与时俱进
关于作者
|
|
用户名:zomax 笔名:飞翔蜗牛 地区: 浙江-温岭 行业:其他 |
日历 年月日
| 日 | 一 | 二 | 三 | 四 | 五 | 六 |
快速登录
搜索
最新文章
最新评论
- ·
you can't control everything
是的 是的 完全赞同! - ·
★教你九招-----如何辨别LV包包的真假★
晕 把我要买的包包都贴上来了啊,...... - ·
硬盘容量算法
我还以为只有国内的厂商这么算呢。...... - ·
局域网内全面禁用BT方法
禁止的几种方法封锁是最让网络管理...... - ·
局域网内全面禁用BT方法
信息过滤(如何过滤上网时的邮件聊...... - ·
局域网内全面禁用BT方法
家庭版(如何限制小孩上网时间并记...... - ·
局域网内全面禁用BT方法
局域网如何禁止局域网内搞电驴电骡...... - ·
别人怎么说有那么重要吗
你小说话还挺有道理的呀!没发现呀...... - ·
2005年我的个人blog开通了,不知道写些什么好
你的这个怎么做啊 有些好哦 - ·
2005年我的个人blog开通了,不知道写些什么好
cwd e ed d w
音乐列表
音乐
与时俱进
欢迎访问与时俱进的博客
文章
鬼打墙
今天看金飞传奇故事,内容是人遇到鬼打墙,科学的解释是包括人类在内的生物,一旦失去参照物就会做圆周运动。我想到的是,人一旦没了目标,他的一生就会原地踏步,或者转了一圈又回到了起点,那就真的掉进鬼打墙了,想起来就起鸡皮疙瘩。
鬼打墙
今天看金飞传奇故事,内容是人遇到鬼打墙,科学的解释是包括人类在内的生物,一旦失去参照物就会做圆周运动。我想到的是,人一旦没了目标,他的一生就会原地踏步,或者转了一圈又回到了起点,那就真的掉进鬼打墙了,想起来就起鸡皮疙瘩。
excel拒绝复制
你先在要设置锁定的单元格属性中设置,“单元格格式”——“保护”——“锁定”,然后把开放的单元格属性中的“锁定”取消。然后点菜单“工具”——“保护”——“保护工作表”——“保护工作表及锁定的单元格内容”,将“允许次工作表的所有用户进行”下面的复选框除“选定锁定单元格”外的全部打勾就可以了,你还可以设定一个保护密码。
excel拒绝复制
你先在要设置锁定的单元格属性中设置,“单元格格式”——“保护”——“锁定”,然后把开放的单元格属性中的“锁定”取消。然后点菜单“工具”——“保护”——“保护工作表”——“保护工作表及锁定的单元格内容”,将“允许次工作表的所有用户进行”下面的复选框除“选定锁定单元格”外的全部打勾就可以了,你还可以设定一个保护密码。
一个老网络工程师给年轻工程师的十大忠告(不知道此帖发过没)?
一个老网络工程师给年轻工程师的十大忠告(不知道此帖发过没)?
[1]好好规划自己的路,不要跟着感觉走!根据个人的理想决策安排,绝大部分人并不指望成为什么院士或教授,而是希望活得滋润一些,爽一些。那么,就需要慎重安排自己的轨迹。从哪个行业入手,逐渐对该行业深入了解,不要频繁跳槽,特别是不要为了一点工资而转移阵地,从长远看,这点钱根本不算什么,当你对一个行业有那么几年的体会,以后钱根本不是问题。频繁地动荡不是上策,最后你对哪个行业都没有摸透,永远是新手!
[2]可以做技术,切不可沉湎于技术。千万不可一门心思钻研技术!给自己很大压力,如果你的心思全部放在这上面,那么注定你将成为孔乙己一类的人物!适可而止为之,因为技术只不过是你今后前途的支柱之一,而且还不是最大的支柱,除非你只愿意到老还是个工程师!
[3]不要去做技术高手,只去做综合素质高手!在企业里混,我们时常瞧不起某人,说他“什么都不懂,凭啥拿那么多钱,凭啥升官!”这是普遍的典型的工程师的迂腐之言。8051很牛吗?人家能上去必然有他的本事,而且是你没有的本事。你想想,老板搞经营那么多年,难道见识不如你这个新兵?人家或许善于管理,善于领会老板意图,善于部门协调等等。因此务必培养自己多方面的能力,包括管理,亲和力,察言观色能力,攻关能力等,要成为综合素质的高手,则前途无量,否则只能躲在角落看示波器!技术以外的技能才是更重要的本事!!从古到今,美国*本,一律如此!
[4]多交社会三教九流的朋友!不要只和工程师交往,认为有共同语言,其实更重要的是和其他类人物交往,如果你希望有朝一天当老板或高层管理,那么你整天面对的就是这些人。了解他们的经历,思维习惯,爱好,学习他们处理问题的模式,了解社会各个角落的现象和问题,这是以后发展的巨大的本钱,没有这些以后就会笨手笨脚,跌跌撞撞,遇到重重困难,交不少学费,成功的概率大大降低!
[5]知识涉猎不一定专,但一定要广!多看看其他方面的书,金融,财会,进出口,税务,法律等等,为以后做一些积累,以后的用处会更大!会少交许多学费!!
[6]抓住时机向技术管理或市场销售方面的转变!要想有前途就不能一直搞开发,适当时候要转变为管理或销售,前途会更大,以前搞技术也没有白搞,以后还用得着。搞管理可以培养自己的领导能力,搞销售可以培养自己的市场概念和思维,同时为自己以后发展积累庞大的人脉!应该说这才是前途的真正支柱!!!
[7]逐渐克服自己的心里弱点和性格缺陷!多疑,敏感,天真(贬义,并不可爱),犹豫不决,胆怯,多虑,脸皮太薄,心不够黑,教条式思维。。。这些工程师普遍存在的性格弱点必须改变!很难吗?只在床上想一想当然不可能,去帮朋友守一个月地摊,包准有效果,去实践,而不要只想!不克服这些缺点,一切不可能,甚至连项目经理都当不好--尽管你可能技术不错!
[8]工作的同时要为以后做准备!建立自己的工作环境!及早为自己配置一个工作环境,装备电脑,示波器(可以买个二手的),仿真器,编程器等,业余可以接点活,一方面接触市场,培养市场感觉,同时也积累资金,更重要的是准备自己的产品,咱搞技术的没有钱,只有技术,技术的代表不是学历和证书,而是产品,拿出象样的产品,就可技术转让或与人合作搞企业!先把东西准备好,等待机会,否则,有了机会也抓不住!
[9]要学会善于推销自己!不仅要能干,还要能说,能写,善于利用一切机会推销自己,树立自己的品牌形象,很必要!要创造条件让别人了解自己,不然老板怎么知道你能干?外面的投资人怎么相信你?提早把自己推销出去,机会自然会来找你!搞个个人主页是个好注意!!特别是培养自己在行业的名气,有了名气,高薪机会自不在话下,更重要的是有合作的机会...
[10]该出手时便出手!永远不可能有100%把握!!!条件差不多就要大胆去干,去闯出自己的事业,不要犹豫,不要彷徨,干了不一定成功,但至少为下一次冲击积累了经验,不干永远没出息,而且要干成必然要经历失败。不经历风雨,怎么见彩虹,没有人能随随便便成功!
[2]可以做技术,切不可沉湎于技术。千万不可一门心思钻研技术!给自己很大压力,如果你的心思全部放在这上面,那么注定你将成为孔乙己一类的人物!适可而止为之,因为技术只不过是你今后前途的支柱之一,而且还不是最大的支柱,除非你只愿意到老还是个工程师!
[3]不要去做技术高手,只去做综合素质高手!在企业里混,我们时常瞧不起某人,说他“什么都不懂,凭啥拿那么多钱,凭啥升官!”这是普遍的典型的工程师的迂腐之言。8051很牛吗?人家能上去必然有他的本事,而且是你没有的本事。你想想,老板搞经营那么多年,难道见识不如你这个新兵?人家或许善于管理,善于领会老板意图,善于部门协调等等。因此务必培养自己多方面的能力,包括管理,亲和力,察言观色能力,攻关能力等,要成为综合素质的高手,则前途无量,否则只能躲在角落看示波器!技术以外的技能才是更重要的本事!!从古到今,美国*本,一律如此!
[4]多交社会三教九流的朋友!不要只和工程师交往,认为有共同语言,其实更重要的是和其他类人物交往,如果你希望有朝一天当老板或高层管理,那么你整天面对的就是这些人。了解他们的经历,思维习惯,爱好,学习他们处理问题的模式,了解社会各个角落的现象和问题,这是以后发展的巨大的本钱,没有这些以后就会笨手笨脚,跌跌撞撞,遇到重重困难,交不少学费,成功的概率大大降低!
[5]知识涉猎不一定专,但一定要广!多看看其他方面的书,金融,财会,进出口,税务,法律等等,为以后做一些积累,以后的用处会更大!会少交许多学费!!
[6]抓住时机向技术管理或市场销售方面的转变!要想有前途就不能一直搞开发,适当时候要转变为管理或销售,前途会更大,以前搞技术也没有白搞,以后还用得着。搞管理可以培养自己的领导能力,搞销售可以培养自己的市场概念和思维,同时为自己以后发展积累庞大的人脉!应该说这才是前途的真正支柱!!!
[7]逐渐克服自己的心里弱点和性格缺陷!多疑,敏感,天真(贬义,并不可爱),犹豫不决,胆怯,多虑,脸皮太薄,心不够黑,教条式思维。。。这些工程师普遍存在的性格弱点必须改变!很难吗?只在床上想一想当然不可能,去帮朋友守一个月地摊,包准有效果,去实践,而不要只想!不克服这些缺点,一切不可能,甚至连项目经理都当不好--尽管你可能技术不错!
[8]工作的同时要为以后做准备!建立自己的工作环境!及早为自己配置一个工作环境,装备电脑,示波器(可以买个二手的),仿真器,编程器等,业余可以接点活,一方面接触市场,培养市场感觉,同时也积累资金,更重要的是准备自己的产品,咱搞技术的没有钱,只有技术,技术的代表不是学历和证书,而是产品,拿出象样的产品,就可技术转让或与人合作搞企业!先把东西准备好,等待机会,否则,有了机会也抓不住!
[9]要学会善于推销自己!不仅要能干,还要能说,能写,善于利用一切机会推销自己,树立自己的品牌形象,很必要!要创造条件让别人了解自己,不然老板怎么知道你能干?外面的投资人怎么相信你?提早把自己推销出去,机会自然会来找你!搞个个人主页是个好注意!!特别是培养自己在行业的名气,有了名气,高薪机会自不在话下,更重要的是有合作的机会...
[10]该出手时便出手!永远不可能有100%把握!!!条件差不多就要大胆去干,去闯出自己的事业,不要犹豫,不要彷徨,干了不一定成功,但至少为下一次冲击积累了经验,不干永远没出息,而且要干成必然要经历失败。不经历风雨,怎么见彩虹,没有人能随随便便成功!
WinInstall LE, MSI包制作
关于wininstall 2003 le 的另一篇安装说明
2007-05-29 17:40
转自:http://www.winsvr.org/bbs/index.php?showtopic=3097&st=0&p=21526&#entry21526
初来乍到,这是本人第一次写,献丑了! 3.进行第一次Before快照 点击“Next“,出现要求扫描的位置,这里是让我们选择要扫描的磁盘。因我要将acdsee这个程序安装在C盘,所以我选择C盘, 4.安装Acdsee软件 在客户端操作完Before步骤后,系统会自动跳出一个窗口,要求我们选要运行的程序,会打开一个路径窗口,  找到acdsee这个软件的安装程序,点打开,就会运行ACDSEE软件的安装向导,在此,这个过程和我们平时安装ACDSEE一样,这里就不做介绍了,安装完后,再测试一下,以保证程序运行正常。 5.执行第二次After快照 6.编辑MSI包 原创作者:不死潜龙 |
WinInstall LE, MSI包制作
交换机TRUNK技术
TRUNKING是基于OSI第二层的。假设没有TRUNKING技术,如果你在2个交换机上分别划分了多个VLAN(VLAN也是基于Layer2的),那么分别在两个交换机上的VLAN10和VLAN20的各自的成员如果要互通,就需要在A交换机上设为VLAN10的端口中取一个和交换机B上设为VLAN10的某个端口作级联连接。VLAN20也是这样。那么如果交换机上划了10个VLAN就需要分别连10条线作级联,端口效率就太低了。 当交换机支持TRUNKING的时候,事情就简单了,只需要2个交换机之间有一条级联线,并将对应的端口设置为Trunk,这条线路就可以承载交换机上所有VLAN的信息。这样的话,就算交换机上设了上百个个VLAN也只用1个端口就解决了。
VPN客户不能在网上邻居中看到内部网络分析思路
在ISA2004机器上起用了VPN功能,
使用了静太地址192.168.1.1-192.168.1.254
内部网使用192.168.0.1-254
当外部拨入后,在网上邻居不能看到拨如的计算机
在外部计算机上使用ping命令,有时候成功,有时侯不行
不过可以使用\\192.168.0.1方式访问内部
拨入后,外部机器不能上网,
在网络规则里, internet访问不论使用NTA,还是路由都不能出去
在外部的机器上获得的网关和获得的IP地址是一样的
第一 vpn上的网关是本机的,这个是windows下的vpn服务的特性。
解决的办法是要么在isa上允许vpn客户访问外部网络,或者在vpn客户机上不要vpn作为默认网关。
网上邻居上看不到是正常的,因为vpn客户和内部客户不在一个网段内。
第二是取消vpn客户端默认网关,又有了新的问题那就是 这个方法是放弃使用VPN的网关,使用拨号前的网关,但是这样就失去了VPN拨号的意义,因为VPN获得的和内网不在一个网段,要访问,需要网关路由,想访问远程网络,使用了本地网关就不可能访问VPN远程客户
如,client ip :10.0.1.99 sub:255.255.255.0 DG:10.0.1.1(连接internet)
在无VPN拨号时,想访问远端的LAN(假设远端LAN的IP段使用192.168.0.X)是不可能的。
当进行VPN拨号以后,假设client分配到了一个VPN SRV那里得到的IP。如192.168.0.107。
这时,如果采用VPN分配的地址做为默认网关的话,结果就是,除了访问10.0.1.X网段的地址不经过默认网关出去,其他所有的IP(不属于10.0.1.X网段)如上网访问网站(21cn.com这类都是2xx.xxx.xxx.xxx,都不属于10.0.1.x网段),那么就会发送到默认网关。而我们的默认网关已经改变,不是之前那个10.0.1.1,而是VPN那里得到的,所以当然上不了网。
而取消默认网关的做法是,VPN拨号后得到的是IP,并不更改默认网关,这时如果要上网也还是使用默认的10.0.1.1网关,能够上网;而访问远端LAN时地址是192.168.0.x网段,因此也能正常访问。
所以我认为,取消默认网关的做法是完全符合我们做VPN的初衷的。
这里引用:对于简单的网络可以撤销VPN默认网关,但是对于大于一个网段的网络就会缺乏路由。撤销vpn默认网关,在拨入后,可以得到到达内网网段的路由,可以到达内网,如果还有一个比如说DMZ网端,当然不能和内网在一个网段上,我们打印一下路由表,发现没有出现在路由表里面,ping无法到达,这时候默认路由就非常关键了,如果依然默认给本地网关,那么当然无法到达,但是如果默认给远程网关,远程网关当然知道DMZ如何路由,所以要想得到完全和远程网络相同的网络环境,必须使用默认远程网关,所以人家设计拨号默认就填上了,是有着人家深远考虑的。至于说不能上外网,本来VPN拨入就是为了到达远程内网,既然拨了,就不应该上外网,也不效率;不过也是可以上的,自己配置不当造成的,当然也有实际用处,比如你在内网的网管限制上某些网站,你通过拨入外界的VPN站,就可以上了,即便是ISA2004这样能够在应用层拥有强有力过虑能力的网关软件,对VPN内容也无法检查,因为对VPN内容进行检查的软件现在还没有做出来,利用这个方法可以突破国内不能访问某些网站的限制
假设:
做法A:使用远程默认网关(默认值)
做法B:取消远程默认网关(即使用回原网关)
总结如下:
1、VPN拨入就是为了到达远程内网,既然拨了,就可以允许出现上不了外网的情况出现。
2、A做法能够访问远程LAN中多个网段。而B做法只能访问远程VPN服务器所分配IP所属的网段,而不能象A做法那样访问远程LAN中的其他网段。A做法不能通过本地网关上网。
3、如果远程LAN只有一个网段,且希望使用VPN访问远程LAN时能同时上网,则可使用方法B。B的做法缺点是不能访问远程LAN的其他网段。
其实A和B是可以叠加的,也就是鱼和熊掌兼得,条件就是在ISA Server上配置好针对VPN Client的正确的网络规则和访问规则,也就是说VPN拨号后,你是透过公司的网络上Internet的,ISA Server在做你的防火墙,但是不清楚这样是否有安全隐患。
虽说上面大家讨论的问题没有怎么难倒我,但是我却无法到达公司在全国的其他分支机构。因为公司庞大,各地之间有存在Intranet,需要透过ISA Server下面的Router到达,但VPN Client拨号后,无法将下面的Router作为默认网关,自然就无法抵达。
譬如:
ISA Server Internal IP是192.168.75.253
Router 是 192.168.75.254
VPN Client获得的IP是192.168.75.57
需要到达的分公司IP:192.168.128.11
Router上有这样一条:0.0.0.0/0[1/0] via 192.168.75.253
所以我在ISA Server上输入命令: route add 192.168.128.0 mask 255.255.255.0 192.168.75.254 metric 2就会造成死循环 请注意这点
在ISA Server上做静态路由,想让它Intranet能够从下面的Router出去,只是一种尝试,理论失败,实际也失败
一些硬件VPN可以把路由明确地写入VPN client,表面上VPN Client是以得到的IP为DG,实际上还是会绕到Internal Gateway,从Router抵达Intranet。
使用了静太地址192.168.1.1-192.168.1.254
内部网使用192.168.0.1-254
当外部拨入后,在网上邻居不能看到拨如的计算机
在外部计算机上使用ping命令,有时候成功,有时侯不行
不过可以使用\\192.168.0.1方式访问内部
拨入后,外部机器不能上网,
在网络规则里, internet访问不论使用NTA,还是路由都不能出去
在外部的机器上获得的网关和获得的IP地址是一样的
第一 vpn上的网关是本机的,这个是windows下的vpn服务的特性。
解决的办法是要么在isa上允许vpn客户访问外部网络,或者在vpn客户机上不要vpn作为默认网关。
网上邻居上看不到是正常的,因为vpn客户和内部客户不在一个网段内。
第二是取消vpn客户端默认网关,又有了新的问题那就是 这个方法是放弃使用VPN的网关,使用拨号前的网关,但是这样就失去了VPN拨号的意义,因为VPN获得的和内网不在一个网段,要访问,需要网关路由,想访问远程网络,使用了本地网关就不可能访问VPN远程客户
如,client ip :10.0.1.99 sub:255.255.255.0 DG:10.0.1.1(连接internet)
在无VPN拨号时,想访问远端的LAN(假设远端LAN的IP段使用192.168.0.X)是不可能的。
当进行VPN拨号以后,假设client分配到了一个VPN SRV那里得到的IP。如192.168.0.107。
这时,如果采用VPN分配的地址做为默认网关的话,结果就是,除了访问10.0.1.X网段的地址不经过默认网关出去,其他所有的IP(不属于10.0.1.X网段)如上网访问网站(21cn.com这类都是2xx.xxx.xxx.xxx,都不属于10.0.1.x网段),那么就会发送到默认网关。而我们的默认网关已经改变,不是之前那个10.0.1.1,而是VPN那里得到的,所以当然上不了网。
而取消默认网关的做法是,VPN拨号后得到的是IP,并不更改默认网关,这时如果要上网也还是使用默认的10.0.1.1网关,能够上网;而访问远端LAN时地址是192.168.0.x网段,因此也能正常访问。
所以我认为,取消默认网关的做法是完全符合我们做VPN的初衷的。
这里引用:对于简单的网络可以撤销VPN默认网关,但是对于大于一个网段的网络就会缺乏路由。撤销vpn默认网关,在拨入后,可以得到到达内网网段的路由,可以到达内网,如果还有一个比如说DMZ网端,当然不能和内网在一个网段上,我们打印一下路由表,发现没有出现在路由表里面,ping无法到达,这时候默认路由就非常关键了,如果依然默认给本地网关,那么当然无法到达,但是如果默认给远程网关,远程网关当然知道DMZ如何路由,所以要想得到完全和远程网络相同的网络环境,必须使用默认远程网关,所以人家设计拨号默认就填上了,是有着人家深远考虑的。至于说不能上外网,本来VPN拨入就是为了到达远程内网,既然拨了,就不应该上外网,也不效率;不过也是可以上的,自己配置不当造成的,当然也有实际用处,比如你在内网的网管限制上某些网站,你通过拨入外界的VPN站,就可以上了,即便是ISA2004这样能够在应用层拥有强有力过虑能力的网关软件,对VPN内容也无法检查,因为对VPN内容进行检查的软件现在还没有做出来,利用这个方法可以突破国内不能访问某些网站的限制
假设:
做法A:使用远程默认网关(默认值)
做法B:取消远程默认网关(即使用回原网关)
总结如下:
1、VPN拨入就是为了到达远程内网,既然拨了,就可以允许出现上不了外网的情况出现。
2、A做法能够访问远程LAN中多个网段。而B做法只能访问远程VPN服务器所分配IP所属的网段,而不能象A做法那样访问远程LAN中的其他网段。A做法不能通过本地网关上网。
3、如果远程LAN只有一个网段,且希望使用VPN访问远程LAN时能同时上网,则可使用方法B。B的做法缺点是不能访问远程LAN的其他网段。
其实A和B是可以叠加的,也就是鱼和熊掌兼得,条件就是在ISA Server上配置好针对VPN Client的正确的网络规则和访问规则,也就是说VPN拨号后,你是透过公司的网络上Internet的,ISA Server在做你的防火墙,但是不清楚这样是否有安全隐患。
虽说上面大家讨论的问题没有怎么难倒我,但是我却无法到达公司在全国的其他分支机构。因为公司庞大,各地之间有存在Intranet,需要透过ISA Server下面的Router到达,但VPN Client拨号后,无法将下面的Router作为默认网关,自然就无法抵达。
譬如:
ISA Server Internal IP是192.168.75.253
Router 是 192.168.75.254
VPN Client获得的IP是192.168.75.57
需要到达的分公司IP:192.168.128.11
Router上有这样一条:0.0.0.0/0[1/0] via 192.168.75.253
所以我在ISA Server上输入命令: route add 192.168.128.0 mask 255.255.255.0 192.168.75.254 metric 2就会造成死循环 请注意这点
在ISA Server上做静态路由,想让它Intranet能够从下面的Router出去,只是一种尝试,理论失败,实际也失败
一些硬件VPN可以把路由明确地写入VPN client,表面上VPN Client是以得到的IP为DG,实际上还是会绕到Internal Gateway,从Router抵达Intranet。
OU(组织单元)与Group(组)之对比
A.OU(组织单元)与Group(组)之对比
首先我们要明确OU与Group是完全不同的概念,OU的主要是为进行管理上层次组织以及组策略的实施而设立的容器。简单的说,你不能为一个OU设置权限,但是,你可以为一个OU指定组策略,并且,你可以为一个OU将权力委派控制(在2000中是这么说的,但说成是“下放”也不为过)给特定的用户,组,或计算机(有点儿象人事部?),让他(她,它)们对OU内的成员有额外的权利。
Group相比起OU,分类更为复杂一些。但你可以为组分配权力和权限,这一点OU是做不到的。微软对组的作用的解释是:
1.管理用户和计算机对资源(网络共享、文件、目录、打印机,以及AD内对象的属性)的访问。
2.建立 E-Mail 发送列表。
3.过滤(或筛选)组策略
总而言之,一句经典的话可以概括OU与Group的不同
--------------------------------------------
OU定义的是谁可以管理我
组定义的是我可以管理谁
首先我们要明确OU与Group是完全不同的概念,OU的主要是为进行管理上层次组织以及组策略的实施而设立的容器。简单的说,你不能为一个OU设置权限,但是,你可以为一个OU指定组策略,并且,你可以为一个OU将权力委派控制(在2000中是这么说的,但说成是“下放”也不为过)给特定的用户,组,或计算机(有点儿象人事部?),让他(她,它)们对OU内的成员有额外的权利。
Group相比起OU,分类更为复杂一些。但你可以为组分配权力和权限,这一点OU是做不到的。微软对组的作用的解释是:
1.管理用户和计算机对资源(网络共享、文件、目录、打印机,以及AD内对象的属性)的访问。
2.建立 E-Mail 发送列表。
3.过滤(或筛选)组策略
总而言之,一句经典的话可以概括OU与Group的不同
--------------------------------------------
OU定义的是谁可以管理我
组定义的是我可以管理谁