1.客戶(hù)端xp添加不了到myad.com，要不就是dns沒(méi)有設置正確，要不就是services.msc服務(wù)中沒(méi)有開(kāi)啟TCP/IP NetBIOS Helper.

2.ou是組織單元的簡(jiǎn)稱(chēng)，為了方便管理類(lèi)似屬性用戶(hù)而設置的一個(gè)群體，類(lèi)似組域指的是一個(gè)范圍，由一個(gè)域加上子域構成樹(shù)，多個(gè)樹(shù)就夠成了域林 容器指的是存儲的空間，和傳統的容器一個(gè)意思，只是抽象了點(diǎn)而已。

3.建立ou技術(shù)部里面可以添加計算機，聯(lián)系人，組，組織單位，打印機，用戶(hù)，共享文件夾等。點(diǎn)擊ou屬性可以添加組策略。

4.委派的用戶(hù)帳戶(hù)跟組里的用戶(hù)帳戶(hù)沒(méi)什么關(guān)系，都是用戶(hù)帳戶(hù)。用戶(hù)帳戶(hù)是給用戶(hù)使用電腦時(shí)登錄電腦用的憑證，用戶(hù)帳戶(hù)加入用戶(hù)組可以方便給大量用戶(hù)帳戶(hù)賦權限，OU是存放用戶(hù)帳戶(hù)等AD對象的容器。domain users的權限一般不用改。OU的委派管理一般是讓一個(gè)非管理員帳戶(hù)具有管理某OU下的AD對象的權限，委派什么權限要按實(shí)際的需求去做，不好說(shuō)一般委派什么權限。如有一個(gè)市場(chǎng)部的OU，存放所有市場(chǎng)部的AD對象，現在想讓市場(chǎng)部經(jīng)理去管理市場(chǎng)部的所有用戶(hù)帳戶(hù)，就可以委派給市場(chǎng)部經(jīng)理的用戶(hù)帳戶(hù)有管理該OU用戶(hù)帳戶(hù)的權限，市場(chǎng)部經(jīng)理就可以給新員工創(chuàng )建用戶(hù)帳戶(hù)，給老員工改密碼等等

5.Builtin”容器中的組

組 描述 默認用戶(hù)權限
Account Operators
 該組的成員可以創(chuàng )建、修改和刪除位于“Users”或“Computers”容器中的用戶(hù)、組和計算機的帳戶(hù)以及該域中的組織單位，但“Domain Controllers”組織單位除外。該組的成員無(wú)權修改 Administrators 或 Domain Admins 組，也無(wú)權修改這些組的成員的帳戶(hù)。該組的成員可本地登錄到該域的域控制器中，并可將其關(guān)閉。由于該組在此域中有重要的作用，因此在添加用戶(hù)時(shí)要特別謹慎。
 允許本地登錄；關(guān)閉系統。
 
Administrators
 該組的成員具有對域中所有域控制器的完全控制。默認情況下，Domain Admins 和 Enterprise Admins 組是 Administrators 組的成員。Administrator 帳戶(hù)也是默認成員。由于該組在此域中具有完全控制權限，因此在添加用戶(hù)時(shí)要特別謹慎。
 從網(wǎng)絡(luò )上訪(fǎng)問(wèn)該計算機；調整進(jìn)程的 內存配額；備份文件和目錄；跳過(guò)遍歷檢查；更改系統時(shí)間；創(chuàng )建頁(yè)面文件；調試程序；為委派啟用受信任的計算機和用戶(hù)帳戶(hù)；從遠程系統強行關(guān)機；提高調度優(yōu)先級；加載和卸載設備驅動(dòng)程序；允許本地登錄；管理審核和安全日志；修改固件環(huán)境值；簡(jiǎn)述單個(gè)進(jìn)程；簡(jiǎn)述系統性能；從插接站刪除計算機；還原文件和目錄；關(guān)閉系統；獲得文件或其他對象的所有權。
 
Backup Operators
 該組的成員可備份和還原該域中域控制器上的所有文件，而不用考慮其各自對這些文件的權限。Backup Operators 還可以登錄到域控制器并將其關(guān)閉。該組沒(méi)有默認的成員。由于該組對域控制器有重要作用，因此在添加用戶(hù)時(shí)要特別謹慎。
 備份文件和目錄；允許本地登錄；還原文件和目錄；關(guān)閉系統。
 
Guests
 默認情況下，Domain Guests 組是該組的成員。Guest 帳戶(hù)（默認情況下禁用此帳戶(hù)）也是該組的默認成員。
 沒(méi)有默認的用戶(hù)權限。
 
Incoming Forest Trust Builders（僅出現在林根域中）
 該組的成員可創(chuàng )建對林根域的單向傳入林信任。例如，駐留在 A 林中的該組成員能夠創(chuàng )建來(lái)自 B 林的單向傳入林信任。該單向傳入林信任允許 A 林中的用戶(hù)訪(fǎng)問(wèn)位于 B 林中的資源。該組的成員在林根域上會(huì )得到“創(chuàng )建傳入林信任”權限。該組沒(méi)有默認的成員。有關(guān)創(chuàng )建林信任的詳細信息，請參閱創(chuàng )建林信任 。
 沒(méi)有默認的用戶(hù)權限。
 
Network Configuration Operators
 該組的成員可更改 TCP/IP 設置并續訂和發(fā)布該域中域控制器上的 TCP/IP 地址。該組沒(méi)有默認的成員。
 沒(méi)有默認的用戶(hù)權限。
 
Performance Monitor Users
 該組的成員可在本地或從遠程客戶(hù)端監視該域中域控制器上的性能計數器，不必成為 Administrators 或 Performance Log Users 組的成員。
 沒(méi)有默認的用戶(hù)權限。
 
Performance Log Users
 該組的成員可在本地或從遠程客戶(hù)端管理該域中域控制器上的性能計數器、日志和警報，不必成為 Administrators 組的成員。
 沒(méi)有默認的用戶(hù)權限。
 
Pre-windows 2000 Compatible Access
 該組的成員具有對該域中所有用戶(hù)和組的讀取訪(fǎng)問(wèn)權限。該組向后兼容運行 windows NT 4.0 及更低版本的計算機。默認情況下，特殊的 Everyone 標識是該組的成員。有關(guān)特殊標識的詳細信息，請參閱特殊標識 。僅當用戶(hù)在運行 windows NT 4.0 或更低版本時(shí)，將其添加到該組中。
 從網(wǎng)絡(luò )訪(fǎng)問(wèn)此計算機；跳過(guò)遍歷檢查。
 
Print Operators
 該組的成員可管理、創(chuàng )建、共享和刪除連接到該域中域控制器上的打印機。它們可以管理該域中的 Active Directory 打印機對象。該組的成員可本地登錄到該域的域控制器中，并可將其關(guān)閉。該組沒(méi)有默認的成員。由于該組的成員可在該域的所有域控制器上加載和卸載設備驅動(dòng)程序，因此在添加用戶(hù)時(shí)要特別謹慎。
 允許本地登錄；關(guān)閉系統。
 
Remote Desktop Users
 該組的成員可遠程登錄到該域的域控制器。該組沒(méi)有默認的成員。
 沒(méi)有默認的用戶(hù)權限。
 
Replicator
 該組支持目錄復制功能，并由該域的域控制器上的“文件復制”服務(wù)使用。該組沒(méi)有默認的成員。不向該組添加用戶(hù)。
 沒(méi)有默認的用戶(hù)權限。
 
Server Operators
 在域控制器上，該組的成員可進(jìn)行交互式登錄、創(chuàng )建和刪除共享資源、啟動(dòng)和停止某些服務(wù)、備份和還原文件、格式化硬盤(pán)，以及關(guān)閉計算機。該組沒(méi)有默認的成員。由于該組對域控制器有重要作用，因此在添加用戶(hù)時(shí)要特別謹慎。
 備份文件和目錄；更改系統時(shí)間；從遠程系統強行關(guān)機；允許本地登錄；還原文件和目錄；關(guān)閉系統。
 
用戶(hù)
 該組的成員可執行大部分常見(jiàn)任務(wù)，如運行應用程序、使用本地和網(wǎng)絡(luò )打印機，以及鎖定服務(wù)器。默認情況下，Domain Users 組、Authenticated Users 或 Interactive 都是該組的成員。因此，域中創(chuàng )建的任意用戶(hù)帳戶(hù)均為該組成員。
 沒(méi)有默認的用戶(hù)
 
6.Users 容器中的組

組 描述 默認用戶(hù)權限
證書(shū)發(fā)行者
 該組的成員獲準為用戶(hù)和計算機發(fā)行證書(shū)。該組沒(méi)有默認的成員。
 沒(méi)有默認的用戶(hù)權限。
 
DnsAdmins（隨 DNS 安裝）
 該組的成員具有對 DNS Server 服務(wù)的管理訪(fǎng)問(wèn)權限。該組沒(méi)有默認的成員。
 沒(méi)有默認的用戶(hù)權限。
 
DnsUpdateProxy（隨 DNS 安裝）
 該組的成員是可代表其他客戶(hù)端（如 DHCP 服務(wù)器）執行動(dòng)態(tài)更新的 DNS 客戶(hù)端。該組沒(méi)有默認的成員。
 沒(méi)有默認的用戶(hù)權限。
 
Domain Admins
 該組的成員具有對該域的完全控制權。默認情況下，該組是加入到該域中的所有域控制器、所有域工作站和所有域成員服務(wù)器上的 Administrators 組的成員。默認情況下，Administrator 帳戶(hù)是該組的成員。由于該組在此域中具有完全控制權限，因此在添加用戶(hù)時(shí)要特別謹慎。
 從 網(wǎng)絡(luò )上訪(fǎng)問(wèn)該計算機；調整進(jìn)程的內存配額；備份文件和目錄；跳過(guò)遍歷檢查；更改系統時(shí)間；創(chuàng )建頁(yè)面文件；調試程序；為委派啟用受信任的計算機和用戶(hù)帳戶(hù)；從遠程系統強行關(guān)機；提高調度優(yōu)先級；加載和卸載設備驅動(dòng)程序；允許本地登錄；管理審核和安全日志；修改固件環(huán)境值；簡(jiǎn)述單個(gè)進(jìn)程；簡(jiǎn)述系統性能；從插接站刪除計算機；還原文件和目錄；關(guān)閉系統；獲得文件或其他對象的所有權。
 
域計算機
 該組包含加入到此域的所有工作站和服務(wù)器。默認情況下，創(chuàng )建的任何計算機帳戶(hù)都會(huì )自動(dòng)成為該組的成員。
 沒(méi)有默認的用戶(hù)權限。
 
域控制器
 該組包含此域中的所有域控制器。
 沒(méi)有默認的用戶(hù)權限。
 
Domain Guests
 該組包含所有域來(lái)賓。
 沒(méi)有默認的用戶(hù)權限。
 
Domain Users
 該組包含所有域用戶(hù)。默認情況下，此域中創(chuàng )建的任何用戶(hù)帳戶(hù)都會(huì )自動(dòng)成為該組的成員?？梢允褂迷摻M來(lái)表示此域中的所有用戶(hù)。例如，如果想要所有域用戶(hù)具有對打印機的訪(fǎng)問(wèn)權限，可將打印機的訪(fǎng)問(wèn)權限指派給該組（或者將 Domain Users 組添加到打印機服務(wù)器上某個(gè)具有打印機訪(fǎng)問(wèn)權限的本地組中）。
 沒(méi)有默認的用戶(hù)權限。
 
Enterprise Admins（僅出現在林根域中）
 該組的成員具有對林中所有域的完全控制權限。默認情況下，該組是林中所有域控制器上 Administrators 組的成員。默認情況下，Administrator 帳戶(hù)是該組的成員。由于該組在林中具有完全控制權限，因此在添加用戶(hù)時(shí)要特別謹慎。
 從 網(wǎng)絡(luò )上訪(fǎng)問(wèn)該計算機；調整進(jìn)程的內存配額；備份文件和目錄；跳過(guò)遍歷檢查；更改系統時(shí)間；創(chuàng )建頁(yè)面文件；調試程序；為委派啟用受信任的計算機和用戶(hù)帳戶(hù)；從遠程系統強行關(guān)機；提高調度優(yōu)先級；加載和卸載設備驅動(dòng)程序；允許本地登錄；管理審核和安全日志；修改固件環(huán)境值；簡(jiǎn)述單個(gè)進(jìn)程；簡(jiǎn)述系統性能；從插接站刪除計算機；還原文件和目錄；關(guān)閉系統；獲得文件或其他對象的所有權。
 
Group Policy Creator Owners
 該組的成員可修改此域中的組策略。默認情況下，Administrator 帳戶(hù)是該組的成員。由于該組在此域中有重要的作用，因此在添加用戶(hù)時(shí)要特別謹慎。
 沒(méi)有默認的用戶(hù)權限。
 
IIS_WPG（隨 IIS 安裝）
 IIS_WPG 組是 Internet 信息服務(wù) (IIS) 6.0 工作進(jìn)程組。在 IIS 6.0 的工作范圍內存在服務(wù)于特定命名空間的工作進(jìn)程。例如，http://www.microsoft.com/是由一個(gè)工作進(jìn)程提供的命名空間，可在添加到 IIS_WPG 組的某個(gè)標識（如 MicrosoftAccount）下運行。該組沒(méi)有默認的成員。
 沒(méi)有默認的用戶(hù)權限。
 
RAS 和 IAS 服務(wù)器
 該組中的服務(wù)器獲準訪(fǎng)問(wèn)用戶(hù)的遠程訪(fǎng)問(wèn)屬性。
 沒(méi)有默認的用戶(hù)權限。
 
Schema Admins（僅出現在林根域中）
 該組的成員可修改 Active Directory 架構。默認情況下，Administrator 帳戶(hù)是該組的成員。由于該組在林中有重要的作用，因此在添加用戶(hù)時(shí)要特別謹慎。
 沒(méi)有默認的用戶(hù)權限。
 
7活動(dòng)目錄AD的利用組策略分發(fā)軟件

實(shí)現組策略軟件部署的第一步是獲取以ZAP或MSI為擴展名的安裝文件包。

MSI安裝文件包是微軟專(zhuān)門(mén)為軟件部署而開(kāi)發(fā)的。這兩個(gè)文件有些軟件的安裝程序會(huì )直接提供，有些軟件的安裝程序是不提供的。對于不提供MSI文件的軟件我們可以使用一個(gè)叫WinINSTALL LE的打包工具來(lái)創(chuàng )建，通過(guò)使用它可以將一些沒(méi)有提供MSI文件的軟件打包生成MSI文件以便于實(shí)現組策略軟件布署。WinINSTALLLE工具我們可以從Windows 2000安裝光盤(pán)的\VALUEADD\3RDPARTY\MGMT目錄下找到，但該軟件實(shí)際使用的效果并不是很理想，推薦有條件的朋友使用它的升級版本 WinINSTALL LE2003。軟件界面如圖1?？梢栽?a >http://www.ondemandsoftware.com/下載獲得。    

二、創(chuàng )建軟件分發(fā)點(diǎn)
    實(shí)現組策略軟件部署的第二步是必須在網(wǎng)絡(luò )上創(chuàng )建一個(gè)軟件分發(fā)點(diǎn)。
    軟件分發(fā)點(diǎn)就是包含MSI包文件的共享文件夾。即在文件服務(wù)器上創(chuàng )建一個(gè)共享的文件夾，在這個(gè)文件夾的下面，再創(chuàng )建要部署軟件的子目錄，然后將MSI包文件及所有需要的安裝源文件放于其中。再給共享文件夾設置相應的權限，使用戶(hù)具有只讀的權限即可。如果擔心某些用戶(hù)非法瀏覽分發(fā)點(diǎn)中的的內容，可以使用隱藏共享文件夾，即在共享名字后加$符號。
    三、創(chuàng )建組策略對象
    實(shí)現組策略軟件部署第三步是要創(chuàng )建相對應的組策略對象。
    軟件部署是依靠AD中的組策略來(lái)設置的，所以我們必須要創(chuàng )建一個(gè)用以分發(fā)軟件程序包的組策略對象 (GPO)，或者是修改一個(gè)已經(jīng)存在的GPO并在其中添加軟件部署的設置。在配置GPO時(shí)我們需要考慮分析網(wǎng)絡(luò )中哪些人需要的軟件是一樣的，哪些人需要的軟件是不一樣的，或者是哪些部門(mén)需要什么軟件，然后做一個(gè)規劃，從而決定GPO的創(chuàng )建位置，一般情況下我們是在容器OU上創(chuàng )建或者修改GPO。配置如下：
       1. 在管理工具中啟動(dòng)“Active Directory 用戶(hù)和計算機”管理單元。
       2. 在控制臺樹(shù)中，右鍵單擊要分發(fā)軟件的OU，然后單擊“屬性”選擇“組策略”選項卡，然后單擊新建來(lái)創(chuàng )建一個(gè)組策略。
       3. 鍵入希望使用的組策略名稱(chēng)，例如“Office2000分發(fā)”，然后回車(chē)。
       4. 選中剛才新建的組策略，單擊下面“編輯”進(jìn)入組策略編輯狀態(tài)。
       5. 根據軟件是部署給用戶(hù)還是計算機，在相應的“用戶(hù)配置”或“計算機配置”中進(jìn)行設置。

   軟件部署有兩種類(lèi)型，分別為已發(fā)行和已指派

已發(fā)行軟件部署方法
    需要注意的是已發(fā)行的方法只能部署到用戶(hù)，不能部署到計算機上，也就是說(shuō)只有組策略中的用戶(hù)配置可以使用這種部署方法。已發(fā)行軟件部署方法可以保證：
     1. 當用戶(hù)登錄計算機時(shí)，軟件并不會(huì )自動(dòng)安裝，只有當用戶(hù)雙擊與應用程序關(guān)聯(lián)的文件時(shí)，軟件才會(huì )自動(dòng)安裝。如我們雙擊一個(gè)ppt文檔或doc文檔時(shí)，會(huì )自動(dòng)安裝OFFICE。
     2. 對于發(fā)行的軟件，用戶(hù)可以在控制面板中的“添加/刪除”中安裝或者刪除，也就是說(shuō)用戶(hù)自己可以安裝，也可以卸載。
    這種部署方法的好處在于，對于一些不能確定使用用戶(hù)的軟件，可以以發(fā)行方法部署，是否安裝由用戶(hù)自已決定。
    配置方法如下：
     1. 右擊“用戶(hù)配置”中的“軟件安裝”，選擇“新建”，然后單擊“程序包”。在“打開(kāi)對話(huà)框”中選定”軟件分發(fā)點(diǎn)”中的MSI包文件，然后單擊“打開(kāi)”。
     2. 在選擇部署方法中，選定“已發(fā)行”。
    4.2 已指派軟件部署方法
    已指派的方法可以將軟件部署給用戶(hù)和計算機，也就是說(shuō)組策略中的用戶(hù)策略與計算機策略都可以使用這種部署方法。這一點(diǎn)需要與發(fā)行方法區別開(kāi)。
    當我們使用此方法將軟件指派給用戶(hù)時(shí)可以保證：
     1.軟件對用戶(hù)總是可用的，不管用戶(hù)從哪一臺計算機登陸，軟件都將會(huì )在開(kāi)始菜單或桌面上出現，但這時(shí)軟件并沒(méi)有被安裝，只有在用戶(hù)雙擊應用程序圖標或與應用程序關(guān)聯(lián)的文件時(shí)，軟件才會(huì )被安裝。
     2. 如果用戶(hù)刪除了安裝的軟件，哪么當用戶(hù)下次登錄時(shí)軟件還會(huì )出現在開(kāi)始菜單或是桌面上，并在用戶(hù)雙擊關(guān)聯(lián)文件時(shí)被激活安裝。
    這種部署的好處在于，對于一些不常用的，但某些人卻必須要使用的軟件我們沒(méi)有必要在每臺計算機都安裝，只要指派給需要的用戶(hù)，不管這個(gè)用戶(hù)在哪臺計算機上操作，都能保證要使用的軟件是可用的。
    方法如下：
     1. 右擊“用戶(hù)配置”中的“軟件安裝”，選擇“新建”，然后單擊“程序包”。在“打開(kāi)對話(huà)框”中選定”軟件分發(fā)點(diǎn)”中的MSI包文件，然后單擊“打開(kāi)”。
     2. 在選擇部署方法中，選定“已指派”。
    當我們使用此方法將軟件指派給用戶(hù)時(shí)可以保證：
   1. 對于被指派的計算機，軟件總是可用的，無(wú)論哪個(gè)用戶(hù)登錄都可以使用被指派的軟件。
   2. 軟件不會(huì )通過(guò)文件關(guān)聯(lián)安裝，而是在計算機啟動(dòng)時(shí)被安裝。
   3. 用戶(hù)不能刪除被指派安裝的軟件，只有管理員才可以。
    這種部署方法的好處在于，可以將一些大家都要用到的軟件指派給計算機，被指派安裝在計算機上的軟件對于所有用戶(hù)都是可用的。
    配置方法如指派給用戶(hù)的步驟，只是將“用戶(hù)配置”改為“計算機配置”即可。
 刪除部署的程序包
    要刪除已發(fā)行或已指派的程序包，可以在軟件包上右擊選擇“所有任務(wù)”，“刪除”。在彈出的對話(huà)框中選擇“立即從用戶(hù)和計算機卸載軟件”或是“允許用戶(hù)繼續使用軟件，但禁止新的安裝”，然后單擊確定。
    W2000軟件部署在域環(huán)境下可以有效的滿(mǎn)足用戶(hù)對軟件的各種需求，避免網(wǎng)管員為了安裝軟件而跑來(lái)跑去的奔波之苦。希望大家多多嘗試，互相交流經(jīng)驗，共同提高。