1、精選優質文檔-傾情為你奉上山西移動IT-NMS系統終端管理解決方案OA終端部署實施方案上海微創軟件有限公司2006年08月專心-專注-專業目錄1 終端加入域實施操作每名參與實施的助理工程師都必須熟練掌握如何手工完成終端實施的步驟。由于客戶機器分布的地域各有不同，所以具體計算機環境可能也也有不同。當自動化（腳本）流程不能進行時，我們必須手工完成所有步驟。本實施中每個OA客戶端登錄帳戶（域帳戶）來自于OA郵件系統帳戶（即用戶名與OA郵件系統相同），登錄密碼是隨機生成的7位數的密碼（出于安全考慮，每個人密碼均不相同，配置工作完成后實施人員會協助用戶更改密碼）。OA客戶端計算機名使用各分公司代碼的前兩

2、位與用戶姓名中間用短線分隔的命名方式。1.1. 部署客戶端前的準備工作1.1.1. 詢問用戶信息到客戶端首先詢問用戶的部門信息、中文姓名和Lotus Notes(公司郵件)的帳戶名，找到實施表格上對應的人員信息。如果部門信息有錯誤請在表格上進行更正。注意：由于有中文姓名相同情況，請核實中文姓名（對應表格上中文名）和Lotus Notes的帳戶名（對應表格上域用戶名）與表格吻合的一行。 將用戶對應的用戶名稱、計算機名稱、部門等信息，填入客戶端實施完成確認單對應位置。1.1.2. 檢查網絡連通性使用Ping工具檢查是否能連通域控制器。ping 5如圖：1.1.3. 檢查操作系

3、統版本 本次任務設計的客戶端操作系統包括Windows 2000 Professional、Windows XP Professional、Windows 98，其余各種版本操作系統一律不加以任何處理。合格的客戶端配置應該是Windows 2000 Professional 或 Windows XP Professional版本。有些客戶端，特別是一些筆記本OS可能為Windows XP Home版本。由于Home版本無法加入域，移動公司負責把這些機器重新安裝Professional版本。請使用以下方式來鑒別操作系統版本以及安裝的Service Pack版本：右擊我的電腦，點擊屬性，點擊常規例

4、如，上面的抓圖顯示的是Windows XP Professional，Service Pack 是SP2。如果發現客戶端是Windows XP Home版本，請客戶自行重新安裝其為Professional版本。如果客戶端系統是Window 98之前版本（不包括Windows 98）或Windows Me版本，則需要等到以后客戶將系統升級至Windows 2000或更高版本（建議Windows XP）后再進行配置工作。 獲取客戶端操作系統版本以后，請將操作系統版本記錄入客戶端實施完成確認單對應位置。1.1.4. 暫時停止防火墻當客戶端加入到域時，客戶端需要與域控制器建立會話，如果計算機上安裝并啟

5、用了第三方防火墻軟件，會話可能無法建立。因此，需要暫時停止客戶端安裝的第三方防火墻軟件。Windows XP SP2所自帶的防火墻，對此過程并無影響，不需要將其禁用或關閉。常見的防火墻包括天網、金山網鏢等等。對于此類防火墻軟件，需要在運行腳本Part2.vbe前，在其主界面或狀態欄圖標將其暫時停止。或在“開始菜單”*“控制面板”*“性能和維護”*“管理工具”*“服務”中，找到第三方防火墻軟件對應的服務，將其停止（不要禁用）。注意：McAfee 8.0i 企業版自帶防火墻功能，需要將其暫時停止。1.1.5. 腳本的獲取腳本文件將以兩種方式發送到各位手上，包括光盤和軟盤，針對使用光驅或只有軟驅的用

6、戶。除此以外，還可以通過訪問以下地址獲得腳本：5script訪問以上地址，可使用用戶sxoajd及密碼。1.2. 用腳本部署客戶端流程為了最大的簡化部署客戶端的勞動量，減少出錯的幾率。我們使用VB腳本在子域SXOA.SXYD.COM.CN部署客戶端。這四個腳本是1-RenameComputer.vbe，2-JoinDomain.vbe，3-MigrateProfile.vbe和4-DeleteTempAccount.vbe，分別對應以下四個流程：l 重命名客戶端計算機名；添加臨時帳戶sxmtemp（為了避免對原有界面和文檔等誤操作，在全新的帳戶下進行操作）更改計算機名稱（

7、為了符合終端管理的資產管理需要）自動重新啟動計算機（為了應用新的計算機名稱）l 將客戶端加入到域更改本地DNS和WINS的指向到AD域中的DNS和WINS服務器（為了加入域和使用域內資源及獲得各種服務）將計算機加入到SXOA域中（為了實現終端管理的基本條件）l 遷移用戶配置文件將本地配置文件遷移到域用戶下（為了使以前的所有文件和設置信息可以無縫的遷移到新的用戶環境，保證用戶登陸域后所有文件和設置保持與先前相同）l 收尾工作刪除臨時帳戶sxmtemp（刪除不用的臨時帳戶）我們通過下面這個例子，演示整個實施的過程。1.2.1. 重命名客戶端計算機名第一次登錄客戶端時，我們請客戶使用需要被遷移的本地

8、帳號登錄到客戶端。1. 在開始運行中輸入52. 在彈出的用戶名和密碼對話框中輸入，用戶名：jd，密碼：3. 雙擊鼠標打開共享文件夾Script4. 雙擊鼠標打開文件夾01-JoinDomain5. 運行腳本1-RenameComputer.vbe6. 如果彈出安全警告，那么在彈出的對話框點擊打開按鈕7. 如果步驟一不成功，會跳出下面的對話框。這時，請注銷系統，用administrator帳號登錄，然后再運行腳本1-RenameComputer.vbe。如果客戶不知道administrator的密碼，請參考附二來重設密碼。 8. 在對話框中輸入域用戶名，點擊“確定”9. 如

9、果輸入有誤，可以點擊“否”進行修改，確認正確請點擊“是”10. 在對話框中輸入計算機名，點擊“確定”11. 如果計算機名輸入有誤，可以點擊否進行更改。如果正確，點擊是。12. 客戶機提示重啟13. 如果彈出安全警告對話框，點擊運行按鈕14. 等待一會計算機第一次自動重啟1.2.2. 將客戶端加入到域1. 以本地帳號sxmtemp登錄客戶端，密碼為sxmtempWindows XP登錄抓圖Windows 2000登錄抓圖2. 檢查客戶端是否成功的改名右擊我的電腦，點擊屬性，點擊計算機名，查看完整的計算機名稱。如果腳本沒有成功更改計算機名，請參看2.3.2節來手工更改計算機名3. 在開始運行中輸入

10、54. 在彈出的用戶名和密碼對話框中輸入，用戶名：jd，密碼：5. 進入到Script，然后進入01-JoinDomain文件夾，雙擊運行腳本2-JoinDomain.vbe6. 如果彈出安全警告，那么在彈出的對話框點擊打開按鈕7. 彈出對話框提示在完成加入域操作后會重新啟動計算機，點擊確定。8. 如果彈出安全警告對話框，點擊運行按鈕9. 系統第二次自動重新啟動1.2.3. 遷移用戶配置文件1. 以本地帳號sxmtemp登錄客戶端，密碼為sxmtemp2. 檢查客戶端是否成功的加入域中右擊我的電腦，點擊屬性，點擊計算機名，確認域名是SXOA.SXYD.COM.CN。如果腳

11、本沒有成功的將客戶端加入域中，請參看2.3.3節來手工將客戶端加入域中3. 在開始運行中輸入54. 在彈出的用戶名和密碼對話框中輸入，用戶名：jd，密碼：5. 運行腳本3-MigrateProfile.vbe6. 如果彈出安全警告，那么在彈出的對話框點擊打開按鈕7. 腳本開始遷移用戶的配置文件8. 在彈出的黑色命令行窗口消失后，請手動注銷當前用戶。注：如發現計算機登錄后用戶配置文件遷移失敗，請勿再次運行腳本3-MigrateProfile.vbe，請按照手動遷移方式進行遷移或聯系微創工程師進行處理。1.2.4. 收尾工作1. 以域用戶帳號登錄計算機啟動到登陸界面后，同時按

12、下Ctrl+Alt+Del后，點擊“選項(O)<<”后在“登陸到(L):”后面點擊下拉框選擇“SXOA”后再點擊“選項(O)<<”，將“登陸到(L):”這一行再隱藏掉。在“用戶名(U):”處輸入該用戶的域用戶名（表格上），在“密碼(P)”處輸入該域用戶的密碼（表格上），點擊確定。2. 檢查用戶配置文件是否遷移成功如果用戶配置文件遷移成功，那么域用戶登錄后的桌面應該與被遷移的本地帳戶登錄時的桌面相同。如果登錄后發現是一個全新的桌面，和被遷移的本地帳戶登錄時的桌面不同。這說明腳本遷移用戶配置失敗。請參看2.3.4節來手工遷移用戶配置。10. 在開始運行中輸入10.204.9

13、3.353. 運行腳本4-DeleteTempAccount.vbe4. 腳本程序將執行最后的清理工作至此，用腳本部署客戶端的任務全部完成。最后，提醒客戶更改域帳戶的初始密碼。步驟如下：Windows 2000和Windows XP客戶端1. 同時按住 Ctrl-Alt-Del2. 在Windows 安全對話框，點擊更改密碼，在舊密碼欄中輸入初始密碼，然后輸入新密碼，點擊確定。1.2.5. 提醒用戶保護自身數據為了提高數據安全性，提醒客戶通過以下方式保護和增強自身數據的安全：11. 設置開機密碼（主板BIOS密碼）防止他人進入自己計算機系統12. 嚴格設置共享的權限防止未經授權的用戶通過網絡訪

14、問或刪除共享的資源13. 使用NTFS格式的分區可以提供本地的安全保護14. 設置嚴格的NTFS權限防止任何遠程和本地的用戶對本機進行未經本人授權的操作。2 安裝ISA客戶端1. 在運行窗口輸入52. 雙擊打開Script文件夾，再雙擊進入02-ISA-Client文件夾，雙擊運行DeployFW3. 如彈出安全警告對話框，點擊運行按鈕4. 點擊下一步5. 點擊下一步6. 輸入服務器IP地址：397. 點擊安裝8. 安裝完成，點擊完成。至此，ISA客戶端安裝完成9. 打開IE確認上網操作正常，同時可以看到ISA客戶端的圖標顯示正常連接狀態。：可以連接

15、到ISA服務器，在移動公司OA網范圍內顯示此圖標表示客戶端與服務器連接狀況正常。：不能連接到ISA服務器，在移動公司OA網范圍內顯示此圖標表示客戶端與服務器連接狀況不正常，需要進行排錯。在移動公司OA網范圍之外顯示此圖標屬于正常現象，并且不會影響客戶端上網行為。3 安裝SMS客戶端1. 在運行窗口輸入52. 雙擊打開Script文件夾，再雙擊進入03-SMS-Client文件夾，雙擊運行DeploySMS3. 如彈出安全警告對話框，點擊運行按鈕4. 點擊下一步5. 點擊下一步6. 輸入S01后點擊下一步7. 點擊完成，結束SMS客戶端安裝4 手動部署客戶端流程如果腳本無法

16、將客戶端加入域，我們需要遵循下面三個流程，手動將客戶端加入域中：l 重命名客戶端計算機名；l 將客戶端加入到域l 遷移用戶配置文件4.1 重命名客戶端計算機名我們用具有管理員權限的帳號登錄客戶端（如本地管理員Administrator），然后使用下面的步驟更改計算機名：如果不知道administrator的密碼，請參考附二重設administrator的密碼右擊我的電腦，點擊屬性，點擊計算機名，點擊更改，輸入計算機名，點擊確定，重啟機器如圖: 4.2 將客戶端加入到域在做加入域的工作前，應該先檢查網絡配置，主要是IP地址，DNS服務器等。用具有管理員權限的帳號登錄客戶端（如本地管理員Admin

17、istrator），然后使用下面的步驟配置網絡：右擊網上鄰居，點擊屬性，雙擊對應的網卡，點擊Internet協議（TCP/IP）屬性，點擊屬性。點擊高級，點擊DNS標簽，點擊添加，輸入IP 4，點擊添加，輸入IP 5。點擊WINS標簽，點擊添加，輸入IP 5，點擊添加，輸入IP 。點擊確認，直到所有對話框關閉。如圖使用Ping工具檢查是否能連通DNS服務器。ping 5如圖確保客戶端能夠連通到DNS服務器后，使用下面的步驟把客戶端加入到域中。右擊我的電腦，點擊屬性，點擊計算機名，點擊更

18、改，輸入域名，點擊確定如圖: 在“計算機名更改”對話框中輸入域用戶帳號jd和密碼加入域的歡迎信息出現后，點擊確定，重新啟動機器。4.3 遷移用戶配置文件在Windows 2000、XP上，我們需要使用把原來的本地帳號的配置文件遷移到域帳號下，換句話說，當使用域帳號登錄到客戶端時，桌面、我的文檔等配置應與使用本地帳號相同。如果腳本part3不能夠成功的遷移用戶配置文件，請參考下面的步驟手動的遷移用戶配置文件：假設被遷移的本地帳號是LocalAccount，遷移的域帳號是DomainAccount注意：首先要以域用戶賬號登錄計算機一次，然后注銷。對于Windows 2000和XP客戶端1、確認用戶

19、權限15. 以原來用戶的本地登陸帳戶（如果不知道或人不在那么以sxmtemp帳戶）登錄到用戶計算機；16. 在“我的電腦”上單擊右鍵，選擇“管理”；17. 展開“本地用戶和組”*“組”；18. 雙擊Administrators，查看其下是否具有SXOADomainAccount（注意區別LocalAccount和DomainAccount）；19. 如該組中無SXOADomainAccount，則需要點擊“添加”按鈕，在添加用戶對話框中輸入用戶的登錄名，并以jd/為用戶和密碼查詢用戶；20. 點擊“確定”按鈕，完成用戶添加。2、確認文件系統l 雙擊打開“我的電腦”；l 在C盤上單擊右鍵，選擇“

20、屬性”；l 查看其文件系統是FAT32還是NTFS；l 如果是FAT32，請直接跳到第5步；l 如果是NTFS，請繼續以下步驟；3、確認舊用戶配置文件權限l 以原來用戶的本地登陸帳戶（如果不知道或人不在那么以sxmtemp帳戶）登錄到用戶計算機；l 雙擊打開“我的電腦”*“C盤”*“Documents and Settings”；l 在菜單上點擊“工具”*“文件夾選項”*“查看”，去除“使用簡單共享”選項前的復選框；l 在用戶舊配置文件文件夾上單擊右鍵，選擇“屬性“；l 在屬性對話框中，選擇安全標簽欄；l 在安全標簽欄中，查看用戶列表是否具有以下對象：SXOADomain Admins、Mac

21、hineNameLocalAccount、MachineNameAdministrators、SXOADomainAccount；如缺乏以上任何一對象，點擊添加按鈕將其添加至列表中；l 檢查以上所列所有對象，確認其權限為“完全控制”；如其權限并非為完全控制，可將其改為完全控制并點擊應用完成權限修改；l 點擊“高級”按鈕，在高級安全設置中，鉤選“用在此顯示的可以應用到資對象的項目替代所有子對象的權限項目；l 完成權限修改前，請注意客戶端殺毒軟件是否開啟，如開啟，請暫時將其關閉以提高效率。如查看安全標簽欄，其中均為空值且不可修改，則請執行第4步。4、奪取所有權請注意，本操作僅在第3步安全標簽欄中無

22、任何用戶情況下需要執行。請勿隨意執行。當發現用戶無法修改舊用戶配置文件文件夾用戶對象時，需要奪取所有權及權限。l 以用戶原有登錄名及密碼登錄到用戶計算機；l 雙擊打開“我的電腦”*“C盤”*“Documents and Settings”；l 在用戶舊配置文件文件夾上單擊右鍵，選擇“屬性“；l 在屬性對話框中，選擇安全標簽欄；l 在安全標簽欄中，添加以下對象：SXOADomain Admins、MachineNameLocalAccount、MachineNameAdministrators、SXOADomainAccount；l 檢查以上所列所有對象，確認其權限為“完全控制”；如其權限并非為

23、完全控制，可將其改為完全控制并點擊應用完成權限修改；l 完成權限修改前，請注意客戶端殺毒軟件是否開啟，如開啟，請暫時將其關閉以提高效率。5、修改用戶的配置文件指向注：執行本操作前，請注意區分舊用戶配置文件夾路徑及新用戶配置文件夾路徑，切勿錯誤設置。l 以sxmtemp登錄到客戶端計算機；l 在運行中輸入regedit.exe打開注冊表編輯器；l 瀏覽至以下位置HKLMSoftwareMicrosoftWindows NTCurrentVersionProfileList；l 在其中查找S-1-5-21-56.項，將其中ProfileImagePath值改為用戶舊配置文件路徑；l 查找用戶舊配置

24、文件路徑，將其值加個0；l 關閉注冊表編輯器，以域用戶登錄。最后，提醒客戶更改域帳戶的初始密碼。步驟如下：Windows 2000和Windows XP客戶端1. 同時按住 Ctrl-Alt-Del2. 在Windows 安全對話框，點擊更改密碼，在舊密碼欄中輸入初始密碼，然后輸入新密碼，點擊確定。附一：在出現問題時如何收集查錯信息如果在部署客戶端的過程中出現錯誤（包括客戶端無法加入域；無法遷移帳號等），我們需要收集相關的信息，以便排錯。請遵循下面的步驟，收集信息：1. 當某個步驟出錯時，通常系統會報一個錯誤信息。這時，我們需要將錯誤信息抓一個圖，保存下來。抓圖的步驟如下：按下鍵盤上的Prin

25、t鍵，打開附件中的畫圖程序，按Ctrl-V粘貼，然后保存為JPG格式2. 客戶端在加入域時，會把相關信息寫到文件netsetup.log中。文件位于目錄%windir%debug下，需要把它收集。3. 微軟的MPS Report工具能夠收集客戶端的系統信息。使用MPS Report工具方法如下:Ø 雙擊MPSRPT_DirSvc.EXEØ 命令行窗口跳出，運行MPS ReportØ MPS Report工具運行結束后，會在%windir%MPSReportsDirSvcLogscab文件夾產生一個.cab文件Ø 收集這個.cab文件4. 如果在遷移用戶帳號時發生錯誤，還要收集相應的注冊表 (否則，不要收集)&#