建立單域雙DC之步驟

1、組建單域雙DC步驟目的：建立一個單域雙DC的域環(huán)境，域名為：。域中有多臺DC的優(yōu)點：提高用戶登錄效率。因為多臺域控制器可以同時分擔審核用戶名與密碼的工作，因此可以加快用戶登錄的速度。提供容錯的功能。即使其中一臺域控制器出現(xiàn)故障，仍然可以由其他域控制器來提供服務，讓用戶可以正常登錄。實驗環(huán)境：本實驗使用Vmware Workstation v6.0，全新正常安裝兩個windows server 2003 sp2 enterprise chs虛擬機，各有一個網(wǎng)卡，計算機名分別為DC1，DC2。新建一 Windows XP SP3 cht虛擬機，計算機名為Client1。DC1的IP設置情況是：IP

2、: 子網(wǎng)掩碼：網(wǎng)關：無（可根據(jù)實際情況填寫）首選DNS服務器：DC2的IP設置情況是：IP: 子網(wǎng)掩碼：網(wǎng)關：無（可根據(jù)實際情況填寫）首選DNS服務器： （在DC2提升為第二臺 DC前，需將 DNS指向第一臺 DC的IP）Client1的IP設置情況待建域完成后再設置在DC1， DC2上都安裝上 Windows Support Tools, Windows Resource Kit Tools, GPMC等工具，方便以后管理和維護域控制器。Windows

3、Support Tools和Windows Resource Kit Tools 是微軟工程師及微軟技術愛好者開發(fā)的工具集，二者都包括很多 強大的命令行工具、圖形工具，及腳本等，女口 support tools 工具集中的 dcdiag.exe, dsastat.exe,getsid.exe，,netdiag.exe, ntfrsutl.exe，repadmin.exe，replmon.exe 等常用工具， Resource Kit Tools 工具集中有 gpotool.exe， lockoutstatus.exe， robocopy.exe 等常用工 具，對于我們管理、維護及對域環(huán)境的排錯

4、有很大的幫助，值得好好研究。Windows Support Tools 在系統(tǒng)光盤 SUPPORT'TOOLS 中，雙擊 SUPTOOLS.MSI 安裝即可。Windows Resource Kit Tools 要到微軟網(wǎng)站上下載： nloads/details.aspx?FamilylD=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLa ng=e n下載安裝即可。GPMC是Group Policy Ma nageme nt Con sole，即是組策略管理控制臺，此程序功能相當強大，對于我們管理、部署及對 組策略的排錯非常方便高效，

5、推薦安裝。此程序為免費軟件，要到微軟網(wǎng)站上下載： nloads/details.aspx?FamilylD=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLa ng=zh-c n 稍后文中會介紹使用方法。建立篇1首先將DC1提升為第一臺 DC （即主域控制器）在DC1中，點擊“開始”-> “執(zhí)行”，輸入“ dcpromd'命令:3#點擊"確定”，出現(xiàn)#點擊“下一步”，出現(xiàn)#請行 VfLDdowi Server 2006 的或 勞蠱用更安全的方式與域控制盟建用的玄全去萱要求客戶諒和耳燉服矗作系聊菱容性Windows Sti

6、ver 2003中改進酌安全設瓷疊至響前版本的Iflindonn#些回扳衣鬥WindmvE ®括Vindovs 95和HI 4.0 SF3或更早版 醞嚼疇鉛巔竝蠶：蹄亦Z咗DS '轎有關更實厲息請繪聞董客性幫旳<上一勢創(chuàng)歸貶竝桑1點擊“下一步”出現(xiàn)#Active Dir«ctor7 安裝向?qū)控制器類型潔扌錠想要此服務器擔任的角色0建丈新域2d燃想要此服務的域控制器還是現(xiàn)有域的頷外域控制器”I檸 肆躅域瀚器“現(xiàn)有域卜域控制器新域樹戒新林.出艮務器將成為新理中的第一 建立額外域控制器，就是輛助域控制器4主用這平選項來處理將會刪除所有在這亍巌務器上的本地怙

7、6; 所有密鑰將被刪除，應該在繼續(xù)之前將密鑰導岀.熬翩敬嚴或曲'55上一歩|壬一歩？#，點擊“下一步”因為我們是要建立新域，所以選擇第一項（稍后建第二臺DC （額外域控制器）時，要選第二項）#選擇第一項，點擊“下一步”輸入域名： con toso.co m,點擊“下一步”5Netbios域名默認即可，此處默認是：contoso。點擊"下一步”此處設置的是 AD （活動目錄）數(shù)據(jù)庫和日志存放的位置，默認即可。點擊“下一步”Sysvol文件夾的存放位置默認即可，點擊“下一步”78#DNS服務DC1此前活動目錄是和 DNS服務緊密聯(lián)系在一起的，DNS服務可以離開活動目錄的支持，但活

8、動目錄一定不能離開的支持（活動目錄與 DNS服務可以不在同一臺電腦上，但安裝活動目錄必須要連接到一臺DNS服務器上）。因為默認第二項即可，點擊“下一步”并沒有安裝DNS服務，所以此時要選擇安裝上DNS服務。選擇默認的第二項，點擊“下一步”在上圖中設置目錄服務還原模式的系統(tǒng)管理員密碼，“目錄服務還原模式”是一個安全模式( safe mode)，進入該模式可以修復Acitve Directory數(shù)據(jù)庫，我們可以在系統(tǒng)開機啟動時按F8鍵進入該模式，不過必須輸入上面設置的密碼。此環(huán)境下目錄服務不在運行，可以進行已刪除的域賬號恢復，AD數(shù)據(jù)庫及日志存放位置的轉(zhuǎn)移等等操作。“目錄服務還原模式”的系統(tǒng)管理員

9、與域的系統(tǒng)管理員是不同的賬號，其密碼也可以設為不同的密碼，請不要混淆。此處設置的密碼如果忘了，也可以 通過在正常模式下的命令提示符窗口中，使用ntdsutil命令進行重設(當然，最好是不要忘了！)。此處設置好密碼后，點擊“下一步”點擊“下一步”，開始安裝活動目錄安裝期間要求插入 windows server 2003系統(tǒng)光盤，等待幾分鐘時間，安裝完成后，重啟計算機。重啟完成后，輸入域 管理員密碼，登錄到“ contoso ”(此時只能登錄到 contoso域，無其它選項)。進入桌面后，檢查DC是否安裝成功：1) .檢查DC1的IP設置的首選DNS服務器是否是指向自身，確定是：192.16821

10、。2) .檢查“開始”-> “程序”-> “管理工具”里，確保有以下幾項：曲Dirsetory用戶和計直機 Directory堀和信任關系 嚅如tiv* Dirtetory站點和服務3) .檢查 C:windowssysvolsysvol 和 C:windowssysvolsysvol'scripts文件夾是否共享成功F-H |_Jj srchasiEit二I g-yst amE 亡| syaIH lZj systol E lj_j dtimknIrii ctafineu*h.e.cento5a. com-H LJFoLacisIl .( scripts ICJTAPI4)

11、 .檢查DNS安裝是否成功。打開DNS控制臺，檢查 DNS的"_ ”區(qū)域和" ”的屬性是否如下:“ ”區(qū)域?qū)傩裕?1#DC 后面是否有*號。注意：點開"_”屬性的"名稱服務器”窗口，檢測#如果有*號，則說明該 DNS服務器可能沒有存儲真正的記錄，要修復此問題，可將此項刪除，重建。在上圖中，選定"DC "項，點擊"刪除"，將此項刪除，然后點擊"添加"：如上圖操作，確定后完成新建，如下圖:點擊上圖中“確定”點擊“是”，完成操作?！?con ”區(qū)域?qū)傩?1213檢查DNS各項記錄是否完整:S + 圍固

12、鸞回凰輕回|包1|禪呂oss£- KI*1 lul爭件查看貉B LJ正向査找區(qū)域.sdcs. tomt©冨。 de domains gc pdiccontoso- c>ob 10 個記錄名稱冋* _l-_|A Ui CJ冋tottt <i3d._R>sd?sS O jiZS -LJ _tcp LJ _adpffi 'C Diiwn &inDuZ one s 回 口 FrtitDMZoMS * -J反向査駆越IjTjJ _msdcs _| _sitesI_tcpQj_udpC_J Daaai nDn&Z om s CjFcmg 仙期$

13、J與父文件來相同） a與父文件夾相同） g與爻空件夾相同）=del起始技叔機構GW 名稱服勞器?。?主機 王機的SV, del contDSO. c4m., del. ewit mo. com192. 16S.2 1192. 16S.2. 1#_tep2叩記錄塔稱|賓型1耳Zb"此tsav）服老竝遐CSKV）0 100 86 Q1OO3B9 d<i. eonUie co*.El" 3 KI r y爭件查看器 -_l正向查攏區(qū)鎖S-tey msdes. contosa- eoaB- Cj Ac 白 O _lit*a 冋 l_la gfil_J _lcp51

14、一I domainsffl -O fit S"CJ pd©:J_注意：以上各個分支都點開看一下，如果DNS各項內(nèi)容不完整，可以在命令提示符下輸入：nItest /dsregdns，或者重啟netlogon服務進行修復。檢查并確保安裝成功后，因我們新建域中的DC只有windows server 2003操作系統(tǒng)，為了發(fā)揮 widnows server 2003域的最大功能，須將“域功能級別”和“林功能級別”都提升到Windows server 2003模式，方法如下：在DC1中，打開管理工具中的 “Active Directory 域和信任關系”，右擊""

15、，將"域功能級別” 提升到"Windowsserver 2003 模式。#->2. -Windows Server 2Q03n 模式當前域功d那別Tindwt 2000混合根式丄.右擊* contO5Q.com ”-選棄“提升 域功能飯別*選特一亍町用的熾功能鑲別findovs; Server 2003JS 舗鈔能醐腳操惟是不可逆的有關更列功總級別的詳細營息誼單擊提升點擊“提升”-> “確定”-> “確定”，完成域功能級別的提升。右擊"Active Directory 域和信任關系”，提升“林功能級別”至Windows Server 2003 &

16、quot;模式。點擊“提升”-> “確定”'確定”，完成林功能級別的提升。S3BE文件（£）操作 查看 幫助®1 右擊"Actin Direclory域和信任關選擇“提升林功能圾剔”I K4IActiw Directorr關系2安裝第二臺DC （額外域控制器）在DC2上用本地管理員賬號登錄，點擊“開始”-> “執(zhí)行”，輸入“ dcpromo "確定，點擊“下一步”，一直到下面窗口15Ac-tive Directory 安裝向 9詵指定炬要此服務器擔任的螢色.XJ16世咚要此甌芻爵成為新W：的啟控割器迅是現(xiàn)百戰(zhàn)的範引威控黑!1靳威的域擰

17、制黯遼）選揮此選項來創(chuàng)理新子螳、新威村陀新抹此.楓觀將或向新域中的第一 -T軀制署.u現(xiàn)首秋的師可瓦拄起鴿|£ .尋遠個氐頂來處刪合AH蹤所有狂這個服務器上的本臧戶.卿密朝苗植M除.應碗樂讀之前葩匹鑰號出.翳翩儡翩曲電網(wǎng)件選擇“現(xiàn)有域的額外控制器”，點擊“下一步”#在上面窗口輸入 DC1的域管理員賬號，密碼，域名是，點擊“下一步"#點擊“瀏覽"，選擇 ,點擊“下一步"#默認即可，點擊“下一步默認即可，點擊“下一步”輸入目錄服務還原模式的管理員密碼，點擊“下一步”，開始安裝活動目錄。安裝完成后，重啟電腦。重啟后輸入域管理員賬號和密碼，登錄到contoso域

18、。檢查DC2活動目錄是否建立成功：1) .檢查“開始”-> “程序”-> “管理工具”里，確保有以下幾項:Active Directory用戶和計算機 % Active Directory域和信任關系 ijji Active Directory 站點和服務2) .檢查 C:windowssysvolsysvol 和 C:windowssysvolsysvol'script文件夾是否共享成功b M X | 屈 e18#注意：有時這兩個文件夾會沒有共享?？梢酝ㄟ^以下方法修復：在DC2中，打開“管理工具”的“Active Directory 站點和服務”，檢查下圖中，分別點擊DC

19、1和DC2的NTDS Settings， 檢查右面是否有相應的連接， 如果沒有自動生成， 則需要手動建立。 右擊窗口右側(cè)空白處， 選擇"新建acitve directory連接"， 選擇另一個DC，"確定”，即可手動建立連接。盤 文件匹査看 窗口血 幫朋®FTDSB-NTDS Setting畑站點.和服備 IB- O SitHesD«£kul t-F irstS it«-Nui*El LJ Server sB 3 D£1Eb 匚JTransports1*1 r 1 Sut&e I a#確定分別點擊 DC1和

20、DC2下的NTDS Settings，右側(cè)窗口中都有連接后，右擊這兩處的連接，選擇“立即復制副本” 如復制成功，則會彈岀以下窗口：稍等幾分鐘后或者重啟計算機后，再檢查 DC2 的 C:windowssysvolsysvol 和 C:windowssysvolsysvol'script兩個文件夾是否共享成功。此時第二臺DC已建立完畢，此時需要檢查兩臺DC間是否能正常通信及工作，使用命令dcdiag,netdiag,gpotool,repadmin/showreps，命令查看生成結果中是否有failed或error。（后面的維護篇有詳細介紹）為了實現(xiàn)DNS服務的容錯（假如 DC1掛掉了，那

21、DC2同樣可以臨時維持網(wǎng)絡及客戶端驗證服務的正常運行），也需要在DC2上安裝DNS服務（上面DC2提升為第二臺 DC后并不會自動安裝 DNS服務，它使用的還是第一臺 DC的DNS服務）， 并和DC1上的DNS區(qū)域一樣設置成主要區(qū)域，與 DC1上的DNS實現(xiàn)區(qū)域復制，互做冗余。在DC2上建立DNS服務前，先要在 DC1上的DNS進行設置，以允許 DC1上的DNS的設定及信息能傳送給DC2的DNS，實現(xiàn)由 DC1 DNS至U DC2 DNS的區(qū)域復制。在DC1中，打開DNS控制臺，右擊“_ ，選擇"屬性”，點擊"名稱服務器”，把 "添 加”進去。19->點擊“區(qū)

22、域復制”_«sdcE. CCntCiS'O. COB J9£t*t區(qū)域復制區(qū)威宜制垸送1Z域的刖本劉話求的服君器.P允許區(qū)戲宴制©.C劉所有服毋器（DI悴貝百在“宮秫服冬器”選頂卡中列出的服IR見許到下列服務器QO勵勵I需嚎萼理 |曙週知輔助服為-諸選擇-目動通知"碗龍堆址空:瞻® |涇在“名肺服躍"謹項卡上列岀的服務器下列冬器 ip地址吧：3.選擇北項要指定服拓器授收區(qū)威更新調(diào)卻，話單m2.點擊占通知”Th通知應用如取消右擊“ 區(qū)域，選擇“屬性”，再次進行上面相同的設置F面開始在DC2上安裝DNS服務，在DC2的“控制面板”

23、中，打開“添加或刪除程序”-> “添加/刪除Windows組件”“網(wǎng)絡服務”，勾上“域名系統(tǒng)（DNS ）”，“確定”，插入 Windows server 2003系統(tǒng)光盤，安裝上 DNS服務211T 世 adW* indovs 組件可以添加或H際Win-icw|Dfx；J|OMB要更Wlh如T程序帕E讓 軽t c c - _k wmn!吐 VM-1 -1 -1組件©:3；：!網(wǎng)絡巖勢用杠萃服務弱.占選程存錯n |由訐書;第描述:包含各種專I所需琳盤空間町用犠益至|田懿?鶴諜蹄:灰色框表示曲5岡箱廉務的子蛆件（£） HTTP代理上的RFC Sloiterne t驗證程勞

24、nlindowE Internet 名稱服務 OINS）:列動態(tài)主機配置WF）閒單TCP/IP服務Mr!描述一矩1.5MB2dC/DCOr1遴過Internet信島鞭務器（I的HI7F進行通訊°所希班盤空間: 可用班盤空間:4. 3 MB3689.8 MB ; - -詳蛹石JT-|確定 取消安裝完成后，等待一段時間后（一般15分鐘內(nèi)），打開DNS控制臺:A立件®操作® 查看通窗口址）幫助囪因廚國曲住回|ma b二 dluiSBgBt - DISDC2 1EH查找匿JS'fonl："。- co»罠MIS-J DC2*妙事件査看邸9-0正向

25、查找區(qū)域El "(gp _msdc3. cant a so. com1£ _l ic 匡 Cl domainsE 2J $c£ ,_| pdc- 引 contosc comE jj _m4ci匡 I _si Les+ O _tcp lr -一I _udp莊 I DoBinllniZoiuE+ _J ForestDnsHtmEE *1 -J廈向査找叵或effintoso- coa13 平記錄數(shù)據(jù)|1bl：_mEdc5亠i"Qj曲|_|_iiidp匸3 Dc>m ai nDn.sZ one sg (與交文件夾相同j起始授權機構蝕帕37dc2. cGnt

26、oso. cm.a （與父文件夾相同）名稱服舊器CHS）del.住onto名口.com.0 （與哎立件夾相同】名稱嚴勢器血）de2. ciLtoED. com.g（與芟文件夾相同j主機00192. 168.2.2團（與父文件夾相間】主機GO192 16$ 2.1崗血1主機192.16S.2. 1JjBC2主機的192.16®.2.2打開“正向查找區(qū)域”，相應的DNS區(qū)域應該會自動從DC1的DNS中復制過來。分別檢查 "區(qū)域和" "區(qū)域的屬性，進行以下操作:1）查看“名稱服務器”中是否如下，如缺少某一項，則手動加進去:232）查看"區(qū)域復制”，進

27、行下面設定。3) “ _ ”區(qū)域?qū)傩?24con ”區(qū)域?qū)傩?現(xiàn)在可以修改 DC1和DC2的DNS設置了。將DC1的首選DNS服務器設置成：192.16821 ,備用DNS服務器設置成：192.168 22, DC2的首選 DNS服務器設置成：，備用 DNS服務器設置成：。（推薦此種 DNS設置） 設置完成后，在DC1和DC2上的命令提示符窗口中，分別運行“n Itest /dsregd ns "，再次將自已注冊到 DNS中，稍后使用dcdiag，netdiag， gpotool， repadmin /showreps命令檢查域是否正常（使

28、用方法見維護篇）。GC又稱為global catalog（全局編錄），由域控制器來扮演，它包含本域中的AD的所有對象及屬性，還包括林中其它域的Active Directory內(nèi)所有對象，不過只存儲每一個對象的部分屬性，而不是全部的屬性。這些屬性都是平常比較 常用的，如用戶的姓，名，登錄賬號名稱等，“全局編錄”讓用戶即使在不知道對象是位于哪一個域內(nèi)的情況下，仍然可以很快速的找到所需的對象。一個林內(nèi)的所有域樹共享相同的“全局編錄”， 默認情況下，林中的第一臺DC是默認的GC，此處DC1是GC,為了 GC容錯，也將 DC2設置成GC，方法如下：打開“ Active Directory 站點和服務”，

29、點開DC2，右擊“ NTDS Settings 選擇“屬性”-> “常規(guī)”，勾上“全局編錄” （GC）。此時，單域雙 DC域環(huán)境已建立完成。DC2 有兩塊網(wǎng)卡,下圖：IP地址分別為：和，這樣域建好之后，DNS中會有兩項 A記錄IP地址指向DC1，如罩，DIE二日Ml三CJ正自查找區(qū)域出(qJ s x. rantozo. cm0-曲 anloE®.3_m i de s.Ellias3 LJ _lep屮匚 J _Tlllp (3- l_l3 I Feres t J) ns Zones: 島口更向查挽區(qū)轉(zhuǎn)補充：在有些實際環(huán)境中，DC可能同時安裝

30、了兩塊網(wǎng)卡，例如DC1有兩塊網(wǎng)卡，IP地址分別為：192.16821和10.4221 ,C«At«5O- £©15個足錄若稱1貰型1數(shù)基O_3 it 43-|_lcpILM_J d git 電 j OlFore'二 i（與爻文忡滅相同J起嚅擾權機杓GOA）721, dlcl. contoxo.r kos tnas t er.與父文件賣相同J宮肺服務器朋）dc2. vgt».（與盤立件夾相同名聃服務器0（5 ）del a cgtQ沁 ccm脫空標相同）主機知（宵龍文伸滅相同J繭機加1龍.163.2.1de

31、l主機如!«. 163.2. 1dd主機0010 42. 2.BC2主機如10.12. 2.2HC2主機加DC安裝有兩塊網(wǎng)卡有時會影響客戶端登錄驗證的使用，一定要注意以下幾處：1）設定偵聽IP:在DC1的DNS控制臺中，右擊 DNS服務器名“ DC1 ”，選擇“屬性”，切換到“接口”窗口,26默認情況下 DNS服務器在兩個IP地址上同時偵聽，因為我們的DC只對網(wǎng)段提供服務，所以在此處把10.4221 去掉2）設定網(wǎng)絡服務訪問的優(yōu)先順序在DC1中，右擊“網(wǎng)上鄰居”-> “屬性”，點擊菜單欄中“高級”-> “高級配置”，打開網(wǎng)絡服務

32、訪問的優(yōu)先順序窗口:27注意：此處必須將提供域控制器服務對應的網(wǎng)絡連接排在最上面，否則域控制器提供相關服務時時會出現(xiàn)問題，此處將LAN1調(diào)在最上面：3）上面看到，DNS中，會有兩條A記錄指向DC1，因為10.4221這條記錄并不會用到，所以可以將其刪除，但發(fā)現(xiàn)，刪除后不久，它又會再次岀現(xiàn)，其實這是這個網(wǎng)絡連接屬性中有個默認項要修改一下才行：右擊“網(wǎng)上鄰居”-> “屬性”，點擊“ LAN2 ”本地連接-> “屬性”，雙擊“ In ter net協(xié)議（TCP/IP ）” -> “高級” -> “ DNS”, 將“在DNS中注冊此連接的地址”前的勾去掉即可，

33、然后在DNS中刪除的A記錄，以后就再不會岀現(xiàn)了。注意：以上三步再在 DC2上操作一次！ ！ ！操作篇Windows Server 2003域建好并確定成功后，就可以設計0U，添加計算機賬號，用戶賬號，部署組策略了。1. 設計0U對于服務器與客戶端眾多的大公司來說，0U設計一定要合理，這樣以后在管理中才會方便。一般設計0U有以下思想：將DC放在DC所在的默認 OU （ Domain Controllers ）中并單獨管理為用戶和計算機創(chuàng)建單獨的OU使用OU把用戶/計算機按照角色分組默認情況下，所有新賬戶創(chuàng)建在users或者computers容器中（不能鏈接GPO），所以，如果在

34、 Windows 2003域，并且域功能級別提升到 Windows server 2003模式時，可以使用"redirusr.exe”和"redircmp.exe ”指定所有新用戶 賬戶和計算機創(chuàng)建時默認的 OU，這樣就允許使用組策略管理新創(chuàng)建的賬戶了。點擊"開始"-> “程序"-> "管理工具"，打開“Active Directory 用戶和計算機"（或在"運行"中，輸入“ dsa.msc"） 下圖是個示例，用戶應該根據(jù)自已的實際情況來設計OU :30Active Dir

35、ectory 用戶和計璇fl母文件I）撰作査看迪窗口 1）幫助如*1包固 eirf a 包回|邀諱遏它匂31$ Active Directory 用戶和計算機DC1 保存的直詢|- =歲 COJltOLO. Com 口 Euiltin l Computers|Carktrallirs_| Far si gnSiturityFr inrip*l s | UggCoutosa2個對象名稱r組銀單位0匚omputerS組襄單位#日 0 ContosoE ；型 Users 胡 Engineer 型 Finance 母 I Market=田 MIS."Si Conput ers 型 Serve

36、rs<51 CliftlltE2. 客戶端加域加域的過程很簡單，將客戶端 Client1的IP設置為：192.168211，子網(wǎng)掩碼：，網(wǎng)關：無（根據(jù)實際 情況填寫，首選 DNS服務器：，備用DNS服務器：。（以上IP設定可使用 DHCP服務器進行設 置，客戶端自動獲取相關設定。）在加域前，最好使用redircmp.exe命令復位向一下加域后計算器賬號存在的OU，在DC1上打開命令提示符窗口，輸入以下命令：C - >redii*cmp 重定向成功*頁 C : WlBDOVSKsyTleBSZCBd exeou=i

37、c lien ts r oii=coimputei*s 事ou=contosode =condeacon回車后，重定向成功。注意：此操作要求域功能級別為Windows server 2003模式。在Client1中，用本地管理員登錄，右擊“我的計算機”-> “屬性”-> “計算機名”-> “更改”，選擇“網(wǎng)域”輸入域名，“確定”時會彈岀窗口要求輸入有權加入域的賬號，可以使用域管理員賬號，也可以使用委派了加域權限的普通 域賬戶，如此處的普通域賬戶jerry賬號就是委派了加域權限。（事先在MIS OU中新建一用戶賬戶jerry，然后委派此用戶賬戶加域權限）蒂辭容翔容轉(zhuǎn)婪更竜腐容輯

38、QJ：clwnil芫簽竜關名稱:cBmtl.咸員課凰:犧感ipitfl辿迫上MdLf耳他園轄甌入W1育便審攤限的帳戶名輯及耀確朿加工網(wǎng)域連用E15CEJ：fi contosoWny確龍I 砲消確定后顯示成功加入域，重啟計算機，客戶端clie nt1成功加入域,Actiire Di recterr用尸和計算機總 丈芹 操作 萱看旨口肚|帚助辿3 二 百而 也口 X廚的話 包應 遺132 V G EU Cmpiititrs-圍 ContGso日匚趣 CijmputeriServersrs® 3I Domain C&ntroilers田 LJ Foreipciir i tyFr i

39、fteiptls由匚J Users母Xuliw Dir.cto寸用戶和訐算機UCI1± _|保存的奩詢E cjl contflso, comEQ 匚J Bail tinCIji ents注：默認情況下，所有的普通域賬號都有10次加域的權限，這是個危險的設定，所以要修改所有的普通域用戶無權將計算機加入域，除非被委派了權限，以防止外來計算機隨便加入本公司域，提高安全性。修改方法如下：在 DC1 或 DC2 中，打開"運行”，輸入"adsiedit.msc”，打開 ADSI 編輯器，展開 Domain,右擊"DC=contoso,DC=com文件夾，選擇&qu

40、ot;屬性”，找到"ms-DS-MachineAccountQuota ”項，將其默認值 10改為0，確定。如下圖：32畔|匡)畫| X S' 0 sAUribut Editor 安金kDSI Idit冷 M)SI Edi t-§ D«i»aia tDCl H LJ DC=tonlo3D BC=coffi 田唱 Coiififfursli 皿BC1 cantosI Scharik* DC1. contoso con取消 I應用時IUS匚eoniios： OlZ=e*B Pr operfiAAbibute1 SyntaHI V竝tlmsDS'

41、;AlUisersT iwtQuolaiIrisger100CmS-Apprcwnnnried Sutadi.Irtcger15msDS-B ehavior-VersionInNeger2fr-DS-CohMtencyCNdCMjrtIrtegw<Not Set>mS-DS-ConsflerKiJGUdOdetStiing<N« sa>msDS-LogcHiTimeSrid nteivInlegef<Mo( SetJrnK-D S -W achneAcctxinlQ uctaInleger0msOsmasteredByDistinguished.ENrN

42、'DS SetlinnKDSMefrbsidFoiAzFtolsBLDtdinguished.<Mat Set>msDS NCRe|)CursorsUnicode String<DS RE.PL CURmsDSNCfieipInb 口 undMeighh.Unicode Shing<DS,REPLNEI(msDS N DRepOutboundN eig.UriiMde Stiing<DS_REPLNEI(1nwOS-NDriMwibeisBLDclinauithed.<Mot SS>臣 £hciw goandalory 甘Itnbdt

43、ejwP Show jQpiiond dhibutes廠 5 how onV atirfoufe that have values Aihiiutes;33，就會出現(xiàn)錯誤窗口,以后加域時，如果使用未委派加域權限的普通域賬號加域（此設置不影響域管理員賬戶加域） 無法加域。3. 部署組策略建立與部署組策略要在GPMC中完成，在DC1中，點擊“開始”-> “程序”-> “管理工具”-> “組策略管理”（或在"運行"中，輸入"gpmc.msc"”，打開組策略管理控制臺：#為方便演示：我們建立兩個組策略對象 （GPO），分別設定一個“計算機策略”

44、和一個“用戶策略”，計算機策略為“禁用系統(tǒng)防火墻”，用戶策略為“統(tǒng)一用戶桌面背景圖片”。默認情況下，客戶端裝好XP SP2/SP3后，系統(tǒng)自帶的防火墻處于開啟狀態(tài)，它會自動攔截很多通信服務，不利于遠程管理，所以要將其關閉，在此我們實現(xiàn)的是，客戶端在加入域后，自動關閉系統(tǒng)自帶的防火墻。logo,我們在此要實現(xiàn)的是用戶在用域賬號登錄一般公司為提升企業(yè)形象，經(jīng)常要將客戶端桌面統(tǒng)一布署成公司后，顯示統(tǒng)一的桌面背景。建立禁用防火墻的計算機策略步驟如下：在DC1中(域DC2 )中，點擊"運行"，輸入"gpmc.msc”，打開"組策略控制臺"，右擊你想布署的

45、客戶端所在的0U(如Client OU)，“創(chuàng)建并鏈接 GPO”輸入組策略名稱“Disable Firewall ”，確定。34->右擊“ Disable Firewall ”，選擇“編輯”，打開“組策略對象編輯器”，依次打開“計算機配置”-> “管理模板”"網(wǎng)絡"-> “網(wǎng)絡連接"-> “Windows防火墻"-> “域配置文件"，雙擊右面的“ Windows防火墻：保護所有網(wǎng)絡連接" 選擇“已禁用”#Tindw敬丸匕：涇護用有砂建簽Httr天目帝心.一設趕叫| 下一設置確是 | 取消叵用確定，完成禁用

46、防火墻的設定。因為我們只將此策略作用于計算機賬號，所以此策略的“用戶配置策略”用不到，為加快組策略處理速度，可以將“用戶配置策略”禁用掉。-» |E I Eg a I ffl|山1 亡 Firev«ll IDC1. comIvso.匡 _jias* _ WinJovl 役舌 B _|苣理頂極+ _| WLtid如,SB伴Id »媒F. _）網(wǎng) J8ffl _ Hlct«xd tt , _| IJfB 容尸iJS _|師文件 :-:_l鯛匡抿 B Cj Vindas 肪火:垮 _i嘲EH文伴 _|標聯(lián)己査丈件 i±i _3Sca數(shù)鶴包計劃程序I

47、SfflP 石臺吿H錐送服務 打印機-盛用戶配直E歆件喪餐* _J W3 Ei.dlQ¥3 iSS導出列表g.目羅巻看它的描述.風計境砸苗 虛用戶配置右聲"DisableFirewall",點辛嚼性"在打開的窗口中，勾上“禁用用戶配置設置”，確定。35完成計算機配置的禁用防火墻策略，關閉組策略對象編輯器 設定統(tǒng)一用戶桌面背景圖片：首先將要設定的圖片（如picture1.jpg ）復制到 C:WINDOWSSYSVOLsysvol'SCRIPTS下（共享路徑為'NETLOGON ），此路徑比較特殊，在DC間做同步時，會自動同步復制此文件夾中

48、所有的文件及文件夾。同計算機配置策略一樣，右擊你想設定的域用戶賬號的OU （如Market OU，此OU下有個tom的普通域用戶賬號）-> “創(chuàng)建并鏈接GPO”，輸入組策略名稱" Background Picture ”，36#H 蟲 ft： ccntc3D. cne國喊S contaso. con営alt Dcfibin Folity 曰匚OEitCEDE) 1 Cenpubfirs.S 型 Qi Di 51iL1c f j2 Servers B 閩 Vsers 型 Eiif n« ti* £l FbDATiC曰 p pafkE夏Stf ault恚 Dia

49、tbLt ± Mir爸飪霧* /站點 昂蛆集耳理脛 -3爼集曬節(jié)杲to30 . C I>T'p列站點、城和魁垠墾俛錢蘇J此CK tt）：寶全篩迭此敬內(nèi)的謖査只鬼用于下利組用FfiH+HflKS）：VM 0).-Ihi轎選比GFO鏈段到下列vra 馳器©:1&：| b血rk孕心aiJ P i Qtura I 直WES- Dormn ControllersDefault Duehlh Cctnlrolitr s-筑黃環(huán)對球三了 l-takgroiuid. Fic tiirtDoha.lil CbihlrollKr eDoiiain Folieybackgz

50、ound Ficture柞用取I詳閘信且I iSS Sift I在此俛逼內(nèi)顯示6接（L）：雰*kuthAD譏 c X aJ Us tr z#右擊"Background Picture ” -> "編輯"，打開組策略編輯器，依次展開"用戶配置" -> "管理模板"-> "桌面"-> “ ActiveDesktop ”，雙擊右邊的"Active Desktop 墻紙”，輸入相關信息:#U2dActive ia-Eklop 屈性37#tckpiui'J F卄t(ir&g

51、t; DCi ci -團 i+Ksua王_i炊件衣去i _| A'SBaawt iftE± _i karate.三竝用尸配査z 一I軟件設總R _ J 旳 Fiilcv五 i55曰-J普理根菽由口 VindiMiE巡件任君欄和開対Sb-QIB ,|j'J 1 kslivt Daiiktopuu世査-> JB用D皿畑吊票用 Activa Btsktop 甬禁用斯有頂目 淨不冊輙 斗奈止添加現(xiàn)目 莘禁止尉壊頂目ActLVfi Ik業(yè)tapActor曲緊止豪i頂目 半漿止兔訊頊冃Ac1lv« Desktop 墻眥斗口戀評快用也EUffifc名稱-P>'i.cc-nlcso. >:c«T,i.FETL7C*7JI，,>pi tt-ureJ, jjij崇:硏止不藥分谿軍黑示皴果不 同*推蕉說曹成“找禪5例如:梗用CAw ind如u '皿礎 1出 klip kptrVliit. jp(