如標,AD(Active Directory)設定真的博大精深,不比Linux簡單啊,其實AD在中小企業非常普遍作為用戶辨識的系統,統一管理帳號密碼及權限設定,可以一次將公司內所有使用者匯入設備中,又可以針對群組給予使用者權限,這就是AD好處的地方,但是相對微軟在設計AD時,考慮的情況相當多,也導致AD的設定上面非常繁雜,連根據微軟官方文件操作也會有奇怪的問題。
如果各位Infra在公司接網路維運案的時候,一定要特別注意是否有將AD包含在內,我們就是因為經驗不足,讓雇主將AD包含近來,導致雇主想要在AD上面的設置都會找我們,而我們也推脫不掉QQ。
因為雇主希望達到,當使用者登入公司內部任一台電腦(有加入網域),可以讓桌面的資料還在,不會因為登入不同電腦而有新的設定(桌面),所以我們就去找了漫遊設定檔如何設定,參考的就是微軟官方設定文件,奇怪的是於我們公司內部的實驗環境都是成功的,但是於雇主環境以GPO派送後竟然失效了,確定電腦有同步群組原則(有下指令gpupdate /force及重開機),但是還是沒有成功漫遊,測試了幾個想法以後都還是無法成功,有在想說是否有gpo蓋掉的問題,因為我們有一個default gpo沒有拿掉,且其gpo的階層比我們設置的還高,所以還在思考當中,我的同仁最近研究這個功能快把他給搞死了,所以AD功能研究真的博大精深阿。