朋友新開的公司規模越來越大,原來使用工作組的管理方式已經無法滿足業務增長需求,讓友情幫忙搭建一套AD環境出來,搭建AD的教程就先忽略了,就說建立OU與系統帳戶還有加域吧。
本來都可以使用DOS命令(dsadd ou 和 dsadd user)進行的,但是微軟大力推Powershell,還是要跟上時代的浪潮,琢磨了一下官方手冊,於是出現瞭如下命令:
一、新建3個OU (在組織名稱後再增加PC和USER兩個OU,方便下發域策略(用戶和計算機策略)
New-ADOrganizationalUnit -name LEE -path "DC=LEE,DC=NET"
New-ADOrganizationalUnit -name USER -path "OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name PC -path "OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 業務 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 採購 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 生產 -path "OU=PC,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name HR -path "OU=PC,OU=LEE,DC=LEE,DC=NET"New-ADOrganizationalUnit -name 業務 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 採購 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name 生產 -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
New-ADOrganizationalUnit -name HR -path "OU=USER,OU=LEE,DC=LEE,DC=NET"
二、建立AD帳戶並綁定登錄工作站
NEW-ADUSER -samaccountname KMD076 -name KMD076 -userprincipalname [email protected] -display 業務劉紅燈 -accountpassword(ConvertTo-Securestring -String "km.2017" -asplaintext -force) -enabled $true -Description 業務劉紅燈 -LogonWorkstations "KM-sales1" -path "OU=業務,OU=USER,OU=LEE,DC=LEE,DC=NET"
NEW-ADUSER -samaccountname KMD012 -name KMD012 -userprincipalname [email protected] -display SC劉慧鵬 -accountpassword(ConvertTo-Securestring -String "km.2017" -asplaintext -force) -enabled $true -Description SC劉慧鵬 -LogonWorkstations "KM-Wirecut2" -path "OU=生產,OU=USER,OU=LEE,DC=LEE,DC=NET"
NEW-ADUSER詳細的命令參數可通過官網獲取:
https://technet.microsoft.com/en-us/library/ee617253.aspx
三、創建計算機賬戶
NEW-ADCOMPUTER
NEW-ADCOMPUTER -NAME KM-sales1 -PATH "OU=採購,OU=PC,OU=LEE,DC=LEE,DC=NET"
事先建立好未添加網域的電腦賬戶,加域後會自動連接到指定OU,而非默認的computer容器,更利於管理。
NEW-ADCOMPUTER詳細的命令參數可通過官網獲取:
https://technet.microsoft.com/en-us/library/ee617245.aspx
四、創建組策略並鏈接到指定的OU (這裏以常用的Bginfo 做演示(結合SQLSERVER))
1、先準備SQL 數據庫( 安裝略) 並建立一個bginfo 的數據庫,並將SA登錄權限開啓。
2、自定義bginfo配置文件字段:
打開bginfo.exe 自定義兩個字段(SN號與機身型號),可以結合vbs或者WMI調取自己所需的字段;
我定義序列號(SN) 與機器型號(MODEL);(
備註:
我司領導要求桌面不顯示信息(IP/主機名等),把字段全部清空, 僅收集客戶端信息,各位就看你們的實際需求是否去除了。
3、bginfo程序字段鏈接SQL數據庫
服務器輸入SQL服務器的名稱(建議關閉防火牆), 若通過windows賬戶進行登錄的話,勾選使用信任連接(賬戶密碼爲windows賬戶與密碼,一般爲域用戶)爲測試環境這裏就直接使用SA賬戶進行登錄了,生產環境強烈不建議這麼做。
4、將GPO連接到用戶羣組(bginfo爲讀取當前用戶信息,鏈接到計算機策略獲取電腦信息沒太大意義)。
寫個批處理bginfo.bat,紅色區域不同域環境修改一下路徑即可(這裏以LEE.NET網域爲例)
cmd /c
@echo off
"\\LEE.NET\SysVol\LEE.NET\Policies\{81CE5A09-F768-476F-BAE6-B65282C9F621}\User\Scripts\Logon\bginfo.exe" /nolicprompt /i"\\LEE.NET\SysVol\LEE.NET\Policies\{81CE5A09-F768-476F-BAE6-B65282C9F621}\User\Scripts\Logon\bgconfig.bgi" /timer:00
5、在客戶端註銷登錄(登錄賬戶需套用bginfo 的GPO)
不知這個是否爲程序的bug還是有其他原因,雖然刪除了所有顯示的字段,還是會顯示一下再自動消失。
6、SQL數據庫中查看已存在自定義和微軟默認的所有字段記錄