電腦教室管理


黃添修 tshuang@mail.spps.tp.edu.tw          930111修正



Windows 2000Active Directory

 Windows 2000中,Directory Database採分散式架構(也就是說一個網域中就可以有一個DC或多台DC),儲存了使用者帳戶、群組、印表機.等物件,而Active Directory是Windows 2000網域內負責提供目錄服務的元件,其動作類似舊式的SAM模式,負責管理與驗證存取動作、資料儲存、安全模式及信任資訊,其實換句話來說,Windows 2000乃是採用前端為LDAP存取協定,後端仍是WinNT時代的SAM資料庫。

※在WIN_NT4.0中,一個網域之中必須存有一台PDC, 網域間的信任是單向,且不具遞移性,而網域的帳戶資料儲存於PDC的SAM資料庫中,容量最多40MB。

Windows 2000中,一個Domain至少要有一台DC(當然也可以有多台DC)。

Active Directory的特色如下:

當多網域時就有信任的問題,根網域(甲)的Domain name為spps.tp.edu.tw,而乙是為甲的子網域,Domain name為sppscc.spps.tp.edu.tw,丙為為甲的子網域,Domain nameclass.spps.tp.edu.tw。三者之間具信任關係。因為Windows 2000網域之間的信任是雙向的並具遞移性,也就是說當甲與互相信任,甲與互相信任,那麼乙和丙也會互相信任。故使用者的帳號是可以開在甲、乙或丙任何一個之中皆可。 

 網域本身就是一個管理單位,所以將一個學校中的網域數量降到愈少愈好,如此管理上就會比較簡單。第一個建立的網域是根網域根網域的建立時必需建立在DNS的基礎之上,因為Active Directory是由DNS來支撐。其餘再建立的網域皆子網域,而形成一個網域樹。二個以上網域樹彼此在根網域上做了彼此的信任後,則形成Forest,原則上一個學校中最多規劃成一個Forest即可。

 Active Directory是以階層式架構將物件、OU等組合在一起,並將其儲存到Active Directory的資料庫中。 容器(OU)就是Active Directory內的一個Container,在OU內可包含著其他的物件,例如User和Computer..等物件,此外一個OU還可以包含著其他的OU。 OU的用途:作管理的用途,在組織User和公司的資源。

Active Directory的架構是DNS,所以在裝AD之前必須先安好了DNS才行(尤其是根網域),而DNS依規定可以不必在AD的機器之上,但是我習慣上會在要裝AD的機器上先裝DNS,並在TCP/IP內容的DNS指定自己為第一部DNS,而在裝好AD以後再移除DNS(不移也可以)。

 

安裝AD方式如下:下列二法中擇一來做

AD目錄服務安裝過程

步驟一、從『開始』功能表打開『執行』,輸入’dcpromo  ’的指令之後按『確定』

    ﹝如下圖﹞。

 

步驟二、出現 Active Directory 安裝精靈的畫面,按『下一步』。

 

步驟三、選擇此台DC在網域中所扮演的角色,若此台是您網域中的第一台DC請點選『新網域的網域控制站』,並按下一步。

 

 

步驟四、若這是您的第一個網域﹝也就是說不是某個現存網域的子網域﹞,請點選『建立新的網域樹狀目錄』,並按下一步。

 

步驟五、若這是您的第一個網域,請點選『建立新的網域樹狀目錄的新數系』,並按下一步。

 

步驟六、輸入您網域的完整DNS名稱,並按下一步。

 

步驟七、輸入新網域的NetBIOS名稱,並按下一步。

 

步驟八、設定將來AD資料庫及紀錄檔存放的位置﹝建議和系統放在不同硬碟上,可以增加效率﹞,並按下一步。

 

步驟九、設定Sysvol資料夾的位置,並按下一步。

 

步驟十、如果您要在本機上安裝了DNS請選擇『是,在這部電腦上安裝並設定DNS』,並按下一步。

 

步驟十一、如果您不是在純Windows2000環境中,請選擇上面的選項,並按下一步。

 

步驟十二、輸入目錄還原模式的密碼,並按下一步。

 

步驟十三、檢查你選取的項目,若無錯誤請按下一步。

 

步驟十四、AD目錄服務正在設定中。

步驟十五、按下『完成』。

 

步驟十六、必須重新啟動電腦。

綜合以上所言,裝AD的要點上有四:

  1. 是新網域中的DC,還是現存網域中另一DC

  2. 是新的網域樹狀目錄嗎?若不是的話,必須先在根網域的DNS先做登錄記載。

  3. 裝AD時,在本機建個DNS_Server會比較好裝起來

  4. 一定要將網域模式選成混合模式,以便和NT、Win98等機器相容。

 


使用者(User Account)的種類

約可以分做兩類使用者帳戶:

第一類為本機使用者帳戶Local  User Account用於WIN2000 Professional及用於WIN2000 獨立伺服器之上,而不能於網路控制伺服器上(DC),所以 其只能利本機使用者帳戶來登入此帳號所在的電腦上,而無法登入到網域中去存取網域上所分享的資源除非是網域中有一帳號和密碼和本機使用者相同

第二類為網域使用者帳戶(Domain User Account為建立在網域控制器伺服器(DC)AD的 資料庫中,而使用者可利用在DC上建立的帳號(Account)來登入網域,並可存取其網域中的任何資源(檔案、印表機......等)當然必須有授權的才能使用。當Domain User Account登入Domain後,其身分由DC中的AD來做認證。在一台DC中建立一個新的Domain User Account之後,這一個網域使用者帳戶會自動地複寫到同一個網域中其他的所有也裝有Active Directory的DC中,所以當一個網域使用者登入網域時, 則此網域中的DC皆可對其帳號(Account)做認證。

                    

 


WIN2000大量帳號方法

大量建帳號方法有下列三種

1.陽春方法:只有建帳號和密碼

採用 NET USER指令,語法如下:

NET USER [username [password | *] [options]  [/DOMAIN]

                username {password |*} /ADD [options] [/DOMAIN]

                username [/DELETE] [/DOMAIN]

根據上述語法,我們可以建立下列一個account.bat的批次檔,內容如下:

net user hjhon 10001 /add
net user hmary 10002 /add
net user hjack 10003 /add
net user hjackson 10004 /add
net user hellen 10005 /add
net user hsally 10006 /add
net user hmayhi 10007 /add
net user htelmay 10008 /add
net user hjohnson 10009 /add
net user hsala 10010 /add

※此檔可以配合Excel去建連續性帳號的檔案。

其執行結果狀況如下:

其所建的帳號皆會在users之中,其結果如下:

2.複雜方法:

採用複雜方法有二種:

(1)使用微軟所提供兩支程式CreateOU.vbs和CreateUsers.vbs

其測試環境為WINDOWS 2000 SERVER或是加Service Pack1或是加Service Pack2,皆可以測試成功。

使用微軟所提供的兩支程式CreateOU.vbs和CreateUsers.vbs,CreateOU.vbs是用於建組織單位(如石牌國小、教師、實習老師......等);CreateUsers.vbs是用於建使用者(如李小華、張小美......等)。另外建一個使用者的清單,為account的Excel或Access檔案,其欄位請參考CreateUsers.vbs。

(2)使用微軟所提供兩支程式CreateOU.vbs和CreateUsers.vbs加以改寫並加上自己建的account.xls(帳號清單)

其測試環境為WINDOWS 2000 ADVANCE SERVER,加上Service Pack 1和Service Pack 2,LDAP版本為3.0,是可以測試成功。(※執行CreateUsers.vbs,切記要將account.xls必須開啟著才執行,否則會有錯誤)

實驗例子如下:

電腦名稱:nn00023

網域:test.spps.tp.edu.tw

IP:192.57.1.14

Dns:192.57.1.14

Gateway:192.57.1.253

CreateOU.vbs

程式內容
Dim cla(2)
cla(0)="實習老師"
cla(1)="老師"

wscript.echo"現在開始建立組織單位"

'Determine the LDAP path for your domain
Set Root=GetObject("LDAP://RootDSE")
DomainPath=Root.Get("DefaultNamingContext")
Set Domain=GetObject("LDAP://"& DomainPath)


Set ouLab=Domain.Create("organizationalUnit","OU=石牌國小")
ouLab.Put"Description","石牌國小"
ouLab.SetInfo
For x=0 to 1
currentcla=cla(x)
call CreateOU(currentcla)
Next
'Done
wscript.echo"組織單位建立完畢"


Function CreateOU(claname)
'在石牌國小之下建立子組織單位,如老師
Set TargetOU=GetObject("LDAP://OU=石牌國小,"& DomainPath)
Set newou=TargetOU.Create("organizationalUnit","OU="& claname)
newou.Put"Description",claname
newou.SetInfo
End Function
程式說明
Dim cla(2)
cla(0)="實習老師"
cla(1)="老師

cla為變數視為組織單位之的小集合

cla的值可以為班級如六年一班等......

Set Root=GetObject("LDAP://RootDSE")
DomainPath=Root.Get("DefaultNamingContext")
Set Domain=GetObject("LDAP://"& DomainPath)

上述所言乃在指定LDAP path 是從該機中的網域與機器名去自動捉取如此可以適應各個不同機器的名稱與網域

Set ouLab=Domain.Create("organizationalUnit","OU=石牌國小") 為設定ouLab變數為建立組織單位為石牌國小

ouLab.Put"Description","石牌國小",描述顯示為石牌國小

ouLab.SetInfo,將石牌國小的OU與Description寫入SAM中

以下部分為為建立石牌國小組織內的小單位,如老師、實習老師,即宣告變數名稱。

ouLab.SetInfo
For x=0 to 1
currentcla=cla(x)
call CreateOU(currentcla)
Next
'Done
wscript.echo"組織單位建立完畢"


Function CreateOU(claname)
'在石牌國小之下建立子組織單位,如老師
Set TargetOU=GetObject("LDAP://OU=石牌國小,"& DomainPath)
Set newou=TargetOU.Create("organizationalUnit","OU="& claname)
newou.Put"Description",claname
newou.SetInfo
End Function

 

 

CreateUsers.vbs

程式內容
Set conn=CreateObject("ADODB.Connection")
conn.Open "Driver={Driver do Microsoft Excel(*.xls)};DBQ=c:\account.xls;DriverID=278"
Set rs=CreateObject("ADODB.RecordSet")
SqlStr="SELECT * FROM ""帳號清單$"""
rs.Open SqlStr,conn,3,1

set oAD=GetObject("LDAP://rootDSE")
Set oDomain=GetObject("LDAP://nb00023/OU=老師,OU=石牌國小," & oAD.Get("defaultNamingContext"))

Do Until rs.EOF
struser = rs("帳號")
If struser<>""then
Set oUser=oDomain.Create("User","CN="&struser)
oUser.Put "samAccountName", ""&struser
oUser.Put "displayName", ""&rs("真實姓名")
oUser.Put "userPrincipalName",struser&"@test.spps.tp.edu.tw"
oUser.Put "mail",struser&"@test.spps.tp.edu.tw"
oUser.Put "wwwHomePage", ""&rs("個人首頁")
oUser.Put "streetAddress", ""&rs("地址")
oUser.title = ""&rs("職稱")
oUser.department = ""&rs("部門")
oUser.Put "TelephoneNumber", ""&rs("電話")
oUser.Put "pwdLastSet",-1
oUser.Put "userAccountControl",1
oUser.Put "profilePath","\\nb00023\user$\"&struser
oUser.Put "homeDirectory","\\nb00023\data$\"&struser
oUser.Put "homeDrive","T"
oUser.Put "scriptPath","path.bat"
oUser.Put "maxStorage",10240
oUser.SetInfo
oUser.SetPassword ""&struser
Usercount=Usercount+1

userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser

End If
rs.MoveNext
Loop

msgbox"成功建立"&Usercount&"個使用者!"
rs.Close
conn.close
set rs=nothing
Set conn=Nothing
程式說明
Set conn=CreateObject("ADODB.Connection")
conn.Open "Driver={Driver do Microsoft Excel(*.xls)};DBQ=c:\account.xls;DriverID=278"
Set rs=CreateObject("ADODB.RecordSet")

此程式為Visual Basic程式,其利用ADO Data控制項來存取Excel的資料,其所宣告變數,不必去管它,特別注意是檔案名和位置即可(c:\account.xls);再加上驅動程式來源,在此特別強調驅動程式來源一定要依下法去捉取對照一下是否相同。

Driver的捉取方法:設定→控制台→系統管理工具→資料來源(ODBC)→檔案資料來源→新增→選擇Driver do Microsoft Excel(*.xls)→進階→複製下列之值放入Driver位置

SqlStr="SELECT * FROM ""帳號清單$"""

乃指Account.xls工作表,將工作表命名為帳號清單

set oAD=GetObject("LDAP://rootDSE")
Set oDomain=GetObject("LDAP://nb00023/OU=老師,OU=石牌國小," & oAD.Get("defaultNamingContext"))

此段強調AD由本機上LDAP目錄去做存取動作,設定網域由本機(nb00023)的AD捉到預設值(亦即OU=老師,OU=石牌國小,DC=test,DC=spps,DC=tp,DC=edu,DC=tw)

Do Until rs.EOF
struser = rs("帳號")
If struser<>""then
Set oUser=oDomain.Create("User","CN="&struser)
oUser.Put "samAccountName", ""&struser
oUser.Put "displayName", ""&rs("真實姓名")
oUser.Put "userPrincipalName",struser&"@test.spps.tp.edu.tw"
oUser.Put "mail",struser&"@test.spps.tp.edu.tw"
oUser.Put "wwwHomePage", ""&rs("個人首頁")
oUser.Put "streetAddress", ""&rs("地址")
oUser.title = ""&rs("職稱")
oUser.department =  ""&rs("部門")
oUser.Put "TelephoneNumber", ""&rs("電話")
oUser.Put "pwdLastSet",-1
oUser.Put "userAccountControl",1
oUser.Put "profilePath","\\nb00023\user$\"&struser
oUser.Put "homeDirectory","\\nb00023\data$\"&struser
oUser.Put "homeDrive","T"
oUser.Put "scriptPath","path.bat"
oUser.Put "maxStorage",10240
oUser.SetInfo
oUser.SetPassword ""&struser
Usercount=Usercount+1

userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser

End If
rs.MoveNext
Loop

下列所言為宣告變數,struser是帳號,當帳號未讀完之前做下列動作,""&目的為將後值加一空字串,為將後面之值變成文字之意,切記字串中英文大小寫必須依下列所寫,不可以加以更改。

oUser.Put "samAccountName", ""&struser                                   (放入帳號中值)
oUser.Put "displayName", ""&rs("真實姓名")                             (放入真實姓名值)
oUser.Put "userPrincipalName",struser&"@test.spps.tp.edu.tw"   (放入帳號中值)
oUser.Put "mail",struser&"@test.spps.tp.edu.tw"                          (放入電子郵件值,@test.spps.tp.edu.tw可改成各校之值或刪除)
oUser.Put "wwwHomePage", ""&rs("個人首頁")                        (放入個人網頁值)
oUser.Put "streetAddress", ""&rs("地址")                                    (放入個人地址值)
oUser.title = ""&rs("職稱")                                                          (放入個人職稱)
oUser.department =  ""&rs("部門")                                             (放入個人部門值)
oUser.Put "TelephoneNumber", ""&rs("電話")                           (放入個人電話值)
oUser.Put "pwdLastSet",-1                                                          (放入個人密碼永久有效)
oUser.Put "userAccountControl",1                                              (放入個人帳戶永久有效)
oUser.Put "profilePath","\\nb00023\user$\"&struser                    (設定個人巡視設定檔位置)
oUser.Put "homeDirectory","\\nb00023\data$\"&struser             (設定個人共用資料夾位置)
oUser.Put "homeDrive","T"                                                         (設定個人共用資料夾在T碟)
oUser.Put "scriptPath","path.bat"                                                 (登入指令檔為path.bat)
oUser.Put "maxStorage",10240                                                   (設定個人磁碟配額為10240)
oUser.SetInfo                                                                               將上述值真正寫入AD中
oUser.SetPassword ""&struser                                                     (更改個人密碼=帳號值,因前面動作時為放入密碼,此句一定要在oUser.SetInfo之後才可以,否則會執行有誤)
Usercount=Usercount+1                                                              (讀下一位使用者資料)

 

下列主要宣告個人巡視設定檔在("C:\user\帳號)位置,個人共用資料夾在("C:\data\帳號)位置,並且一直執行建帳號的動作,直到建完後回報建了幾個使用者。

userprofile = "C:\user\" & struser
userhome = "C:\data\" & struser

End If
rs.MoveNext
Loop

msgbox"成功建立"&Usercount&"個使用者!"
rs.Close
conn.close
set rs=nothing
Set conn=Nothing

 

 

Account.xls內容如下:


修改檔案的存取控制清單 (ACLs)
語法如下:
CACLS filename [/T] [/E] [/C] [/G user:perm] [/R user [...]]
[/P user:perm [...]] [/D user [...]]
filename 顯示 ACL。
/T 變更指定檔案的 ACL 於
現有的目錄或所有子目錄中。
/E 編輯 ACL 而非將它取代。
/C 拒絕存取的錯誤繼續發生。
/G user:perm 授與指定的使用者存取權限。
Perm 的值可以是: R 讀取
C 變更 (寫入)
F 完全控制
/R user 撤銷已指定的使用者存取權限 (只有當 /E 存在時才有效)。
/P user:perm 取代已指定的使用者存取權限。
Perm 的值可以是: N 沒有權限
R 讀取
C 變更 (寫入)
F 完全控制
/D user 拒絕已指定的使用者存取。
您可以在命令中使用萬用字元一次指定數個檔案。
您可以在命令中指定數個使用者。
縮寫:
CI - 容器繼承。
ACE 將被目錄繼承。
OI - 物件繼承。
ACE 將被檔案繼承。
IO - 僅供繼承。
ACE 不可套用到目前的檔案/目錄。
 

實際做法如下:(作成一個Batch檔來執行),摘要做法如下

cd\data  (開啟data資料夾)
md 00004 (建立00004的資料夾)
cacls c:\data\00004 /t /e /g administrator:f 00004:f /r everyone

(變更修改c碟的data中的00004資料夾的權限而非取代,並授予administrator和00004有完全控制的權限,而撤銷everyone的使用者存取權限)

 


權限管理

一、群組觀念

對於使用者的權限管理設定,我們通常會將使用者先歸類為群組後,在將其做權限控管。

  Windows 2000的網域可分為兩大類型

混合模式(Mix Mode) :混合模式指網域中包含Win2000、WinNT...等機器

原始模式(Native Mode):原始模式指網域中只有Win2000機器(Win2000_SERVER和Win2000_Professional)

Windows 2000的群組

新增群組的方法,在單位組織上按右鍵→新增→群組

 

由上表來看群組領域分為三類

群組類型

二、權限指派

委派控制

選擇一個組織單位,按滑鼠右鍵,並選擇出現的快顯功能表上的委派控制。

 

新增使用者或群組以做控管權限

基本的資料夾權限管理

1.點資料夾按右鍵,先將資料夾→共用(共用此資料夾,給予共用名稱)→使用者人數限制(允許最大數或限制為多少人數)→給予權限(完全控制、變更、讀取)→授予群組或使用者。

若要比較詳細的權限則由安全性中去設定,進階中可以就更加詳細去設定。

NTFS基本安全權限包括

  1.完全控制

  2.修改

  3.讀取與執行

  4.清單資料夾內容

  5.讀取

  6.寫入

 

NTFS進階權限設定有

  1.周遊資料夾 / 執行檔案

  2.列出資料夾 / 讀取檔案

  3.讀取屬性

  4.讀取擴充屬性

  5.建立檔案 / 寫入資料

  6.建立資料夾 / 附加資料

  7.寫入屬性

  8.寫入擴充屬性

  9.刪除子資料夾 / 檔案

10.刪除

11.讀取使用權

12.變更使用權

13.取得使用權

 

 


windows 2000 的無法開機時的修復

做一個網管人員最怕的是自己所管理的SERVER當掉,無法開機;而自己的資料又沒有備份的話。此時此刻真是要呼天搶地,企求奇蹟了。一般而言,硬碟無法開機是因為開機磁區資料遺失或毀損,windows 2000 在此方面是有辦法的---也就是「修復主控台工具」。其修復的動作程序如下:
  1. 以windows 2000的光碟片開機[記得BIOS要修改成光碟機優先開機],在螢幕出現歡迎安裝的畫面時,按下鍵盤的[R]鍵進入修復主控台來修復windows 2000,記得可不要按ENTER去重新安裝windows 2000哦!
  2. 當進入修復主控台,在畫面上會出現哪一個要登入去修復的windows,由於我們是拿來做SERVER,所以只有一個windows系統來做修復選擇。
  3. 由於只有一個windows系統來做修復選擇,所以我們按1來做選擇,再按一下[Enter]鍵;但若不欲修復windows 2000,則再按一次[Enter]鍵就可以取消修復;若修復完畢後則鍵入EXIT,結束修復主控台重新啟動電腦。
  4. 當按1選擇唯一的windows,並按一下[Enter]鍵執行後,畫面會出現administrator [系統管理員的帳號],請輸入本機administrator的密碼[此用意在於防範系統的安全不致於被其他使用者任意竄改或破壞系統],在出現C:\WINDOWS>後,可以鍵入HELP以觀看有哪些可以使用的指令。
  5. 首先觀察電腦系統中,所有磁碟的狀態,故鍵入map指令,以觀察磁碟的狀態。
  6. 選擇所要修復磁碟,輸入chkdsk 磁碟機代號: /r [例如 chkdsk c: /r],再按[Enter]鍵執行,通常C碟一定要做修復[因為不能啟動WINDOS 2000]來開機。
  7. 當磁碟完成檢查之後,我們將進行開機磁區的修復,我們鍵入fixboot c: [假設開機碟為C],來修正已受損的開機磁區,並複寫入系統開機磁碟分割的預設值。
  8. 當修復完開機磁區,我們將繼續進行系統磁碟分割的主開機記錄區[MBR]修整;我們輸入 fixmbr c: 當開機紀錄區遭到病毒損毀,無法啟動作業系統的情況下使用,畫面會出現修復的警告標示,按Y繼續進行。
  9. 當修復完畢之後,我們只要鍵入EXIT就可以重新啟動電腦,檢視我們修復的成果。[若修復完畢可以進入WINDOWS 2000則表OK,反之失敗那就慘了!]

    **將修復主控台安裝置開機選單中,將可以不必透過光碟機開機來修復,

  1. 在執行視窗中鍵入  D:\i386\winnt32.exe /cmdcons  ,再按[確定]來執行。
  2. 接著會告知需要7MB磁碟空間安裝,按下是開始安裝,在安裝時會先連線到微軟的伺服器進行檢查有無新的版本可以下載,然後開始安裝。
  3. 當安裝完畢下一次重新開機後,就有修復主控台可以使用[再開機時按F8→選擇偵錯模式→WINDOWS 2000 修復主控台]。

Poledit系統原則編輯與Win2000群組原則

1.Poledit程式位置乃在於win98光碟中的資料夾中(tools→reskit→netadmin→poledit)。

2.將poledit資料夾複製在win98機器中,去執行poledit.exe程式,設定系統原則。

依微軟的指示,poledit系統原則編輯的做法如下

建立新的原則檔
1 按「檔案」功能表的「開新檔案」。
2 poledit.exe程式執行時開啟時,開啟admin.adm範本→開始登錄,系統原則可以做本機電腦與本機使用者的限制使用

本機使用者的限制

本機電腦的限制

3 要設定使用者、群組或電腦的原則時,請按要設定原則的圖示,再選「編輯」功能表的「內容」。按兩下書籍圖示,查看可以使用的設定值。
如果選一個原則,系統就會套用這個原則。例如,選「檔案分享控制無效」,則使用者就無法在網路上分享資料夾。

設定從 Windows NT或Windows 2000機器自動下載

1 按「檔案」功能表中的「開啟登錄」。

2 按兩下「本機電腦」。
3 按「網路」旁邊的加號。
4 按 Microsoft Client For Windows Networks 。
旁邊的加號,再按「登入 Windows NT」。
5 輸入 Windows NT 網域名稱。
6 在主要的網域控制器上建立一個叫做 Netlogon 資料夾,然後再分享它。(Win2000在Winet→Sysvol→Sysvol→網域名稱→Scripts資料夾中。
7 將原則檔儲存在這個資料夾中。請確認原則檔的檔名為config .pol。

 

Win2000群組原則(GPO)

 

win2000群組原則是WinNT、win2000或WinXP使用者工作環境的管理工具之一,提供比使用者設定檔有更完整的控制與管理,減低網路管理的負擔與成本;不過可惜的是win2000群組原則對於Win98或WinMe的機器是沒有用。

說明

Win2000群組原則包含對電腦機器或使用者2部分:

組原則建立方法:

【開始】/【程式集】/【系統管理工具】/【Active Directory使用者與電腦】/【網域名稱(右鍵)】/【內容】/【群組原則】/新增一個群組原則或編輯Default Domain Policy的內容,但是群組原則只對WinNT、win2000或WinXP的機器才有用。

 


Login Script 與 client 自動組態設定

Login Script

Login Script一般我們稱為使用者登錄檔,使用記事本建立好自動批次檔後,放入NETLOGON中,然後在AD中使用者設定檔的位置,給予檔名(如:path.bat),以便使用者登入時執行之。

@echo off
route add 192.57.2.0 mask 255.255.255.0 192.57.1.10 metric 2
if %OS%==Windows_NT goto nt
goto 95


:nt
net use j: \\sql\jsmis /PERSISTENT:NO
net use s: \\file\安裝用程式 /PERSISTENT:NO
net use t: \\file\filedata$ /PERSISTENT:NO
net use x: \\file\辦法規章 /PERSISTENT:NO
net use y: \\file\教學檔案上傳 /PERSISTENT:NO
rem call IsRoam.bat
rem regedit %logonserver%\netlogon\ie5.reg
echo off

rem *****************************************************************
rem For UPDATE client system 
rem identify file 910325.txt 
rem need JsUpdate$ share name & jsUpdate share directory on Server
rem *****************************************************************

if exist c:\jstemp\910325.txt goto end 

ECHO UPDATE JSMIS SYSTEM NOW (910325) ! PLEASE WAIT...(校務行政2.1版sp4)

rem pause
attrib -r D:\WINNT\SYSTEM32\JSTPTN.DLL
rem COPY J:\JS\*.* D:\WINNT\SYSTEM32\
rem REGSVR32 /s/u D:\WINNT\SYSTEM32\JSTPTN.DLL
COPY \\sql\jsmis\JSDLL\JSTPTN.dll D:\WINNT\SYSTEM32\JSTPTN.DLL
REGSVR32 /s D:\WINNT\SYSTEM32\JSTPTN.DLL
REGSVR32 /s/u D:\WINNT\SYSTEM32\MSACAL70.OCX
COPY \\sql\jsmis\JSDLL\MSCAL.OCX D:\WINNT\SYSTEM32\MSCAL.OCX
REGSVR32 /s D:\WINNT\SYSTEM32\MSCAL.OCX

rem pause
COPY \\sql\JSTEMP\*.* C:\JSTEMP
COPY \\sql\JsUpdate\910325.txt C:\JSTEMP
COPY C:\jstemp\910325.txt \\sql\JsUpdate\910325.%computername%
ATTRIB -R C:\JSTEMP\*.*
rem call eudcreg.bat
goto end

:95
net use j: \\sql\jsmis 
net use s: \\file\安裝用程式
net use t: \\file\filedata$
net use x: \\file\辦法規章 
net use y: \\file\教學檔案上傳 
regedit j:\ie5.reg
config.pol

echo off

rem *****************************************************************
rem For UPDATE client system 
rem identify file 910325.txt 
rem need JsUpdate$ share name & jsUpdate share directory on Server
rem *****************************************************************

if exist c:\jstemp\910325.txt goto end 

ECHO UPDATE JSMIS SYSTEM NOW (910325) ! PLEASE WAIT...(校務行政2.1版sp4)


rem pause
attrib -r c:\WINdows\SYSTEM\JSTPTN.DLL
rem COPY J:\JS\*.* c:\windows\SYSTEM\
rem c:\windows\system\REGSVR32 /s/u c:\windows\system\JSTPTN.DLL
COPY \\sql\jsmis\JSDLL\JSTPTN.dll c:\windows\system\JSTPTN.DLL
c:\windows\system\REGSVR32 /s c:\windows\system\JSTPTN.DLL
c:\windows\system\REGSVR32 /s/u c:\windows\system\MSACAL70.OCX
COPY \\sql\jsmis\JSDLL\MSCAL.OCX c:\windows\system\MSCAL.OCX
c:\windows\system\REGSVR32 /s c:\windows\system\MSCAL.OCX
COPY \\sql\jsmis\JSTEMP\*.* C:\JSTEMP
COPY \\sql\JsUpdate\910325.txt C:\JSTEMP
COPY C:\jstemp\910325.txt \\sql\JsUpdate\910325.%computername%
ATTRIB -R C:\JSTEMP\*.*

:end
echo on

 client 自動組態設定

windows的機碼有六大類:

  1. HKEY_CLASSES_ROOT:記載許多副檔名的定義,也就各種檔案的類型。分別定義各種副檔名所開啟的應用程式。
  2. HKEY_CURRENT_USER:由HKEY_USERS延伸而來,其記載目前登入使用者的資料狀態,為一種個人化作業環境設定資料
  3. HKEY_LOCAL_MACHINE:電腦中各種硬體設定資料,包括印表機、光碟機、BIOS....等資料。
  4. HKEY_USERS:用於記載不同使用者的資料。若設定只有一個使用者時,HKEY_CURRENT_USER的記錄則與HKEY_USERS內的.DEFAULT相同,否則在HKEY_USERS下就會有不同使用者名稱的機碼。
  5. HKEY_LOCAL_CONFIG:記載目前使用硬體的設定檔。
  6. HKEY_DYN_DATA:此為存在記憶體中的動態資料,用於監視電腦效能,一開機時由Windows建立此機碼資料,一關機後機碼資料就消失,故無法新增機碼,此部份只有Win98/Me才有。

系統登錄檔的使用

1.系統登錄檔的檢查員:scanregw.exe  (win98下執行)

2.系統登錄檔的還原與備份:scanreg /backup  和   scanreg /restore     (dos下執行)

3.系統登錄檔的修復:scanreg /fix 

3.工作站自動設定IE組態(以proxy和cache大小為例)

 


製作硬碟 Source(適應多種硬體介面)

先在一台機器安裝好所有軟體,利用ghost回寫至Server成一個*.gho檔,在派至它台機器之上,讓其去適合硬體介面,在利用ghost回寫至Server成一個*.gho檔,如此多次之後,此硬碟Source便可以適應多種硬體介面。

 


桌面、程式集與工作列復原排程 (用於Win98學生機上)

1.建立一個BAT檔(比如route.bat)

@echo off
rem *****************************************************************
rem 刪除本機上的桌面所有的捷徑與程式檔案
rem 複製windows資料夾中的桌面、工作列、程式集到Desktop、Start Menu、Quick linch中
rem 刪除以上網設在桌面上的背景圖片
rem *****************************************************************


rem route add 192.57.2.0 mask 255.255.255.0 192.57.1.10
rem @deltree /Y c:\windows\startm~1
rem @mkdir "c:\windows\Start Menu"
@xcopy c:\windows\程式集 c:\windows\startm~1 /Y /E
@deltree /Y c:\windows\desktop
@mkdir c:\windows\desktop
@copy c:\windows\桌面\*.* c:\windows\desktop\*.* /Y
@del /Y c:\windows\applic~1\micros~1\intern~1\quickl~1\*.*
@copy c:\windows\工作列 c:\windows\applic~1\micros~1\intern~1\quickl~1\*.*
@del c:\windows\applic~1\micros~1\intern~1\intern~1.bmp
@echo off

 

2.在windows資料夾中建立程式集、工作列和桌面三個子資料夾,並將正確的程式集和桌面為何放入其中。

3.將route.bat放入排程工作中,以便一登入Windows時就做此一工作。

做法如下:

我的電腦→Scheduled Tasks→新增排程工作→下一步→瀏覽→c:\windows\route.bat→開啟舊檔→給一排程名稱(或採預設值也可以)→在你的電腦啟動時執行→下一步→完成

4.老師機不做排程,否則桌面上的資料被清掉就慘了。

 

參考資料