1.客戶端xp添加不了到myad.com，要不就是dns沒有設(shè)置正確，要不就是services.msc服務(wù)中沒有開啟TCP/IP NetBIOS Helper.

2.ou是組織單元的簡(jiǎn)稱，為了方便管理類似屬性用戶而設(shè)置的一個(gè)群體，類似組域指的是一個(gè)范圍，由一個(gè)域加上子域構(gòu)成樹，多個(gè)樹就夠成了域林 容器指的是存儲(chǔ)的空間，和傳統(tǒng)的容器一個(gè)意思，只是抽象了點(diǎn)而已。

3.建立ou技術(shù)部里面可以添加計(jì)算機(jī)，聯(lián)系人，組，組織單位，打印機(jī)，用戶，共享文件夾等。點(diǎn)擊ou屬性可以添加組策略。

4.委派的用戶帳戶跟組里的用戶帳戶沒什么關(guān)系，都是用戶帳戶。用戶帳戶是給用戶使用電腦時(shí)登錄電腦用的憑證，用戶帳戶加入用戶組可以方便給大量用戶帳戶賦權(quán)限，OU是存放用戶帳戶等AD對(duì)象的容器。domain users的權(quán)限一般不用改。OU的委派管理一般是讓一個(gè)非管理員帳戶具有管理某OU下的AD對(duì)象的權(quán)限，委派什么權(quán)限要按實(shí)際的需求去做，不好說(shuō)一般委派什么權(quán)限。如有一個(gè)市場(chǎng)部的OU，存放所有市場(chǎng)部的AD對(duì)象，現(xiàn)在想讓市場(chǎng)部經(jīng)理去管理市場(chǎng)部的所有用戶帳戶，就可以委派給市場(chǎng)部經(jīng)理的用戶帳戶有管理該OU用戶帳戶的權(quán)限，市場(chǎng)部經(jīng)理就可以給新員工創(chuàng)建用戶帳戶，給老員工改密碼等等

5.Builtin”容器中的組

組 描述 默認(rèn)用戶權(quán)限
Account Operators
 該組的成員可以創(chuàng)建、修改和刪除位于“Users”或“Computers”容器中的用戶、組和計(jì)算機(jī)的帳戶以及該域中的組織單位，但“Domain Controllers”組織單位除外。該組的成員無(wú)權(quán)修改 Administrators 或 Domain Admins 組，也無(wú)權(quán)修改這些組的成員的帳戶。該組的成員可本地登錄到該域的域控制器中，并可將其關(guān)閉。由于該組在此域中有重要的作用，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 允許本地登錄；關(guān)閉系統(tǒng)。
 
Administrators
 該組的成員具有對(duì)域中所有域控制器的完全控制。默認(rèn)情況下，Domain Admins 和 Enterprise Admins 組是 Administrators 組的成員。Administrator 帳戶也是默認(rèn)成員。由于該組在此域中具有完全控制權(quán)限，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 從網(wǎng)絡(luò)上訪問該計(jì)算機(jī)；調(diào)整進(jìn)程的 內(nèi)存配額；備份文件和目錄；跳過遍歷檢查；更改系統(tǒng)時(shí)間；創(chuàng)建頁(yè)面文件；調(diào)試程序；為委派啟用受信任的計(jì)算機(jī)和用戶帳戶；從遠(yuǎn)程系統(tǒng)強(qiáng)行關(guān)機(jī)；提高調(diào)度優(yōu)先級(jí)；加載和卸載設(shè)備驅(qū)動(dòng)程序；允許本地登錄；管理審核和安全日志；修改固件環(huán)境值；簡(jiǎn)述單個(gè)進(jìn)程；簡(jiǎn)述系統(tǒng)性能；從插接站刪除計(jì)算機(jī)；還原文件和目錄；關(guān)閉系統(tǒng)；獲得文件或其他對(duì)象的所有權(quán)。
 
Backup Operators
 該組的成員可備份和還原該域中域控制器上的所有文件，而不用考慮其各自對(duì)這些文件的權(quán)限。Backup Operators 還可以登錄到域控制器并將其關(guān)閉。該組沒有默認(rèn)的成員。由于該組對(duì)域控制器有重要作用，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 備份文件和目錄；允許本地登錄；還原文件和目錄；關(guān)閉系統(tǒng)。
 
Guests
 默認(rèn)情況下，Domain Guests 組是該組的成員。Guest 帳戶（默認(rèn)情況下禁用此帳戶）也是該組的默認(rèn)成員。
 沒有默認(rèn)的用戶權(quán)限。
 
Incoming Forest Trust Builders（僅出現(xiàn)在林根域中）
 該組的成員可創(chuàng)建對(duì)林根域的單向傳入林信任。例如，駐留在 A 林中的該組成員能夠創(chuàng)建來(lái)自 B 林的單向傳入林信任。該單向傳入林信任允許 A 林中的用戶訪問位于 B 林中的資源。該組的成員在林根域上會(huì)得到“創(chuàng)建傳入林信任”權(quán)限。該組沒有默認(rèn)的成員。有關(guān)創(chuàng)建林信任的詳細(xì)信息，請(qǐng)參閱創(chuàng)建林信任 。
 沒有默認(rèn)的用戶權(quán)限。
 
Network Configuration Operators
 該組的成員可更改 TCP/IP 設(shè)置并續(xù)訂和發(fā)布該域中域控制器上的 TCP/IP 地址。該組沒有默認(rèn)的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
Performance Monitor Users
 該組的成員可在本地或從遠(yuǎn)程客戶端監(jiān)視該域中域控制器上的性能計(jì)數(shù)器，不必成為 Administrators 或 Performance Log Users 組的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
Performance Log Users
 該組的成員可在本地或從遠(yuǎn)程客戶端管理該域中域控制器上的性能計(jì)數(shù)器、日志和警報(bào)，不必成為 Administrators 組的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
Pre-windows 2000 Compatible Access
 該組的成員具有對(duì)該域中所有用戶和組的讀取訪問權(quán)限。該組向后兼容運(yùn)行 windows NT 4.0 及更低版本的計(jì)算機(jī)。默認(rèn)情況下，特殊的 Everyone 標(biāo)識(shí)是該組的成員。有關(guān)特殊標(biāo)識(shí)的詳細(xì)信息，請(qǐng)參閱特殊標(biāo)識(shí) 。僅當(dāng)用戶在運(yùn)行 windows NT 4.0 或更低版本時(shí)，將其添加到該組中。
 從網(wǎng)絡(luò)訪問此計(jì)算機(jī)；跳過遍歷檢查。
 
Print Operators
 該組的成員可管理、創(chuàng)建、共享和刪除連接到該域中域控制器上的打印機(jī)。它們可以管理該域中的 Active Directory 打印機(jī)對(duì)象。該組的成員可本地登錄到該域的域控制器中，并可將其關(guān)閉。該組沒有默認(rèn)的成員。由于該組的成員可在該域的所有域控制器上加載和卸載設(shè)備驅(qū)動(dòng)程序，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 允許本地登錄；關(guān)閉系統(tǒng)。
 
Remote Desktop Users
 該組的成員可遠(yuǎn)程登錄到該域的域控制器。該組沒有默認(rèn)的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
Replicator
 該組支持目錄復(fù)制功能，并由該域的域控制器上的“文件復(fù)制”服務(wù)使用。該組沒有默認(rèn)的成員。不向該組添加用戶。
 沒有默認(rèn)的用戶權(quán)限。
 
Server Operators
 在域控制器上，該組的成員可進(jìn)行交互式登錄、創(chuàng)建和刪除共享資源、啟動(dòng)和停止某些服務(wù)、備份和還原文件、格式化硬盤，以及關(guān)閉計(jì)算機(jī)。該組沒有默認(rèn)的成員。由于該組對(duì)域控制器有重要作用，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 備份文件和目錄；更改系統(tǒng)時(shí)間；從遠(yuǎn)程系統(tǒng)強(qiáng)行關(guān)機(jī)；允許本地登錄；還原文件和目錄；關(guān)閉系統(tǒng)。
 
用戶
 該組的成員可執(zhí)行大部分常見任務(wù)，如運(yùn)行應(yīng)用程序、使用本地和網(wǎng)絡(luò)打印機(jī)，以及鎖定服務(wù)器。默認(rèn)情況下，Domain Users 組、Authenticated Users 或 Interactive 都是該組的成員。因此，域中創(chuàng)建的任意用戶帳戶均為該組成員。
 沒有默認(rèn)的用戶
 
6.Users 容器中的組

組 描述 默認(rèn)用戶權(quán)限
證書發(fā)行者
 該組的成員獲準(zhǔn)為用戶和計(jì)算機(jī)發(fā)行證書。該組沒有默認(rèn)的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
DnsAdmins（隨 DNS 安裝）
 該組的成員具有對(duì) DNS Server 服務(wù)的管理訪問權(quán)限。該組沒有默認(rèn)的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
DnsUpdateProxy（隨 DNS 安裝）
 該組的成員是可代表其他客戶端（如 DHCP 服務(wù)器）執(zhí)行動(dòng)態(tài)更新的 DNS 客戶端。該組沒有默認(rèn)的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
Domain Admins
 該組的成員具有對(duì)該域的完全控制權(quán)。默認(rèn)情況下，該組是加入到該域中的所有域控制器、所有域工作站和所有域成員服務(wù)器上的 Administrators 組的成員。默認(rèn)情況下，Administrator 帳戶是該組的成員。由于該組在此域中具有完全控制權(quán)限，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 從 網(wǎng)絡(luò)上訪問該計(jì)算機(jī)；調(diào)整進(jìn)程的內(nèi)存配額；備份文件和目錄；跳過遍歷檢查；更改系統(tǒng)時(shí)間；創(chuàng)建頁(yè)面文件；調(diào)試程序；為委派啟用受信任的計(jì)算機(jī)和用戶帳戶；從遠(yuǎn)程系統(tǒng)強(qiáng)行關(guān)機(jī)；提高調(diào)度優(yōu)先級(jí)；加載和卸載設(shè)備驅(qū)動(dòng)程序；允許本地登錄；管理審核和安全日志；修改固件環(huán)境值；簡(jiǎn)述單個(gè)進(jìn)程；簡(jiǎn)述系統(tǒng)性能；從插接站刪除計(jì)算機(jī)；還原文件和目錄；關(guān)閉系統(tǒng)；獲得文件或其他對(duì)象的所有權(quán)。
 
域計(jì)算機(jī)
 該組包含加入到此域的所有工作站和服務(wù)器。默認(rèn)情況下，創(chuàng)建的任何計(jì)算機(jī)帳戶都會(huì)自動(dòng)成為該組的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
域控制器
 該組包含此域中的所有域控制器。
 沒有默認(rèn)的用戶權(quán)限。
 
Domain Guests
 該組包含所有域來(lái)賓。
 沒有默認(rèn)的用戶權(quán)限。
 
Domain Users
 該組包含所有域用戶。默認(rèn)情況下，此域中創(chuàng)建的任何用戶帳戶都會(huì)自動(dòng)成為該組的成員。可以使用該組來(lái)表示此域中的所有用戶。例如，如果想要所有域用戶具有對(duì)打印機(jī)的訪問權(quán)限，可將打印機(jī)的訪問權(quán)限指派給該組（或者將 Domain Users 組添加到打印機(jī)服務(wù)器上某個(gè)具有打印機(jī)訪問權(quán)限的本地組中）。
 沒有默認(rèn)的用戶權(quán)限。
 
Enterprise Admins（僅出現(xiàn)在林根域中）
 該組的成員具有對(duì)林中所有域的完全控制權(quán)限。默認(rèn)情況下，該組是林中所有域控制器上 Administrators 組的成員。默認(rèn)情況下，Administrator 帳戶是該組的成員。由于該組在林中具有完全控制權(quán)限，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 從 網(wǎng)絡(luò)上訪問該計(jì)算機(jī)；調(diào)整進(jìn)程的內(nèi)存配額；備份文件和目錄；跳過遍歷檢查；更改系統(tǒng)時(shí)間；創(chuàng)建頁(yè)面文件；調(diào)試程序；為委派啟用受信任的計(jì)算機(jī)和用戶帳戶；從遠(yuǎn)程系統(tǒng)強(qiáng)行關(guān)機(jī)；提高調(diào)度優(yōu)先級(jí)；加載和卸載設(shè)備驅(qū)動(dòng)程序；允許本地登錄；管理審核和安全日志；修改固件環(huán)境值；簡(jiǎn)述單個(gè)進(jìn)程；簡(jiǎn)述系統(tǒng)性能；從插接站刪除計(jì)算機(jī)；還原文件和目錄；關(guān)閉系統(tǒng)；獲得文件或其他對(duì)象的所有權(quán)。
 
Group Policy Creator Owners
 該組的成員可修改此域中的組策略。默認(rèn)情況下，Administrator 帳戶是該組的成員。由于該組在此域中有重要的作用，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 沒有默認(rèn)的用戶權(quán)限。
 
IIS_WPG（隨 IIS 安裝）
 IIS_WPG 組是 Internet 信息服務(wù) (IIS) 6.0 工作進(jìn)程組。在 IIS 6.0 的工作范圍內(nèi)存在服務(wù)于特定命名空間的工作進(jìn)程。例如，http://www.microsoft.com/是由一個(gè)工作進(jìn)程提供的命名空間，可在添加到 IIS_WPG 組的某個(gè)標(biāo)識(shí)（如 MicrosoftAccount）下運(yùn)行。該組沒有默認(rèn)的成員。
 沒有默認(rèn)的用戶權(quán)限。
 
RAS 和 IAS 服務(wù)器
 該組中的服務(wù)器獲準(zhǔn)訪問用戶的遠(yuǎn)程訪問屬性。
 沒有默認(rèn)的用戶權(quán)限。
 
Schema Admins（僅出現(xiàn)在林根域中）
 該組的成員可修改 Active Directory 架構(gòu)。默認(rèn)情況下，Administrator 帳戶是該組的成員。由于該組在林中有重要的作用，因此在添加用戶時(shí)要特別謹(jǐn)慎。
 沒有默認(rèn)的用戶權(quán)限。
 
7活動(dòng)目錄AD的利用組策略分發(fā)軟件

實(shí)現(xiàn)組策略軟件部署的第一步是獲取以ZAP或MSI為擴(kuò)展名的安裝文件包。

MSI安裝文件包是微軟專門為軟件部署而開發(fā)的。這兩個(gè)文件有些軟件的安裝程序會(huì)直接提供，有些軟件的安裝程序是不提供的。對(duì)于不提供MSI文件的軟件我們可以使用一個(gè)叫WinINSTALL LE的打包工具來(lái)創(chuàng)建，通過使用它可以將一些沒有提供MSI文件的軟件打包生成MSI文件以便于實(shí)現(xiàn)組策略軟件布署。WinINSTALLLE工具我們可以從Windows 2000安裝光盤的\VALUEADD\3RDPARTY\MGMT目錄下找到，但該軟件實(shí)際使用的效果并不是很理想，推薦有條件的朋友使用它的升級(jí)版本 WinINSTALL LE2003。軟件界面如圖1?？梢栽?a >http://www.ondemandsoftware.com/下載獲得。    

二、創(chuàng)建軟件分發(fā)點(diǎn)
    實(shí)現(xiàn)組策略軟件部署的第二步是必須在網(wǎng)絡(luò)上創(chuàng)建一個(gè)軟件分發(fā)點(diǎn)。
    軟件分發(fā)點(diǎn)就是包含MSI包文件的共享文件夾。即在文件服務(wù)器上創(chuàng)建一個(gè)共享的文件夾，在這個(gè)文件夾的下面，再創(chuàng)建要部署軟件的子目錄，然后將MSI包文件及所有需要的安裝源文件放于其中。再給共享文件夾設(shè)置相應(yīng)的權(quán)限，使用戶具有只讀的權(quán)限即可。如果擔(dān)心某些用戶非法瀏覽分發(fā)點(diǎn)中的的內(nèi)容，可以使用隱藏共享文件夾，即在共享名字后加$符號(hào)。
    三、創(chuàng)建組策略對(duì)象
    實(shí)現(xiàn)組策略軟件部署第三步是要?jiǎng)?chuàng)建相對(duì)應(yīng)的組策略對(duì)象。
    軟件部署是依靠AD中的組策略來(lái)設(shè)置的，所以我們必須要?jiǎng)?chuàng)建一個(gè)用以分發(fā)軟件程序包的組策略對(duì)象 (GPO)，或者是修改一個(gè)已經(jīng)存在的GPO并在其中添加軟件部署的設(shè)置。在配置GPO時(shí)我們需要考慮分析網(wǎng)絡(luò)中哪些人需要的軟件是一樣的，哪些人需要的軟件是不一樣的，或者是哪些部門需要什么軟件，然后做一個(gè)規(guī)劃，從而決定GPO的創(chuàng)建位置，一般情況下我們是在容器OU上創(chuàng)建或者修改GPO。配置如下：
       1. 在管理工具中啟動(dòng)“Active Directory 用戶和計(jì)算機(jī)”管理單元。
       2. 在控制臺(tái)樹中，右鍵單擊要分發(fā)軟件的OU，然后單擊“屬性”選擇“組策略”選項(xiàng)卡，然后單擊新建來(lái)創(chuàng)建一個(gè)組策略。
       3. 鍵入希望使用的組策略名稱，例如“Office2000分發(fā)”，然后回車。
       4. 選中剛才新建的組策略，單擊下面“編輯”進(jìn)入組策略編輯狀態(tài)。
       5. 根據(jù)軟件是部署給用戶還是計(jì)算機(jī)，在相應(yīng)的“用戶配置”或“計(jì)算機(jī)配置”中進(jìn)行設(shè)置。

   軟件部署有兩種類型，分別為已發(fā)行和已指派

已發(fā)行軟件部署方法
    需要注意的是已發(fā)行的方法只能部署到用戶，不能部署到計(jì)算機(jī)上，也就是說(shuō)只有組策略中的用戶配置可以使用這種部署方法。已發(fā)行軟件部署方法可以保證：
     1. 當(dāng)用戶登錄計(jì)算機(jī)時(shí)，軟件并不會(huì)自動(dòng)安裝，只有當(dāng)用戶雙擊與應(yīng)用程序關(guān)聯(lián)的文件時(shí)，軟件才會(huì)自動(dòng)安裝。如我們雙擊一個(gè)ppt文檔或doc文檔時(shí)，會(huì)自動(dòng)安裝OFFICE。
     2. 對(duì)于發(fā)行的軟件，用戶可以在控制面板中的“添加/刪除”中安裝或者刪除，也就是說(shuō)用戶自己可以安裝，也可以卸載。
    這種部署方法的好處在于，對(duì)于一些不能確定使用用戶的軟件，可以以發(fā)行方法部署，是否安裝由用戶自已決定。
    配置方法如下：
     1. 右擊“用戶配置”中的“軟件安裝”，選擇“新建”，然后單擊“程序包”。在“打開對(duì)話框”中選定”軟件分發(fā)點(diǎn)”中的MSI包文件，然后單擊“打開”。
     2. 在選擇部署方法中，選定“已發(fā)行”。
    4.2 已指派軟件部署方法
    已指派的方法可以將軟件部署給用戶和計(jì)算機(jī)，也就是說(shuō)組策略中的用戶策略與計(jì)算機(jī)策略都可以使用這種部署方法。這一點(diǎn)需要與發(fā)行方法區(qū)別開。
    當(dāng)我們使用此方法將軟件指派給用戶時(shí)可以保證：
     1.軟件對(duì)用戶總是可用的，不管用戶從哪一臺(tái)計(jì)算機(jī)登陸，軟件都將會(huì)在開始菜單或桌面上出現(xiàn)，但這時(shí)軟件并沒有被安裝，只有在用戶雙擊應(yīng)用程序圖標(biāo)或與應(yīng)用程序關(guān)聯(lián)的文件時(shí)，軟件才會(huì)被安裝。
     2. 如果用戶刪除了安裝的軟件，哪么當(dāng)用戶下次登錄時(shí)軟件還會(huì)出現(xiàn)在開始菜單或是桌面上，并在用戶雙擊關(guān)聯(lián)文件時(shí)被激活安裝。
    這種部署的好處在于，對(duì)于一些不常用的，但某些人卻必須要使用的軟件我們沒有必要在每臺(tái)計(jì)算機(jī)都安裝，只要指派給需要的用戶，不管這個(gè)用戶在哪臺(tái)計(jì)算機(jī)上操作，都能保證要使用的軟件是可用的。
    方法如下：
     1. 右擊“用戶配置”中的“軟件安裝”，選擇“新建”，然后單擊“程序包”。在“打開對(duì)話框”中選定”軟件分發(fā)點(diǎn)”中的MSI包文件，然后單擊“打開”。
     2. 在選擇部署方法中，選定“已指派”。
    當(dāng)我們使用此方法將軟件指派給用戶時(shí)可以保證：
   1. 對(duì)于被指派的計(jì)算機(jī)，軟件總是可用的，無(wú)論哪個(gè)用戶登錄都可以使用被指派的軟件。
   2. 軟件不會(huì)通過文件關(guān)聯(lián)安裝，而是在計(jì)算機(jī)啟動(dòng)時(shí)被安裝。
   3. 用戶不能刪除被指派安裝的軟件，只有管理員才可以。
    這種部署方法的好處在于，可以將一些大家都要用到的軟件指派給計(jì)算機(jī)，被指派安裝在計(jì)算機(jī)上的軟件對(duì)于所有用戶都是可用的。
    配置方法如指派給用戶的步驟，只是將“用戶配置”改為“計(jì)算機(jī)配置”即可。
 刪除部署的程序包
    要?jiǎng)h除已發(fā)行或已指派的程序包，可以在軟件包上右擊選擇“所有任務(wù)”，“刪除”。在彈出的對(duì)話框中選擇“立即從用戶和計(jì)算機(jī)卸載軟件”或是“允許用戶繼續(xù)使用軟件，但禁止新的安裝”，然后單擊確定。
    W2000軟件部署在域環(huán)境下可以有效的滿足用戶對(duì)軟件的各種需求，避免網(wǎng)管員為了安裝軟件而跑來(lái)跑去的奔波之苦。希望大家多多嘗試，互相交流經(jīng)驗(yàn)，共同提高。