locked
windows 2008與windows 7、vista、xp之間的ad信任關係 RRS feed

  • 問題

  • 請教各位:

    我是windows 2008的新手

    原本使用windows 2003,客戶端都是 xp.

    所以,xp加入網域之後,設定好使用者所使用軟體之使用環境之後,就會用acronis true images備份。

    但該使用者電腦有問題時(中毒等因素),我要還原該電腦時,可能離上一次備份的時間點大約幾個月了。

    這個時候,還原之後,該部電腦需要用本機帳號登入,退出網域,然後加入網域一次。

    我目前疑未來的疑問點:

    1.windows 7加入網域,如何加入?一樣在「我的電腦」->「內容」->「變更設定」->「變更」->成員隸屬->xxx.com?還是登入時,直接登入該網域使用者帳號?兩者有何差異?因為我還沒有環境試,所以,請教有經驗的專業人士~

    2.那vista要如何加入網域?該注意什麼?

    3.原本在windows 2003與windows xp加入網域時,我都會把該ad user帳號加入為本機Administrator。因為我都是先用本機Administrator帳號安裝使用者會用的軟體,所以才需要把該ad user帳號加入本機的Administrator。或者,有什麼方法可以避免使用者在跑軟體時,出現使用軟體等錯誤問題?

    4.windows 2008與windows7、vista、xp之間會有一個信任時間,從哪裡設定這一個信任時間?或者,該如何避免問題1.

    我受過正式的MCSE+Intersecurity,且有證書,所以,我認為正規教育養成的人~

    麻煩各位專業且有經驗的人告訴我~謝謝

    2010年10月17日 下午 02:03

解答

  • 網域內的電腦帳戶預設是30天會自動變更一次密碼,
    可以參考TechNet 技術文件庫:網域成員:停用電腦帳戶密碼變更
    這是基於DC 與電腦帳戶間的通訊安全考量。
    至於你說的AD與客戶端信任為90天,就不清楚你指的是什麼了?

    另外,如果是安裝軟體的話,
    很多軟體的確都需要有本機端Administrator權限才能安裝。
    如果是執行軟體的話則不一定了。

    假使對未來導入或使用Win7 有疑慮,
    比較建議你安裝虛擬軟體例如免費的VirtualBox 或Virtual PC,
    並下載微軟免費提供的Win 7 Enterprise 90天試用版進行評估,
    會比在這邊等大家分享他的經驗來得快且直接,
    而且從你的問題描述中,還是不清楚你想知道的經驗是指哪些?


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    • 已提議為解答 Kill Apple 2010年10月19日 上午 03:23
    • 已標示為解答 台灣鍾小明 2010年10月19日 上午 04:56
    2010年10月18日 上午 01:56
  • 先從備份還原開始講,
    如果你的用戶端電腦在加入網域後才做備份,
    萬一備份跟還原的時間點相差很遠,
    或者很剛好地碰到電腦帳戶密碼變更,
    那麼在還原後會建議你重新加入網域。
    所以我在公司的SOP 作法都是加入網域前就先做備份。

    1. Win7 加入網域的方法並沒有太大改變。架個VM及環境應該不會花太多時間。
    2. Vista 跟Win7 的方法一樣。
    3. 我跟你的方法一樣,都是用本機端Administrator預先裝好使用者會用的軟體。
    但不清楚你說的如何避免使用者跑軟體時,發生軟體錯誤的狀況。
    這比較有可能是執行該軟體的帳號必須要有Administrator的權限,這情形最容易發生在自行開發軟體。
    4. 不太了解你想問的信任時間為何?加入網域的用戶端電腦,自動會跟DC 做時間的同步。

    以小弟不才也上過的MCSE 課程來說,
    雖然裡面講的是Windows XP及Server 2003,
    但基本的AD 理論及架構還是能通用在Win7/Vista在網域的通訊,
    有機會可以再翻一下教材回憶一下。 : )


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    2010年10月17日 下午 02:53

所有回覆

  • 先從備份還原開始講,
    如果你的用戶端電腦在加入網域後才做備份,
    萬一備份跟還原的時間點相差很遠,
    或者很剛好地碰到電腦帳戶密碼變更,
    那麼在還原後會建議你重新加入網域。
    所以我在公司的SOP 作法都是加入網域前就先做備份。

    1. Win7 加入網域的方法並沒有太大改變。架個VM及環境應該不會花太多時間。
    2. Vista 跟Win7 的方法一樣。
    3. 我跟你的方法一樣,都是用本機端Administrator預先裝好使用者會用的軟體。
    但不清楚你說的如何避免使用者跑軟體時,發生軟體錯誤的狀況。
    這比較有可能是執行該軟體的帳號必須要有Administrator的權限,這情形最容易發生在自行開發軟體。
    4. 不太了解你想問的信任時間為何?加入網域的用戶端電腦,自動會跟DC 做時間的同步。

    以小弟不才也上過的MCSE 課程來說,
    雖然裡面講的是Windows XP及Server 2003,
    但基本的AD 理論及架構還是能通用在Win7/Vista在網域的通訊,
    有機會可以再翻一下教材回憶一下。 : )


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    2010年10月17日 下午 02:53
  • 先從備份還原開始講,
    如果你的用戶端電腦在加入網域後才做備份,
    萬一備份跟還原的時間點相差很遠,
    或者很剛好地碰到電腦帳戶密碼變更,
    那麼在還原後會建議你重新加入網域。
    所以我在公司的SOP 作法都是加入網域前就先做備份。

    1. Win7 加入網域的方法並沒有太大改變。架個VM及環境應該不會花太多時間。
    2. Vista 跟Win7 的方法一樣。
    3. 我跟你的方法一樣,都是用本機端Administrator預先裝好使用者會用的軟體。
    但不清楚你說的如何避免使用者跑軟體時,發生軟體錯誤的狀況。
    這比較有可能是執行該軟體的帳號必須要有Administrator的權限,這情形最容易發生在自行開發軟體。
    4. 不太了解你想問的信任時間為何?加入網域的用戶端電腦,自動會跟DC 做時間的同步。

    以小弟不才也上過的MCSE 課程來說,
    雖然裡面講的是Windows XP及Server 2003,
    但基本的AD 理論及架構還是能通用在Win7/Vista在網域的通訊,
    有機會可以再翻一下教材回憶一下。 : )


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案


    1.

    我記得上課的老師說過~AD與客戶端信任時間為90天。

    但我卻忘記問他~在哪裡可以取消或者延長這一個時間

    也許這是微軟本身的機制。

    2.

    至於說,為什麼要用本機Administrator來安裝軟體,原因無他,因為很多軟體會run到系統等權限。

    這是我第一次用一般使用者安裝軟體遇到的問題

    忘記什麼軟體了,但為了這些麻煩所以我就安裝軟體時,用本機Administrator帳號權限。

    但還是謝謝您~

    畢竟公司現在還跑windows xp~少數幾台電腦跑vista與windows 7.

    但為了利於未來作業系統改變~所以~資訊人員還是要先因應。

    看看還有沒有有經驗的資訊人員或者專業人士可以提供他的經驗~希望~

    2010年10月17日 下午 05:03
  • 網域內的電腦帳戶預設是30天會自動變更一次密碼,
    可以參考TechNet 技術文件庫:網域成員:停用電腦帳戶密碼變更
    這是基於DC 與電腦帳戶間的通訊安全考量。
    至於你說的AD與客戶端信任為90天,就不清楚你指的是什麼了?

    另外,如果是安裝軟體的話,
    很多軟體的確都需要有本機端Administrator權限才能安裝。
    如果是執行軟體的話則不一定了。

    假使對未來導入或使用Win7 有疑慮,
    比較建議你安裝虛擬軟體例如免費的VirtualBox 或Virtual PC,
    並下載微軟免費提供的Win 7 Enterprise 90天試用版進行評估,
    會比在這邊等大家分享他的經驗來得快且直接,
    而且從你的問題描述中,還是不清楚你想知道的經驗是指哪些?


    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    • 已提議為解答 Kill Apple 2010年10月19日 上午 03:23
    • 已標示為解答 台灣鍾小明 2010年10月19日 上午 04:56
    2010年10月18日 上午 01:56
  • 對了,如果你其實只是想知道2008DC 與windows 7、vista、xp之間的ad信任關係,
    AD 的基本運行理論及架構並沒有因為新作業系統而有什麼太多改變,
    所以你之前念到的東西還是能通用。 :)
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    好用的微軟技術支援小工具
    Facebook - 微軟台灣官方論壇愛好者俱樂部
    如何在論壇正確發問,請參考iThome的文章: 如何問到我要的答案
    2010年10月18日 上午 02:13