windows域控制器配置教程

/域控制服務(wù)器教程把一臺成員服務(wù)器提升為域控制器(一)目前很多公司的網(wǎng)絡(luò)中的PC數(shù)量均超過10臺:按照微軟的說法，一般網(wǎng)絡(luò)中的PC數(shù)目低于10臺，則建議建議采對等網(wǎng)的工作模式，而如果超過10臺，則建議采用域的管理模式，因為域可以提供一種集中式的管理，這相比于對等網(wǎng)的分散管理有非常多的好處，那么如何把一臺成員服務(wù)器提升為域控?我們現(xiàn)在就動手實踐一下:本篇文章中所有的成員服務(wù)器均采用微軟的WindowsServer2003，客戶端則采用WindowsXP。首先，當然是在成員服務(wù)器上安裝上WindowsServer2003，安裝成功后進入系統(tǒng)，我們要做的第一件事就是給這臺成員服務(wù)器指定一個固定的IP，在這里指定情況如下:機器名:ServerIP:子網(wǎng)掩碼:DNS:(因為我要把這臺機器配置成DNS服務(wù)器)由于WindowsServer2003在默認的安裝過程中DNS是不被安裝的，所以我們需要手動去添加，添加方法如下:“開始—設(shè)置—控制面板—添加刪除程序”，然后再點擊“添加/刪除Windows組件”，則可以看到如下畫面:向下搬運右邊的滾動條，找到“網(wǎng)絡(luò)服務(wù)”，選中:默認情況下所有的網(wǎng)絡(luò)服務(wù)都會被添加，可以點擊下面的“詳細信息”進行自定義安裝，由于在這里只需要DNS，所以把其它的全都去掉了，以后需要的時候再安裝:然后就是點“確定”，一直點“下一步”就可以完成整個DNS的安裝。在整個安裝過程中請保證WindowsServer2003安裝光盤位于光驅(qū)中，否則會出現(xiàn)找不到文件的提示，那就需要手動定位了。安裝完DNS以后，就可以進行提升操作了，先點擊“開始—運行”，輸入“Dcpromo”，然后回車就可以看到“ActiveDirectory安裝向?qū)А痹谶@里直接點擊“下一步”:這里是一個兼容性的要求，Windows95與NT4SP3以前的版本無法登陸運行到WindowsServer2003的域控制器，我建議大家盡量采用Windows2000與以上的操作系統(tǒng)來做為客戶端。然后點擊“下一步”:在這里由于這是第一臺域控制器，所以選擇第一項:“新域的域控制器”，然后點“下一步”:既然是第一臺域控，那么當然也是選擇“在新林中的域”:在這里我們要指定一個域名，我在這里指定的是，這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突，也就是說整個網(wǎng)絡(luò)里不能再有一臺PC的計算機名叫“demo”，雖然這里可以修改，但個人建議還是采用默認的好，省得以后麻煩。在這里要指定AD數(shù)據(jù)庫和日志的存放位置，如果不是C盤的空間有問題的話，建議采用默認。這里是指定SYSVOL文件夾的位置，還是那句話，沒有特殊情況，不建議修改:第一次部署時總會出現(xiàn)上面那個DNS注冊診斷出錯的畫面，主要是因為雖然安裝了DNS，但由于并沒有配置它，網(wǎng)絡(luò)上還沒有可用的DNS服務(wù)器，所以才會出現(xiàn)響應超時的現(xiàn)像，所以在這里要選擇:“在這臺計算機上安裝并配置DNS，并將這臺DNS服務(wù)器設(shè)為這臺計算機的首選DNS服務(wù)器”?！斑@是一個權(quán)限的選擇項，在這里，我選擇第二項:“只與Windows2000或Window2003操作系統(tǒng)兼容的權(quán)限”，因為在我做實驗的整個環(huán)境里，并沒有Windows2000以前的操作系統(tǒng)存在”這里是一個重點，還原密碼，希望大家設(shè)置好以后一定要記住這個密碼，千萬別忘記了，因為在后面的關(guān)于活動目錄恢復的文章上要用到這個密碼的。這是確認畫面，請仔細檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進入重輸，如果確認無誤的話，那么點“下一步”就正式開安裝了:幾分鐘后，安裝完成:點完成:點“立即重新啟動”。然后來看一下安裝了AD后和沒有安裝的時候有些什么區(qū)別，首先第一感覺就是關(guān)機和開機的速度明顯變慢了，再看一下登陸界面:多出了一個“登陸到”的選擇框:進入系統(tǒng)后，右鍵點擊“我的電腦”選“屬性”，點“計算機”怎么樣?和安裝AD以前不一樣吧，其它的比如沒有本地用戶了，在管理工具里多出么多圖標什么的，這些將在以后的文章里講述，這里就不再詳談了。把一臺成員服務(wù)器提升為域控制器(二)在我的上一篇文章中，已經(jīng)把一臺名為Server的成員服務(wù)器提升為了域控制器，那我們現(xiàn)在來看一下如何把下面的工作站加入到域。由于從網(wǎng)絡(luò)安全性考慮，盡量少的使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行“dsa.msc”，出現(xiàn)“AD用戶和計算機”管理控制臺:先來新建一個用戶，展開“”，在“Users”上擊右鍵，點“新建”-“用戶”:然后出現(xiàn)一個新建用戶的向?qū)?，在這里，我新建了一個名為“swg”的用戶，并且把密碼設(shè)為“永不過期”。這樣點“下一步”，直到完成，就可以完成用戶的創(chuàng)建。然后在“”上點擊右鍵，先擇“委派控制”:就會出現(xiàn)一個“委派控制向?qū)А?點擊“下一步”:點擊中間的“添加”按鈕，并輸入剛剛創(chuàng)建的“swg”帳號:然后點“確定”:再點“下一步”:在上面的畫面中，暫時不需要讓該用戶去“管理組策略鏈接”，所以在這里，僅僅選擇“將計算機加入到域”，然后點“下一步”:最后是一個信息核對畫面，要是沒有什么問題的話，直接點“完成”就可以了。接下來轉(zhuǎn)到客戶端，看看怎么把XP進來，在實驗中采用的客戶端操作系統(tǒng)是WindowsXP專業(yè)版，需要大家注意的是WindowsXP的Home版由于針對的是家庭用戶，所以不能加入域，大家別弄錯了喲，我們先來設(shè)置一下這臺XP的網(wǎng)絡(luò):計算機名:TestXPIP:子網(wǎng)掩碼:DNS服務(wù)器:，設(shè)置完網(wǎng)絡(luò)以后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”。在這里把“隸屬于”改成域，并輸入:“”，并點確定，這是會出現(xiàn)如下畫面:輸入剛剛在域控上建的那個“swg”的帳號，點確定:出現(xiàn)上述畫面就表示成功加入了，然后點確定，點重啟就算OK了。來看一下登陸畫面有沒有什么不一樣:看到那個“登陸到”了吧，可以選擇域登陸還是本機登陸了，在這里選擇域“DEMO”，這樣就可以用域用戶進行登陸了。進入系統(tǒng)后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”:看到用黑框標出來的地方和沒有加入到域的時候的區(qū)別的吧?當把下面的客戶端加入到域后，如果域控制器處于關(guān)閉狀態(tài)或者死機的話，那么，會發(fā)現(xiàn)下面的客戶機無法登陸到域，所以再建立一臺域控制器，用來防止其中一臺出現(xiàn)意外損壞的情況是很有必要的。后來建立的那臺域控制器叫額外域控制器。來看看額外域控制器的建立過程吧:當然網(wǎng)絡(luò)設(shè)置永遠是在第一步的:計算機名:BserverIP:子網(wǎng)掩碼:DNS:既然是提升為域控制器，那么DNS組件也是要添加的，添加方法和我的第一篇文章中所定的一樣，這里就不再重復了。添加完成后，同樣是點擊“開始”-“運行”-“dcpromo”:出現(xiàn)的向?qū)Ш筒僮飨到y(tǒng)兼容性同安裝第一臺域控時是一樣的，唯一要注意的是下面的那個畫面:安裝第一臺時選擇的是“新域的域控制器”，這里要選擇的是“現(xiàn)有域的額外域控制器”，然后點“下一步”:在這里，輸入域的管理員帳號的密碼，在“域”里填入相應域的DNS全名或NetBios名，點“下一步”:在這里一定要填入現(xiàn)有域的DNS全名，然后再點“下一步”，接下去的操作和安裝第一臺域控制器時是一樣的，所以就不再寫下去了，直到完成就可以了。至于在兩臺域控制器的域環(huán)境下，其中一臺損壞，如何讓另一臺接替工作，我將在以后的文章一一詳解。如果大家在前面的配置中碰到什么問題，歡迎大家給我發(fā)來E-Mail,，我的E-Mail地址是:。如果本人的文章中有什么錯誤之處，也請大家來信指正，謝謝!活動目錄之用戶配置文件關(guān)于域用戶的開設(shè)在前面的文章中(如何把一臺成員服務(wù)器提升為域控制器(一)、(二))已經(jīng)涉與過了，所以在這里開設(shè)用戶的方法就不再重復了，本篇文章主要向大家介紹一下用戶配置文件。首先，什么是用戶配置文件?根據(jù)微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統(tǒng)加載所需環(huán)境的設(shè)置和文件和集合，它包括所有用戶專用的配置設(shè)置。用戶配置文件存在于系統(tǒng)的什么位置呢?那么用戶配置文件包括哪些內(nèi)容呢?來給大家看一副截圖:用戶配置文件的保存位置在:系統(tǒng)盤(一般是C盤)下的“DocumentsandSettings”文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，并且都登陸過的話，那么就會出現(xiàn)在同名文件夾后面拖后綴的情況，舉個例子:比如在一個域()里面有一臺計算機(testxp)，本地有一個swg的帳號，域上也有一個swg的帳號，并且都登陸過這臺計算機，那么會發(fā)生如下情況:本地帳號先登陸:那么本地的swg的用戶配置文件夾為swg，而域用戶的用戶配置文件夾為swg.demo。域帳號先登陸:那么域用戶的用戶配置文件夾為swg，本地用戶的配置文件夾為swg.testxp。通過上面的截圖，我們可看出，用戶配置文件包括桌面設(shè)置、我的文檔、收藏夾、IE設(shè)置等一些個性化的配置。另外需要說明的是在“DocumentsandSettings”文件夾下有一個名為“AllUsers”的文件夾，如果你在這個文件夾下的“桌面”文件夾下新建一個文件的話，你會發(fā)現(xiàn)所有用戶在登陸時的桌面上都有這個文件，所以這個文件夾里的配置是對這臺計算機的每個用戶均起作用的。當網(wǎng)絡(luò)變成域構(gòu)架后，所有的域用戶可以在任意一臺域內(nèi)的計算機登陸，當你在一臺計算機上的用戶配置文件修改后，你會發(fā)現(xiàn)到另一臺計算機上登陸時，所有的設(shè)置還是原來的，并沒有發(fā)生修改，這是因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那臺登陸的計算機上。我們可以在“我的電腦”上擊“右鍵”，選“屬性”，點“高級”，然后在“用戶配置文件”里點“設(shè)置”:請注意“類型”里用紅框標出的部分，全部是“本地”，這就說明用戶配置文件保存在本地，那么如何才能讓用戶的配置文件隨著帳號走，也就是不管用戶在哪臺計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題，就要用到漫游用戶配置文件，原理就是把用戶配置文件保存在一個網(wǎng)絡(luò)的公共位置，當用戶在計算機上登陸里，會從網(wǎng)絡(luò)公共位置把用戶配置文件下載到本地并加以應用，然后當用戶注銷時，會把本地的用戶配置文件同步到網(wǎng)絡(luò)公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那么如何來實現(xiàn)這個功能呢?現(xiàn)在就來實踐一下:首先，要在一個網(wǎng)絡(luò)的公共位置開設(shè)一個共享文件夾，用來存放用戶配置文件，在個實驗里，就在域控制器上開設(shè)一個為share的共享文件夾，并開放權(quán)限:然后，點擊“開始-設(shè)置-控制面板-管理工具”，雙擊“AD用戶和計算機”，并選中相應的用戶，這里以“swg”帳號為例:在“swg”帳號上雙擊，然后選“配置文件”，在“用戶配置文件-配置文件路徑”里輸入:\\\share\%username%，“”是域控制器的IP地址，如下圖所示:然后點確定，接下去就到客戶端去，用“swg”帳號登陸一下，看看會發(fā)生什么變化。如上圖所示，DEMO\swg的狀態(tài)由剛剛的“本地”變成了“漫游”，此時注銷一下用戶，那么就會自動的將該用戶的本地用戶配置文件同步到網(wǎng)絡(luò)公共位置，如果再用“swg”到另外的域內(nèi)計算機上去登陸的話，會發(fā)現(xiàn)所有的用戶配置文件和這臺計算機上是一樣的。那么服務(wù)器上發(fā)生了些什么變化呢?如上圖所示，服務(wù)器的“share”文件夾里會自動創(chuàng)建一個和用戶名一樣的“swg”文件夾，默認情況下這個文件夾只允許對應的用戶打開:畫面很熟悉吧?目前很多公司的ITPro都有共同的感嘆，就是用戶喜歡把自己的桌面什么的搞得亂七八糟，雖然通過組策略可以限制掉一部份，但總覺得不是很完善，在這里，向大家推薦使用強制用戶配置文件，用戶可以對自己個人配置文件任意修改，但是一旦注銷后，這些修改將不會被保存，這樣用戶下次登陸里，用戶的配置文件還是保持和原來一樣，那么如何實現(xiàn)這個功能呢?其實只要將用戶配置文件夾下的“Ntuser.dat”改成“Ntuser.man”就可以了，來看一下修改過程:首先，在顯示隱藏文件和已知文件的擴展名，可以在“工具-文件夾選項-查看”里進行修改：~點“確定”后，就可以在看到那個“Ntuser.dat”文件了，但此時會有一個問題，如果去修改C:\DocumentsandSettings\swg下的“Ntuser.dat”，會發(fā)現(xiàn)根本沒有辦法修改這個文件，因為文件在使用中，無法修改;如果去修改網(wǎng)絡(luò)公共位置的“Ntuser.dat”，也就是\\\share\swg下的“Ntuser.dat”，修改當然可以修改，但是由于在“swg”用戶注銷的時候，本地的“Ntuser.dat”會把網(wǎng)絡(luò)公共位置的“Ntuser.man”覆蓋掉，也就是等于沒有修改。很多人都想直接在服務(wù)器上更改“swg”文件夾的所有者，然后給