企业网管需要关注的问题

最近总结了下 helpdesk 客户端经常碰到的问题，作为 helpdesk 最大的心愿无非是在一些重复性的工作中解放自己的双手，借以此节省时间来提升自己的专业技能，从而使自己能够往前迈一大步，摆脱 helpdesk 的困境，走向自己的梦想，跑偏了，言归正传，顺便针对如此情况写一下自己工作中所采取的一些工作方式，希望各位拍砖

一、批量部署操作系统

针对公司建设，特别是发展中的公司，很多时候 IT 设备一次性采购都会是两位数，与此同时，作为 helpdesk 可能也会忙碌起来，但是这个忙碌的效率如何，那就要看各位妙招了

网上讲的大部分都是基于 microsoft 的产品的 , 当然也有基于网刻的，至于具体的应用要看你的企业网络环境的部署是什么样的一个情况而定，

1 、基于 microsoft 的批量部署操作系统的几种方式：

WDS/NTP/SCOM/SCCM…….

2 、基于网刻的：

基于 PEX 的网刻

3 、 helpdesk 手工一台一台的部署

注：虽然每种方式都有自己的优点，但是真正实施起来也有一定的局限性

问题

1 、微软的批量部署操作系统的方法需要基于服务器的 DHCP 服务支持，而多数公司的 dhcp 服务基本上都是部署在三层交换上面（最大的原因就是部署简单，几行命令搞定），不知道这个该怎么解决？

2 、基于 PEX 的网刻，同时软件服务端也提供了 dhcp 服务，同第一个问题有些类似的是，企业 dhcp 服务多是部署在三层网络上，如果我使用 PEX 部署的话，其他客户端获取 IP 地址冲突，可能就无法正常应用了，这不是我们希望看到的，如何解决这个问题呢？

3 、 helpdesk 手工一台台安装，可能这也不是我们想要的，费时、费力不说，还没有效率，

二、客户端权限问题，

现在企业中多数是部署的 microsoft 的 AD 域，为了集中管理，下发客户端的权限基本上都是 domain users 权限，而客户端有些软件偏偏需要管理员权限才能运行，我们该怎么办？

1、  组策略，针对安装软件的目录，我们赋予 domain users 对这些目录完全控制权限，这是微软工程师提供的一种方法。但是我试验没有成功

2、  Xcals 脚本，使用脚本命令更改客户端相应文件夹得权限所属，可惜我不会脚本编辑

3、  网管手工一台一台地去设置

注：各位大大有什么好的方法?

三、域中客户端防火墙关闭与开启问题

关于域中防火墙开启与关闭问题我和很多朋友也讨论过，有的说为了安全起见，还是开启的好；有的说为了内网管理（有时很多内网即时通讯软件受防火墙限制，会有这样那样的问题出现），还是关闭的好。

究竟是如何是好，还望有经验的大大指点？交流下

四、域中客户端需要开启的服务

我所知道的一些服务必须开启的：

1、  computer Browser 服务

2、  server 服务

3、  workstation 服务

4、  TCP/IP netbios helper  // 这个服务关系到客户端访问文件服务器成功与否

5、  Windows management Instrumentation  // 关系到域策略能否在客户端成功执行

 不知还有那些是必须开启的服务？交流下

 

五、域内计算机批量重命名

由于公司前期规划不好，造成公司客户端计算机名乱七八糟的，给管理加大了难度，为了统一管理，现决定针对客户端端计算机重命名，方法有几种：

1、  使用 netdom 重命名域内计算机名

2、  使用脚本

3、  网管手工操作

问题

1 、使用 netdom 重命名域内计算机，网上都是在单条命令重命名单台机器的，那位可成批量操作过？

2 、使用脚本，才疏学浅，不会脚本

3 、手工操作，一台台设备，退域再加域，搞死人一个 ……

六、为了管控客户端登录问题

领导提出以下两个问题，

1 、不允许客户端只能本地登录，这个可以使用脚本统一部署客户端本地管理员密码，以防止客户端登录本地

2 、不允许客户端并发登录，这个可以建立域账户的时候限制域账户登录到特定的计算机内

问题

1、  本地管理员密码更改，很多有点了解网络的人，使用 U 盘做的系统，破解本地管理员密码，（原因： domain user 没有权限安装软件， helpdesk 又不给他们安装，而他们又想安装一下非工作软件，所以 ….. ）又没有办法做到最好取消掉本地登录的选项，只能进行域登录？

2、  公司有些账户需要漫游，又该如何管控？

七、不加域用户访问域中文件服务器

1 、不加域用户访问域中文件服务器需要认证，解决办法：组策略管理器 ---- 计算机设置 -----windows 设置 ----- 安全设置 ---- 本地策略 ---- 安全选项 --- 网络访问：来宾用户   开启认证方式

2 、不加域用户禁止访问域中文件服务器

不知哪位大大有更好的解决办法？交流下

八、关于备份

AD 数据备份、组策略备份、文件服务器文件进行备份，备份方式：

1 、针对 AD 数据、组策略使用系统自带的 ntbackup 进行本地备份，使用脚本同步备份到其他服务器上，然后在虚拟机里进行备份数据验证。

2 、第三方软件，异机备份，虚拟机中测试数据是否正常

3 、针对 AD 数据、组策略采用本地备份，然后基于 DFS 的文件服务，实时备份到异机，虚拟机中测试数据是否正常。

4 、脚本实现备份

那位有更好的办法？交流下

九、客户端远程管理服务器，

1 、主要针对域控，每次新员工入职，老员工离职都要远程登录到服务器上进行账户禁用，删除等操作，有没有客户端软件能够避免登录直接远程连接到服务器上进行这些操作？（使用了微软的提供的基于 win7 的客户端管理软件，不是太好用）

2 、针对文件服务器，有没有软件能够实现免登陆实现在文件服务器上添加、 删除员工对应的文件夹以及设置他们的权限问题？

 

这些是总结的一些常见的问题，稍后会将具体的解决方案附上，敬请期待 …….

本文出自 “追马” 博客，谢绝转载！