windows域管理操作手冊(cè)

實(shí)驗(yàn)環(huán)境使用VMW虛擬機(jī)，客戶端為WindowsXPSP2，服務(wù)器端為WindowsServerSP2公司版。首先將服務(wù)器端安裝好活動(dòng)目錄，無需任何設(shè)立，默認(rèn)安裝即可，并將客戶端加入到域。下面開始具體操作1、首先在服務(wù)器端用ActiveDirectory顧客和計(jì)算機(jī)管理工具建立一種User，我這里以“小五”為顧客名，以下圖2、在服務(wù)器端建立保存顧客配備文獻(xiàn)的共享文獻(xiàn)夾，本文在c盤建立了一種user文獻(xiàn)夾，用來保存全部顧客配備文獻(xiàn)，然后再user文獻(xiàn)夾下建立一種“小五”文獻(xiàn)夾，用來保存“小五”顧客的配備文獻(xiàn)。這里面一定要注意權(quán)限的設(shè)立，在共享文獻(xiàn)夾中的權(quán)限去掉everyone，然后找到我們域中的顧客“小五”，給他全部權(quán)限。3、進(jìn)一步權(quán)限設(shè)立，如圖這樣權(quán)限方面問題已經(jīng)設(shè)立完畢4、在ActiveDirectory顧客和計(jì)算機(jī)管理工具中為“小五”顧客設(shè)立顧客配備文獻(xiàn)漫游，如圖192.168.1.201為我們的服務(wù)器，背面所接的“user/小五”為保存顧客配備文獻(xiàn)的共享文獻(xiàn)夾主文獻(xiàn)夾相稱于顧客的“我的文檔”，這里面映射到服務(wù)器上，更能確保顧客文獻(xiàn)安全性與可靠性?，F(xiàn)在配備基本完畢，我們從客戶端登錄一下試試看初次登陸之后，我們注銷，這樣，本地的配備文獻(xiàn)，就會(huì)自動(dòng)保存到服務(wù)器上對(duì)應(yīng)的文獻(xiàn)夾?；氐椒?wù)器上我們會(huì)看到生成好多文獻(xiàn)，剛剛這里面還是空的這些文獻(xiàn)就是我們注銷的時(shí)候下面提示正在保存配備文獻(xiàn)的時(shí)候，其實(shí)就是把文獻(xiàn)寫入我們服務(wù)器里面了。我們?cè)俅沃匦碌顷懸幌麓蜷_我的電腦會(huì)發(fā)現(xiàn)多了一種磁盤映射這就是我們專門為此顧客設(shè)計(jì)的一種共享文獻(xiàn)夾，顧客能夠把重要的數(shù)據(jù)等寄存在這里，其實(shí)就是寄存在服務(wù)器上，相對(duì)來說就更加安全了。至此，漫游顧客配備文獻(xiàn)就配備完畢了。小提示：如果配備過程中出現(xiàn)某些問題，那么多數(shù)是權(quán)限設(shè)立問題。這時(shí)候需要檢查一下權(quán)限即可。其它方面普通極少出現(xiàn)問題。另外，如果，服務(wù)器上共享的文獻(xiàn)夾只予以只讀權(quán)限，那么，顧客配備文獻(xiàn)全部內(nèi)容在下次登錄的時(shí)候都會(huì)失效，像還原卡同樣。由于，在注銷時(shí)向服務(wù)器更新配備文獻(xiàn)的時(shí)候是沒有權(quán)限的，而下次登錄的時(shí)候再次向服務(wù)器請(qǐng)求配備文獻(xiàn)，自然而然就是舊的了，而不是最新的。

網(wǎng)絡(luò)環(huán)境：網(wǎng)絡(luò)構(gòu)造采用VLAN劃分部門，服務(wù)器單獨(dú)一種VLAN，通過在核心交換機(jī)上配備路由和ACL實(shí)現(xiàn)各部門之間不可互訪，通過訪問服務(wù)器進(jìn)行數(shù)據(jù)交換。服務(wù)器是Win公司版，不記得用什么光盤裝的了，反正網(wǎng)上下的，裝完后打過SP2補(bǔ)丁，安裝的Win域控制器模式（有Win的服務(wù)器）。域名：XXX.local主域控制器：192.168.0.6/24

192.168.0.254/24（雙網(wǎng)卡）這個(gè)網(wǎng)段只有網(wǎng)管部門可訪問，原來是調(diào)試用的，還沒有正式遷移到服務(wù)器網(wǎng)段，但是能夠和服務(wù)器網(wǎng)段建立通信。額外域控制器：192.168.2.254/24

服務(wù)器網(wǎng)段DNS：192.168.2.254DHCP

：192.168.2.254

已經(jīng)通過交換機(jī)的UDPHelp把各個(gè)VLAN的DHCP網(wǎng)段都做好了，只配備了IP、網(wǎng)關(guān)、DNS。局域網(wǎng)計(jì)算機(jī)有Win2kPro和WinXPPro，W2k是用自己封裝的ghost批量安裝的，xp是用的YlmF_GhostXP_SP3_Y1.0，固然都是會(huì)隨機(jī)產(chǎn)生SID啦，全部采用自動(dòng)獲取IP地址，安裝后默認(rèn)設(shè)立不變，XP自帶防火墻啟動(dòng)，配備如圖1。（圖1）在客戶端能夠Ping通服務(wù)器IP地址以及binhu.local?？傊W(wǎng)絡(luò)層的互聯(lián)互通是OK的，下面的問題全都不是由網(wǎng)絡(luò)配備問題造成的，如果您擬定您的網(wǎng)絡(luò)配備都對(duì)的，并且網(wǎng)絡(luò)構(gòu)造和我大致相似或比我的還簡樸，能夠繼續(xù)往下看.問題1：新計(jì)算機(jī)在添加到域的過程中，按提示輸入了域帳戶和密碼后，系統(tǒng)提示“找不到網(wǎng)絡(luò)途徑”。答：啟動(dòng)計(jì)算機(jī)的“TCP/IPNetBIOSHelper”服務(wù)。很不幸，我做的w2k鏡像和ylmf的xp鏡像剛好都把該服務(wù)設(shè)為了手動(dòng)。問題2：加入到域的計(jì)算機(jī)，無法在域控制器上打開“計(jì)算機(jī)管理”。答：剛把計(jì)算機(jī)test加入到域，我就迫不及待的登陸到域控制器，想通過AD控制臺(tái)遠(yuǎn)程打開該計(jì)算機(jī)的“計(jì)算機(jī)管理”，成果又彈出提示“找不到\\test.XXX.local的網(wǎng)絡(luò)途徑”。嘗試在域控制器上ping了一下test.XXX.local，居然提示“Pingrequestcouldnotfindhosttest.XXX.local.”，域名解析失??！趕快檢查DNS統(tǒng)計(jì)，發(fā)現(xiàn)test.XXX.local主機(jī)統(tǒng)計(jì)安然的躺在正向搜索區(qū)域中，看來不是DNS服務(wù)器的問題。猛然想起本地DNS緩存，趕快關(guān)閉“DNSClient”服務(wù)，再次嘗試問題解決。原來即使是在DNS服務(wù)器上進(jìn)行域名解析，也不是直接查找的DNS數(shù)據(jù)庫??！總結(jié)經(jīng)驗(yàn)：在局域網(wǎng)布署過程中，網(wǎng)絡(luò)節(jié)點(diǎn)變化比較頻繁，建議關(guān)掉網(wǎng)絡(luò)計(jì)算機(jī)上的本地DNS緩存服務(wù)，待局域網(wǎng)正常運(yùn)作之后，網(wǎng)絡(luò)節(jié)點(diǎn)變化較少，再根據(jù)DNS服務(wù)器響應(yīng)DNS請(qǐng)求的負(fù)荷來考慮與否有必要打開該服務(wù)。問題3：加入到域的計(jì)算機(jī)，在域控制器上打開“計(jì)算機(jī)管理”，部分項(xiàng)無法管理。答：打開“計(jì)算機(jī)管理”后，發(fā)現(xiàn)“本地顧客和組”打，除了能夠查看“共享文獻(xiàn)夾”下的內(nèi)容外，其它項(xiàng)目都不能正常查看。在經(jīng)歷了上面2道磨難后，又碰到這種問題，是不是倍受打擊呢？其實(shí)對(duì)于稍微“馬虎”一點(diǎn)的管理員，普通都不會(huì)碰到這個(gè)問題。無奈我配備域管理的目的是為了便于分發(fā)安全方略，不得不“精細(xì)化管理”，從組方略到服務(wù)到共享到防火墻統(tǒng)統(tǒng)折騰了一遍......還是很有收獲的！在無多次的“gpupdate”之后，探索到某些既不影響“計(jì)算機(jī)管理”，又能一定程度提高安全性的辦法。（1）共享：有IPC$即可，其它默認(rèn)共享都能夠關(guān)掉。（2）網(wǎng)絡(luò)組件：必須安裝“Microsoft網(wǎng)絡(luò)文獻(xiàn)和打印機(jī)共享”，且必須打鉤。（3）內(nèi)置防火墻：需要允許“文獻(xiàn)和打印機(jī)共享”，且不限制135、137、138、139、445等端口的監(jiān)聽。（固然您能夠用更強(qiáng)大的防火墻進(jìn)行數(shù)據(jù)篩選，看個(gè)人功力了:）（4）服務(wù)：需要啟動(dòng)“Server”、“TCP/IPNetBIOSHelper”、“RemoteRegistry”服務(wù)。（5）組方略：為了增強(qiáng)網(wǎng)絡(luò)訪問安全性，我在安全選項(xiàng)中啟用了“不允許SAM帳戶的匿名枚舉”、“不允許SAM帳戶和共享的匿名枚舉”、“限制對(duì)命名管道和共享的匿名訪問”等三個(gè)選項(xiàng)，事實(shí)證明不會(huì)影響到“計(jì)算機(jī)管理”。由于進(jìn)行了(1)~(4)項(xiàng)配備，只有以其它方式來嚴(yán)禁共享文獻(xiàn)夾了。我在“顧客權(quán)限分派”中將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)為僅有“DomainAdmins”組，又把“回絕從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)為“DomainUsers、Users、PowerUsers、Guests”，不能從域控制器遠(yuǎn)程打開“計(jì)算機(jī)管理”了。通過分析，是由于我登陸到域控制器的管理員帳戶默認(rèn)也是“DomainUsers”組的組員，將它拿出來，再試還是不行，直到我把Users組從“回絕從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”選項(xiàng)中拿出來后來，又能夠正常打開了。因素可能是：1.該管理員帳戶同時(shí)也是Users構(gòu)組員，在升級(jí)為域控制器之后，沒方法從Users組中拿出來了，我沒有進(jìn)一步嘗試；2.域管理員帳戶通過網(wǎng)絡(luò)訪問客戶機(jī)，會(huì)被自動(dòng)應(yīng)用到Users構(gòu)組員中，純屬猜想，沒有具體查資料。總而言之，只得放任Users構(gòu)組員不管了，好在我禁用了客戶機(jī)的本地帳戶，只能登陸到域，變成DomainUsers就歸我管了，嘿嘿，基本解決了嚴(yán)禁文獻(xiàn)夾共享的問題了吧，現(xiàn)在即使是在客戶機(jī)設(shè)立了EveryOne完全訪問的共享文獻(xiàn)夾，普通顧客也回絕訪問。固然你也能夠完全不理睬與否打得開“計(jì)算機(jī)管理”，那就得自己測(cè)試一下與否能對(duì)的分發(fā)組方略了。問題4：DomainUsers無法運(yùn)行AutoCADR14等軟件的問題。答：說到域環(huán)境下布署應(yīng)用程序的問題，這涉及到公司軟件管理制度、計(jì)算機(jī)管理制度等方面，可談的話題十分寬泛，這里僅從不控制軟件使用的角度上講一講在域環(huán)境下布署應(yīng)用程序的某些思路。（1）在FAT32目錄下安裝的軟件、綠色軟件等等，諸多是能夠不用布署直接運(yùn)行的。（不到萬不得已不推薦用FAT32）（2）在組方略上啟用“軟件限制方略”，按默認(rèn)即可，大部分軟件立刻能夠正常運(yùn)行。（3）按（2）設(shè)立后，對(duì)于Autocadr14這樣的老軟件，不妨試一試新版本，Autocad就能夠正常運(yùn)行，經(jīng)我測(cè)試的Matlab6.5、Protel99se、SolidWorks等都能夠正常運(yùn)行。（4）還不能運(yùn)行的軟件，用組方略的“軟件安裝”