山西移动IT-NMS系统解决方案.docx

n 更多企业学院： 《中小企业管理全能版》 183套讲座+89700份资料 《总经理、高层管理》 49套讲座+16388份资料 《中层管理学院》 46套讲座+6020份资料  《国学智慧、易经》 46套讲座 《人力资源学院》 56套讲座+27123份资料 《各阶段员工培训学院》 77套讲座+ 324份资料 《员工管理企业学院》 67套讲座+ 8720份资料 《工厂生产管理学院》 52套讲座+ 13920份资料 《财务管理学院》 53套讲座+ 17945份资料  《销售经理学院》 56套讲座+ 14350份资料 《销售人员培训学院》 72套讲座+ 4879份资料 山西移动IT-NMS系统 —终端管理解决方案— OA终端部署实施方案 上海微创软件有限公司 2006年08月 目录 1 终端加入域实施操作 每名参与实施的助理工程师都必须熟练掌握如何手工完成终端实施的步骤。由于客户机器分布的地域各有不同，所以具体计算机环境可能也也有不同。当自动化（脚本）流程不能进行时，我们必须手工完成所有步骤。 本实施中每个OA客户端登录帐户（域帐户）来自于OA邮件系统帐户（即用户名与OA邮件系统相同），登录密码是随机生成的7位数的密码（出于安全考虑，每个人密码均不相同，配置工作完成后实施人员会协助用户更改密码）。OA客户端计算机名使用各分公司代码的前两位与用户姓名中间用短线分隔的命名方式。 1.1. 部署客户端前的准备工作 1.1.1. 询问用户信息 到客户端首先询问用户的部门信息、中文姓名和Lotus Notes(公司邮件)的帐户名，找到实施表格上对应的人员信息。如果部门信息有错误请在表格上进行更正。 注意：由于有中文姓名相同情况，请核实中文姓名（对应表格上中文名）和Lotus Notes的帐户名（对应表格上域用户名）与表格吻合的一行。 将用户对应的用户名称、计算机名称、部门等信息，填入《客户端实施完成确认单》对应位置。 1.1.2. 检查网络连通性 使用Ping工具检查是否能连通域控制器。 ping 10.204.93.35 如图： 1.1.3. 检查操作系统版本 本次任务设计的客户端操作系统包括Windows 2000 Professional、Windows XP Professional、Windows 98，其余各种版本操作系统一律不加以任何处理。 合格的客户端配置应该是Windows 2000 Professional 或 Windows XP Professional版本。有些客户端，特别是一些笔记本OS可能为Windows XP Home版本。由于Home版本无法加入域，移动公司负责把这些机器重新安装Professional版本。 请使用以下方式来鉴别操作系统版本以及安装的Service Pack版本： 右击我的电脑，点击属性，点击常规 例如，上面的抓图显示的是Windows XP Professional，Service Pack 是SP2。 如果发现客户端是Windows XP Home版本，请客户自行重新安装其为Professional版本。 如果客户端系统是Window 98之前版本（不包括Windows 98）或Windows Me版本，则需要等到以后客户将系统升级至Windows 2000或更高版本（建议Windows XP）后再进行配置工作。 获取客户端操作系统版本以后，请将操作系统版本记录入《客户端实施完成确认单》对应位置。 1.1.4. 暂时停止防火墙 当客户端加入到域时，客户端需要与域控制器建立会话，如果计算机上安装并启用了第三方防火墙软件，会话可能无法建立。因此，需要暂时停止客户端安装的第三方防火墙软件。 Windows XP SP2所自带的防火墙，对此过程并无影响，不需要将其禁用或关闭。 常见的防火墙包括天网、金山网镖等等。对于此类防火墙软件，需要在运行脚本Part2.vbe前，在其主界面或状态栏图标将其暂时停止。或在“开始菜单”*“控制面板”*“性能和维护”*“管理工具”*“服务”中，找到第三方防火墙软件对应的服务，将其停止（不要禁用）。 注意：McAfee 8.0i 企业版自带防火墙功能，需要将其暂时停止。 1.1.5. 脚本的获取 脚本文件将以两种方式发送到各位手上，包括光盘和软盘，针对使用光驱或只有软驱的用户。 除此以外，还可以通过访问以下地址获得脚本： \\10.204.93.35\script\ 访问以上地址，可使用用户sxoa\jd及密码1234567。 1.2. 用脚本部署客户端 流程 为了最大的简化部署客户端的劳动量，减少出错的几率。我们使用VB脚本在子域SXOA.SXYD.COM.CN部署客户端。这四个脚本是1-RenameComputer.vbe，2-JoinDomain.vbe，3-MigratePro和4-DeleteTempAccount.vbe，分别对应以下四个流程： l 重命名客户端计算机名； 添加临时帐户sxmtemp（为了避免对原有界面和文档等误操作，在全新的帐户下进行操作） 更改计算机名称（为了符合终端管理的资产管理需要） 自动重新启动计算机（为了应用新的计算机名称） l 将客户端加入到域 更改本地DNS和WINS的指向到AD域中的DNS和WINS服务器（为了加入域和使用域内资源及获得各种服务） 将计算机加入到SXOA域中（为了实现终端管理的基本条件） l 迁移用户配置文件 将本地配置文件迁移到域用户下（为了使以前的所有文件和设置信息可以无缝的迁移到新的用户环境，保证用户登陆域后所有文件和设置保持与先前相同） l 收尾工作 删除临时帐户sxmtemp（删除不用的临时帐户） 我们通过下面这个例子，演示整个实施的过程。 1.2.1. 重命名客户端计算机名 第一次登录客户端时，我们请客户使用需要被迁移的本地帐号登录到客户端。 1. 在开始运行中输入\\10.204.93.35\ 2. 在弹出的用户名和密码对话框中输入，用户名：jd，密码：1234567 3. 双击鼠标打开共享文件夹Script 4. 双击鼠标打开文件夹01-JoinDomain 5. 运行脚本1-RenameComputer.vbe 6. 如果弹出安全警告，那么在弹出的对话框点击打开按钮 7. 如果步骤一不成功，会跳出下面的对话框。这时，请注销系统，用administrator帐号登录，然后再运行脚本1-RenameComputer.vbe。如果客户不知道administrator的密码，请参考附二来重设密码。 8. 在对话框中输入域用户名，点击“确定” 9. 如果输入有误，可以点击“否”进行修改，确认正确请点击“是” 10. 在对话框中输入计算机名，点击“确定” 11. 如果计算机名输入有误，可以点击否进行更改。如果正确，点击是。 12. 客户机提示重启 13. 如果弹出安全警告对话框，点击运行按钮 14. 等待一会计算机第一次自动重启 1.2.2. 将客户端加入到域 1. 以本地帐号sxmtemp登录客户端，密码为sxmtemp Windows XP登录抓图 Windows 2000登录抓图 2. 检查客户端是否成功的改名 右击我的电脑，点击属性，点击计算机名，查看完整的计算机名称。 如果脚本没有成功更改计算机名，请参看2.3.2节来手工更改计算机名 3. 在开始运行中输入\\10.204.93.35\ 4. 在弹出的用户名和密码对话框中输入，用户名：jd，密码：1234567 5. 进入到Script，然后进入01-JoinDomain文件夹，双击运行脚本2-JoinDomain.vbe 6. 如果弹出安全警告，那么在弹出的对话框点击打开按钮 7. 弹出对话框提示在完成加入域操作后会重新启动计算机，点击确定。 8. 如果弹出安全警告对话框，点击运行按钮 9. 系统第二次自动重新启动 1.2.3. 迁移用户配置文件 1. 以本地帐号sxmtemp登录客户端，密码为sxmtemp 2. 检查客户端是否成功的加入域中 右击我的电脑，点击属性，点击计算机名，确认域名是SXOA.SXYD.COM.CN。 如果脚本没有成功的将客户端加入域中，请参看2.3.3节来手工将客户端加入域中 3. 在开始运行中输入\\10.204.93.35\ 4. 在弹出的用户名和密码对话框中输入，用户名：jd，密码：1234567 5. 运行脚本3-MigratePro 6. 如果弹出安全警告，那么在弹出的对话框点击打开按钮 7. 脚本开始迁移用户的配置文件 8. 在弹出的黑色命令行窗口消失后，请手动注销当前用户。 注：如发现计算机登录后用户配置文件迁移失败，请勿再次运行脚本3-MigratePro，请按照手动迁移方式进行迁移或联系微创工程师进行处理。 1.2.4. 收尾工作 1. 以域用户帐号登录 计算机启动到登陆界面后，同时按下Ctrl+Alt+Del后，点击“选项(O)<<”后在“登陆到(L):”后面点击下拉框选择“SXOA”后再点击“选项(O)<<”，将“登陆到(L):”这一行再隐藏掉。在“用户名(U):”处输入该用户的域用户名（表格上），在“密码(P)”处输入该域用户的密码（表格上），点击确定。 2. 检查用户配置文件是否迁移成功 如果用户配置文件迁移成功，那么域用户登录后的桌面应该与被迁移的本地帐户登录时的桌面相同。如果登录后发现是一个全新的桌面，和被迁移的本地帐户登录时的桌面不同。这说明脚本迁移用户配置失败。请参看2.3.4节来手工迁移用户配置。 10. 在开始运行中输入\\10.204.93.35\ 3. 运行脚本4-DeleteTempAccount.vbe 4. 脚本程序将执行最后的清理工作 至此，用脚本部署客户端的任务全部完成。 最后，提醒客户更改域帐户的初始密码。步骤如下： Windows 2000和Windows XP客户端 1. 同时按住 Ctrl-Alt-Del 2. 在Windows 安全对话框，点击更改密码，在旧密码栏中输入初始密码，然后输入新密码，点击确定。 1.2.5. 提醒用户保护自身数据 为了提高数据安全性，提醒客户通过以下方式保护和增强自身数据的安全： 11. 设置开机密码（主板BIOS密码） 防止他人进入自己计算机系统 12. 严格设置共享的权限 防止未经授权的用户通过网络访问或删除共享的资源 13. 使用NTFS格式的分区 可以提供本地的安全保护 14. 设置严格的NTFS权限 防止任何远程和本地的用户对本机进行未经本人授权的操作。 2 安装ISA客户端 1. 在运行窗口输入\\10.204.93.35\ 2. 双击打开Script文件夹，再双击进入02-ISA-Client文件夹，双击运行DeployFW 3. 如弹出安全警告对话框，点击运行按钮 4. 点击下一步 5. 点击下一步 6. 输入服务器IP地址：10.204.93.139 7. 点击安装 8. 安装完成，点击完成。至此，ISA客户端安装完成 9. 打开IE确认上网操作正常，同时可以看到ISA客户端的图标显示正常连接状态。 ：可以连接到ISA服务器，在移动公司OA网范围内显示此图标表示客户端与服务器连接状况正常。 ：不能连接到ISA服务器，在移动公司OA网范围内显示此图标表示客户端与服务器连接状况不正常，需要进行排错。在移动公司OA网范围之外显示此图标属于正常现象，并且不会影响客户端上网行为。 3 安装SMS客户端 1. 在运行窗口输入\\10.204.93.35\ 2. 双击打开Script文件夹，再双击进入03-SMS-Client文件夹，双击运行DeploySMS 3. 如弹出安全警告对话框，点击运行按钮 4. 点击下一步 5. 点击下一步 6. 输入S01后点击下一步 7. 点击完成，结束SMS客户端安装 4 手动部署客户端 流程 如果脚本无法将客户端加入域，我们需要遵循下面三个流程，手动将客户端加入域中： l 重命名客户端计算机名； l 将客户端加入到域 l 迁移用户配置文件 4.1 重命名客户端计算机名 我们用具有管理员权限的帐号登录客户端（如本地管理员Administrator），然后使用下面的步骤更改计算机名： 如果不知道administrator的密码，请参考附二重设administrator的密码 右击我的电脑，点击属性，点击计算机名，点击更改，输入计算机名，点击确定，重启机器 如图: 4.2 将客户端加入到域 在做加入域的工作前，应该先检查网络配置，主要是IP地址，DNS服务器等。 用具有管理员权限的帐号登录客户端（如本地管理员Administrator），然后使用下面的步骤配置网络： 右击网上邻居，点击属性，双击对应的网卡，点击Internet协议（TCP/IP）属性，点击属性。点击高级，点击DNS标签，点击添加，输入IP 10.204.93.34，点击添加，输入IP 10.204.93.35。点击WINS标签，点击添加，输入IP 10.204.93.35，点击添加，输入IP 10.204.92.3。点击确认，直到所有对话框关闭。 如图 使用Ping工具检查是否能连通DNS服务器。 ping 10.204.93.35 如图 确保客户端能够连通到DNS服务器后，使用下面的步骤把客户端加入到域中。右击我的电脑，点击属性，点击计算机名，点击更改，输入域名，点击确定 如图: 在“计算机名更改”对话框中输入域用户帐号jd和密码1234567 加入域的欢迎信息出现后，点击确定，重新启动机器。 4.3 迁移用户配置文件 在Windows 2000、XP上，我们需要使用把原来的本地帐号的配置文件迁移到域帐号下，换句话说，当使用域帐号登录到客户端时，桌面、我的文档等配置应与使用本地帐号相同。 如果脚本part3不能够成功的迁移用户配置文件，请参考下面的步骤手动的迁移用户配置文件： 假设被迁移的本地帐号是LocalAccount，迁移的域帐号是DomainAccount 注意：首先要以域用户账号登录计算机一次，然后注销。 对于Windows 2000和XP客户端 1、确认用户权限 15. 以原来用户的本地登陆帐户（如果不知道或人不在那么以sxmtemp帐户）登录到用户计算机； 16. 在“我的电脑”上单击右键，选择“管理”； 17. 展开“本地用户和组”*“组”； 18. 双击Administrators，查看其下是否具有SXOA\DomainAccount（注意区别LocalAccount和DomainAccount）； 19. 如该组中无SXOA\DomainAccount，则需要点击“添加”按钮，在添加用户对话框中输入用户的登录名，并以jd/1234567为用户和密码查询用户； 20. 点击“确定”按钮，完成用户添加。 2、确认文件系统 l 双击打开“我的电脑”； l 在C盘上单击右键，选择“属性”； l 查看其文件系统是FAT32还是NTFS； l 如果是FAT32，请直接跳到第5步； l 如果是NTFS，请继续以下步骤； 3、确认旧用户配置文件权限 l 以原来用户的本地登陆帐户（如果不知道或人不在那么以sxmtemp帐户）登录到用户计算机； l 双击打开“我的电脑”*“C盘”*“Documents and Settings”； l 在菜单上点击“工具”*“文件夹选项”*“查看”，去除“使用简单共享”选项前的复选框； l 在用户旧配置文件文件夹上单击右键，选择“属性“； l 在属性对话框中，选择安全标签栏； l 在安全标签栏中，查看用户列表是否具有以下对象：SXOA\Domain Admins、MachineName\LocalAccount、MachineName\Administrators、SXOA\DomainAccount；如缺乏以上任何一对象，点击添加按钮将其添加至列表中； l 检查以上所列所有对象，确认其权限为“完全控制”；如其权限并非为完全控制，可将其改为完全控制并点击应用完成权限修改； l 点击“高级”按钮，在高级安全设置中，钩选“用在此显示的可以应用到资对象的项目替代所有子对象的权限项目； l 完成权限修改前，请注意客户端杀毒软件是否开启，如开启，请暂时将其关闭以提高效率。 如查看安全标签栏，其中均为空值且不可修改，则请执行第4步。 4、夺取所有权 请注意，本操作仅在第3步安全标签栏中无任何用户情况下需要执行。请勿随意执行。 当发现用户无法修改旧用户配置文件文件夹用户对象时，需要夺取所有权及权限。 l 以用户原有登录名及密码登录到用户计算机； l 双击打开“我的电脑”*“C盘”*“Documents and Settings”； l 在用户旧配置文件文件夹上单击右键，选择“属性“； l 在属性对话框中，选择安全标签栏； l 在安全标签栏中，添加以下对象：SXOA\Domain Admins、MachineName\LocalAccount、MachineName\Administrators、SXOA\DomainAccount； l 检查以上所列所有对象，确认其权限为“完全控制”；如其权限并非为完全控制，可将其改为完全控制并点击应用完成权限修改； l 完成权限修改前，请注意客户端杀毒软件是否开启，如开启，请暂时将其关闭以提高效率。 5、修改用户的配置文件指向 注：执行本操作前，请注意区分旧用户配置文件夹路径及新用户配置文件夹路径，切勿错误设置。 l 以sxmtemp登录到客户端计算机； l 在运行中输入regedit.exe打开注册表编辑器； l 浏览至以下位置HKLM\Software\Microsoft\Windows NT\CurrentVersion\Pro； l 在其中查找S-1-5-21-56…..项，将其中Pro值改为用户旧配置文件路径； l 查找用户旧配置文件路径，将其值加个0； l 关闭注册表编辑器，以域用户登录。 最后，提醒客户更改域帐户的初始密码。步骤如下： Windows 2000和Windows XP客户端 1. 同时按住 Ctrl-Alt-Del 2. 在Windows 安全对话框，点击更改密码，在旧密码栏中输入初始密码，然后输入新密码，点击确定。 附一：在出现问题时如何收集查错信息 如果在部署客户端的过程中出现错误（包括客户端无法加入域；无法迁移帐号等），我们需要收集相关的信息，以便排错。请遵循下面的步骤，收集信息： 1. 当某个步骤出错时，通常系统会报一个错误信息。这时，我们需要将错误信息抓一个图，保存下来。抓图的步骤如下： 按下键盘上的Print键，打开附件中的画图程序，按Ctrl-V粘贴，然后保存为JPG格式 2. 客户端在加入域时，会把相关信息写到文件netsetup.log中。文件位于目录%windir%\debug\下，需要把它收集。 3. 微软的MPS Report工具能够收集客户端的系统信息。使用MPS Report工具方法如下: Ø 双击MPSRPT_DirSvc.EXE Ø 命令行窗口跳出，运行MPS Report Ø MPS Report工具运行结束后，会在%windir%\MPSReports\DirSvc\Logs\cab文件夹产生一个.cab文件 Ø 收集这个.cab文件 4. 如果在迁移用户帐号时发生错误，还要收集相应的注册表 (否则，不要收集) Ø 运行命令regedit Ø 高亮显示键值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Pro Ø 点击文件菜单，点击导出，保存为文件pro 5. 完成上述步骤后，将收集到的文件用winzip压缩为client.zip后发给下面的邮箱: ; 附二：重设administrator的密码 如果客户不知道administrator帐户的密码，然而我们又需要使用administrator帐户登录到客户端。我们可以在征得客户同意的前提下，重设administrator的密码。 操作步骤如下： 1. 插入密码重设光盘 2. 重启机器，从光盘启动 3. 在如图显示的画面中，输入代表系统的数字。（此例为1。如果机器上有多个系统，选择要加入域的系统） 4. 系统询问是否将administrator的密码重设为“12345”。输入 “Y” 5. 重设密码成功后，系统将重启（记住一定要拿出光盘后重新启动） 附三：迁移Profile失败的常见问题 1. 脚本3-MigratePro执行完成，用域用户登录后，用户桌面并无变化，且刷新时报告权限不足。 答：以sxmtemp登录系统，查看域用户是否不属于Administrators组。如不属于该组，将其添加至该组中。 2. 尝试用域用户登录后，发现迁移失败，我能否再次运行脚本3-MigratePro？ 答：不可以的，脚本3-MigratePro只允许执行一次，如果执行失败，请按照手动迁移用户配置文件的步骤进行操作。 3. 用户配置文件迁移成功，但是登录时出现空间不足提示，怎么办？ 答：这个跟空间其实是没有关系的，只是缺乏权限造成的，请参照手动迁移配置文件章节为用户配置文件目录添加SXOA\Domain Admins、MachineName\Administrators用户的完全控制权限。