\hd$\%username%
3. 限制檔案大小
DCXX2的Partition按右鍵選配額
□ 更改O:預設權限Administrator群組加入資訊部群組
電腦設定=>安全性設定=>受限群組=>右鍵,新增群組=>Administratorsð
加入Administrator,Domain Admins,資訊部群組
命令指命:顯示群組成員net localgroup administrators
□ 安裝管理工具軟體
1. DCXX2共用分享tools/AdminPak及SupportTool
2. 使用者設定=>軟體設定=>軟體安裝\\DCXX2\Tools$\=>指派H:\\dcXX2\tools$\SupportTools =>在登入時安裝
□ 使用者不能玩Game
使用者設定=>系統管理範本=>系統=>不要執行已指定的Windows應用程式=>把封鎖的執行檔名加入
□ 控制台圖示顯示的管控
使用者設定=>系統管理範本=>控制台=>強制使用傳統的控制台樣式;只顯示所指定的控制台小程式(C:\Windows\System32\*.cpl檔案)
◆ Homework
一.Administrator帳號的安全性
1. 所有工作站(本機)的Administrator皆為更名為Superboss
GPO:更改O:預設權限;OU:工作站
Windows設定=>安全性設定=>安全性選項=>帳戶
2. 所有Superboss的密碼為"BeautyLinda!"
a. 使用者設定=>Windows設定=>指令碼=>啟動
b. 新增ChangePassword.vbs檔案
參考網址:http://www.microsoft.com/technet/scriptcenter/scripts/default.mspx?mfr=true
路徑:Script Center
Home > Script Repository > Other Directory Services > Local
and Windows NT 4.0 Accounts > User Accounts
vbs檔程式:strComputer = "."
Set objUser = GetObject("WinNT://" & strComputer & "/superboss, user")
objUser.SetPassword "BeautyLinda!"
objUser.SetInfo
3. 新增Administrator帳號,並加入Guests群組且從Users群組中移除
GPO:更改O:預設權限;OU:工作站
使用者設定=>Windows設定=>指令碼=>啟動
AddUser.bat
Net user administrator super9931! /add
Net localgroup guests administrator /add
Net localgroup users administrator /delete
◆ Homework找到vbs檔案
二.GPMC群組原則管理主控台自動安裝
1. 需先裝Framework;by computer
a. 檔案解壓縮,命令指令dotnetfx-tc.exe /C /T:c:\tools\NOTNET
b. GPO:更改O:預設權限;OU:工作站
電腦設定=>軟體設定=>軟體安裝=>(關機安裝;第二次開機才會安裝)
2. GPMC;by user
因為有兩個安裝,所無法用軟體派送,改用指令
GPO:安裝管理工具軟體
使用者設定=>windows=>指令碼=>新增InstallGPMC.bat檔案
命令指命:\\dcXX2\tools$\adminpak\gpmc-tc.msi /q(無聲自動安裝)
※用指令看不到安裝訊息