OU

缺点是没有安全性设计。

优点是有效地组织对象。

使用UPN登陆公司的域

某公司有多个域，可以使用UPN（User Principals Name）登陆公司的域，使用打开邮箱的命令就可以登陆到网络中，这样做的好处是：只需输入邮箱地址，不必知道登陆哪个域。

如：admin@bitqfx.com = User Name + Server Name

利用Internet 邮件地址登陆公司的域

某公司员工出差到上海，他可以使用Internet 邮件地址如： admin@yahoo.com.cn 通过Internet 登陆到北京公司的域，但是必须在Active Directory Domain And Trusts （活动目录域和信任关系）添加记录。 DC的复制

由USN号大的DC向USN号小的方向复制。

AD权限（Permission）继承的分类

继承上来，继承下去。

域、域树和森林

域、域树：连续的命名空间。

森林：不连续的命名空间，常用于公司合并。

AD安装的校验

验证netlogon.dns文件的存在，同时用命令nslookup来验证DNS的设置。 Group Policy 的规则

基于Windows的域

是标准的AD对象

依赖于SDOU

组策略的实现必须Link到SDOU上

GPO的功能

GPO（Group Policy Object，组策略对象）

设定访问许可

建立用户对象

GPO的生效级别

在AD的不同层次上定义多个GPO，则使用LSDOU(Local Host->Site->Domain->OU )的优先顺序来执行策略，对计算机和用户的作用是这四个策略执行的“和”。有时，在一个GPO中的设置会被其他GPO中的设置抵消。

在AD的同一个层次上的多个GPO，则自下而上执行，高级的覆盖低级的，所以高级应该放在上面。

组策略冲突分析

通过组策略，可以对用户环境进行定义或者限制，如用户使用的软件、桌面环境、开始菜单里包含的程序等等，它能为你的管理带来很大的方便。但是初学者往往对组策略实施的一些具体细则感到迷惑，尤其是当组策略存在冲突的时候，到底哪个策略生效这一问题令很多人非常头疼。

现在我们就来给大家做一个清楚的解答。我们以配置用户桌面上有无“网上邻居”图标这一策略项为例来分析组策略冲突时的生效级别。

（1）、同一OU上多个组策略

我们先在“Active Directory用户和计算机”中新建一个OU(组织单

元)“1”，并在其中新建一个用户“chen”。然后我们给“1”这个OU建立两个组策略：一个命名为“有‘网上邻居’”，并对其进行配置，停用“隐藏桌面上的‘网上邻居’图标”这一项目；另一个命名为“无‘网上邻居”’，并对其进行配置，启用“隐藏桌面上的‘网上邻居’图标”这一项目。

当这两个互相存在冲突的策略同时作用于 OU“1”时，以排在最上面策略为准(策略由下而上执行，以最后执行的为准)。即用户chen登录时桌面上还是有“网上邻居”图标的。

如果我们对排列在下的“无‘网上邻居”’策略设置了“禁止替代”，或者两者都设置了“禁止替代”，则以排在下面的“无‘网上邻居’”为准，即OU“1”中的用户chen登录时桌面上将没有“网上邻居”图标。其原因是“禁止替代”具有强行执行的效力，并且，依据“禁止替代的权限不可下降”的原则，先执行的“不可替代”项目将屏蔽掉其后执行的“禁止替代”项目。

（2）、父OU和子OU

在域上新建OU“2”，并建立它的子OU“2(1)”，同时在子OU“2(1)”中建立用户“zhang”。

在父OU“2”上新建一个组策略“无‘网上邻居’”，并对其进行相应配置；在子OU“2(1)”上新建组策略“有‘网上邻居’”，并对其进行相应配置。 大家知道一个OU上的组策略在默认情况下是要继承到其子OU上的。而这时子OU中的策略项目和其父OU上的项目存在冲突。在这种情况下，以子OU上的项目为准(先执行父OU上的策略，后执行子OU上的策略，以后执行的为准)，即子OU中的用户zhang登录时，桌面上仍然有“网上邻居”图标。

另外，与第一种情况相同，如果父OU“2”上的“无‘网上邻居’”策略设置了“禁止替代’，即便是子OU“2 (1)”上的“有‘网上邻居”’也设置了“不可替代”，其最终执行结果依旧以先执行的父OU为准，即桌面无“网上邻居”。

（3）、“阻止策略继承”与“禁止替代”

“阻止策略继承”将阻断子OU从父级OU乃至更高级 OU或域上继承组策略设置。而在父级OU的策略上设置“禁止替代”，将使设置在子OU上的“阻止策略继承”失效。即这时用户zhang登录时，产生效果的依旧是从父级OU上继承下来的，被设置为“禁止替代”的策略——“无‘网上邻居’”，这时桌面上将没有“网上邻居”图标。

GPO权限的设定

选中GPO Link-》属性

General->

disable:禁止计算机的配置和禁止用户的配置，这样可以提升开机速度，改善性能。

Links->

Domain：选择作用于哪个域上。

Security->

必须赋予用户有“读”和“应用”的权限，否则该GPO在该用户不生效。 GPO信息的存储类型 DCSysvolPolices 下，用GUID命名，每一个GUID代表一个GPO。

GPO存储分两个方面，GPC和GPT。

GPC：组策略容器，跟随AD的复制

GPT：组策略模板，存储到硬盘，FRS（File Replication Service）

GPO存储的位置

注册表HKEY_LOCAL_MACHINE->Software->Policies

密码和帐户的策略

本地计算机用户的SAM在本机上，如果本机在域中，则密码策略遵循域的组策略；如果本机在OU中，则密码策略遵循OU的组策略。

域用户的SAM在域控制器上，密码策略遵循DC的组策略。

在AD中发布打印机

win2k:共享打印机->属性->共享->在AD中发布

非win2k:复制WinntSystem32Pubprn.vbs到win9x的计算机->运行Pubprn.vbs 发布和指派软件

〈软件跟随用户走〉

Publish <User>：

用户可以用添加/删除程序添加或删除

通过文件关联可以安装

Assign <User>:

用户logon后，出现在桌面或开始菜单

用户第一次选择后开始安装

卸载后，下一次还会出现在桌面或开始菜单

通过文件关联可以安装

〈软件跟随计算机走〉

Assign <计算机>:

图标显示在开始菜单

用户无权卸载程序，本机管理员才可以卸载程序

注1：一般情况下，域用户都要加入到“本地用户和计算机”中的本地管理员组（administrators组），使域用户具有本地计算机管理员的权限，否则域用户和本机管理员无法共用软件。

注2：分发软件时的分发点必须是一个网络路径。

文件夹权限

父文件夹只要设置成“完全控制”，无论子文件夹或文件的权限如何，该用户都可以对该文件夹进行任何操作，包括“删除”。但是如果子文件夹或文件的所有者是其他用户，则必须先要夺取所有权，否则是不可对其进行操作的。 理解AGDLP

域用户A加入到域全局安全组G，然后在“本地用户和计算机”中创建一个本地组DL，把G加入到DL中，最后为DL分配权限。

充分利用登陆和启动脚本

利用登陆脚本和启动脚本，可以让用户登陆或计算机开机时，运行程序。

比如，对OU1添加组策略时，计算机1不想开机运行程序（即启动脚本），那就把计算机1拉到OU2中；如果用户1不想登陆时运行程序（即登陆脚本），那就把用户1拉到OU2中

第二篇：20xx年度职场管理经验总结

20xx年度职场管理经验总结

XX年度职场管理经验总结

1、合同管理经验总结：完善的合同管理可以避免现场很多的纠纷与扯皮，以便各自明确自己的职责与权力，

以下是与甲方及施工班组之间的矛盾所总结出的一些结论，以作参考。

（1） 对施工班组合同的完善

一、 须将施工班组自带工具的具体工具类型写明。（诸如：搅拌机、振动棒、斗车、铁锹、洋镐、混凝土拉槽机、角磨机、切割机及锯片、铅笔、钓鱼线、警示带、钢锯及型号、焊机及焊条、不锈钢矩管用于外墙抹灰擀平、橡胶锤、手锤、水平管或水平器、熔接器、螺丝刀、电笔、墨斗、风爆机、破碎机、砖刀、装水泥的容器、卷尺、水桶、插线板、电缆型号及长度、水管型号及长度）以免施工中购买工具时引起的扯皮现象。

二、 已谈好单价的部分须要求其达到的工艺程度，根据其工艺程度要求区间划定价格。(诸如水泥砂浆抹灰的厚度及平整度，外墙抹灰和防水卷材水泥砂浆保护层及找平层价格根据其抹灰的厚度及表面平整度的要求划价。混凝土根据自拌还是商砼，是混凝土路面还是垫层而划价。绑扎钢筋根据是现场切割加工还是在厂里加工好现场只管绑扎，所贴石材的磨边、异型尺寸是现场加工还是厂里加工好现场只管铺贴而划价，水池内卵石是粘贴还是散铺、立面石材是干挂还是湿贴而划价)

三、 所承包的范围须完善。（诸如混凝土路面包含搅拌、运输、摊铺、边缘支模、振动、压光、养护、拉槽、切伸缩缝等工序，其工序产生的人工费不另计，路沿石是否包含其垫层，立面石材勾缝、清洁、压顶局部切磨、所剩石材须运回库房、清理当天施工场地建渣、将所用工具放回其库房等要求，水电在指定的地点接驳，水电管线的接通、维修与保存属于施工班组的责任范围，对施工后的成品具有保护责任等）

四、 赔偿责任及具体赔偿办法（1、工具丢失赔偿、2、工程返工造成材料多耗及工期拖延的赔偿、3、各施工班组交叉施工造成的破坏赔偿）

五、 了解包工头与工人如何签约（非雨雪及风暴天气无工程时，不可抗力因素造成的无法施工时、工头是如何给工人工资，工人的生活与住宿是如何安排等），以便更好的管理工人。

六、 积极配合合同承包范围之外的签证工程，按已签订的人工单价计价，且对该部分负责质保。

七、 积极配合参与验收，以甲方要求为主导，验收合格方拨除质保金以外的款项。

（2） 与甲方所签施工合同的完善

一、 工程承包范围之外的签证需按施工合同所签综合单价乘以1以上的系数计算，特别是零星工程的计价方式，以补偿造成的工期延误和施工人员的工资

二、 承包的工程结算须按现场及竣工图的施工工艺确定工程量，所发生的工艺工程量按综合单价计价，以免因工程量清单漏项而造成该项无处可套（比如围墙抹灰，及围墙上的石材水泥砂浆结合层是两个不同的施工工艺，清单中漏抹灰项，施工图中抹灰项也未说明，但现场施工工艺又必须做的施工步骤）

三、 综合单价是否包含税金（或只含某种税金比如只含材料税），工程范围之外的签证套综合单价时是否要扣除税金等。

四、 进度款中包含变更、施工合同范围内已做的工程量，工程量清单中因变更无该项部分按现场施工工艺和变更图确定，其综合单价按已有的综合单价计价，无价部分需及时与甲方预算部议价。

五、 工期顺延除不可抗力因素外，还应包括因甲方指挥协调不当场地被占或停水、停电而造成无法施工的情况，且需甲方承担工人窝工费用。

2、现场协调经验（施工方内部之间、与甲方各部门、供应商、其他施工方的协调）

1、景观场地上交叉施工的工种有：天然气、电缆、光缆、电视电话广播电线、主体脚手架、塔吊、外装、给水、排水、暖通、烟道、消防栓、地暖等。要么施工场地被占、要么其施工材料及建渣堆积于施工场地之上。首先要记录其占地天数成为拖延工期的证据，其次请求甲方解决并示意给出工作面避免工人窝工，其三损坏场地、拖延工期、工人窝工、残留建渣清理等签证索赔。

2、施工班组根据长期施工的经验，对于技术员要求的现场情况处理觉得不妥或将来可能出现返工的情况要敢于

提出来，以避免双方的损失。若双方不确定，应与项目经理或施工工长一起就此问题进行探讨，必要时查询

资料，询问专家，以确定最佳施工方案。为避免盲目施工的现象，将来若出现质量问题，应就此对双方进行

适当程度的罚款（工人返工、施工员扣奖金）。每次遇有此种矛盾出现，应当就处理情况进行记录和备案，

现场责任人施工员签字，以备将来查询之需。

3、不论高居何位都需要时常关注现场，时刻注意及估算工人所需，并主动提前询问工人所需做好联系工作。

比如：水泥、黄沙、红沙、卵石、烧结砖、石材、草绳、扣件、钢管、机具、试剂、水电、夜晚加班用电用

灯等。施工人员管理好工人和配合工人的工作同等重要，目的只有一个：控制进度、质量、成本。优秀的施

工员应是了解工人所需、知质量隐患所在、主动联系解决问题。

4、古语：“害人之心不可有，防人之心不可无”防内部人员泄密、防其他施工单位挖人、防其他施工单位借用

我司与工人矛盾而探密。做到该说的话才说，不该说的话需闭口，注意分寸，防止意气用事。

5、对于不熟悉的相邻施工单位来借用水电、让其联系甲方，让甲方来联系我方。虽然结果一样，但过程不同既

给了甲方情面又有助于对方。这就是职场人际的人情账的积累。

6、职场新人做事需谦卑、主动、积极且善于控制情绪。给人良好印象，遇到相邻施工单位的人员、甲方等主

动打招呼，“打招呼是我的事，别人理不理是他的事。不要因对方不搭理而放弃”相邻施工单位难免会借用

水电、材料与工具，熟人帮熟人再简单不过了。

7、与供应商、采购联系材料务必用图或讲解清楚，比如多大尺寸、型号、颜色、数量、特征（比如石材倒角、

磨边、磨光面）、所用的部位，所用时间、哪个时候必须准备好、从哪里运输过来、运到后所放的位置等均

需充分说明，并不间断的了解其准备情况。以免造成误差、时间推迟等影响施工的进度或质量情况。

8、在施工过程中随时注意库房、材料的剩余与使用情况。要用提量单与现场使用情况相对比，防止现场用错材

料。

9、材料被偷是施工场地经常发生的事之一，所来材料需及时告诉库管，让其盖好塑料布。让库管监督钢筋、扣

件的使用及回收数量，问责于库管。

三、职场观念（自家之言-绝密）

1、“施工现场如同战场，不打无准备之仗”。由于意见不同难免与领导及同事发生争执，需明确两点：1、知当

前最需要迫切解决的问题是什么？2、各个解决方案权衡利弊择其优。在准备阶段管理层就需要在多个方面

达成共识。

2、项目经理不是发号施令的唯一独裁者，而是集众人智慧择其优者，最终方案的确定者及施工命令下达者。

3、“任何时候解决问题都是施工过程中的重点”，也是施工人员价值之所在，不因个人情绪而渎职。

4、“付出一定要大于回报”，工作的目的是为了自己。首先感谢公司给了自己展示才华的平台，感谢领导给了

自己表现及积累经验的机会。不要因事小或非份内之事而不为，若那样会错失人生很多机会。永远要把“付

出大于回报”当作工作中的信条，当发现付出小于回报时就是职场的危机。

5、“要学会低头”，心中时刻注意自己的目的，在与甲方及领导交流过程中，遭到训斥是很正常的事，在非重

要的问题上避其锋芒，在重要的问题上顾全大局。只要能达到目的，做一回孙子又何妨，韩信尚能受胯下

之辱何况我辈乎？

6、“同时对甲方又得脸黑心厚”特别催甲方预算部签证及工程结算时，不间断且看好时间适当的催，这是双方

比耐力的时候，你若能将冷板凳坐热，用热脸去贴别人冷屁股，不因别人喜怒而牵制自己的哀乐，你将所

向披靡。

7、“不要把自己看得太重要”无论你身居何位，在每年进入职场的新生军数百万的情况下，任何人都可以被取

代，时刻要有危机感。

8、“不进则退”工作半年及一年的时候，得总结相对于上一年的现在，新增了哪些对职场有用的技能，如果没

有掌握新技能，证明职场正在走下坡路，所谓不进则退也。

9、“所谓好员工即是做人做事均让领导放心的员工”并非只是完成所交任务的员工，即技能、人品、心态让领

导放心且愿托于重托的员工。

10、“切忌永远不要在领导及同事面前发牢骚”，心态需自我调节与释放。

大学毕业并非学习终止，而是学习才刚刚开始，所谓冰冻三尺，非一日之寒，以量变达质变，务必戒骄戒躁，虚心求教，礼贤于众人，方能厚积薄发驰骋于职场。