Windows2003域控制器全面教程

1、網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 按照微軟的說法，一般網(wǎng)絡(luò)中的PC數(shù)目低于10臺，則建議建議采對等網(wǎng)的工作 模式，而如果超過10臺，則建議采用域的管理模式，因為域可以提供一種集中 式的管理，這相比于對等網(wǎng)的分散管理有非常多的好處， 那么如何把一臺成員服 務(wù)器提升為域控？ 服務(wù)器采用 Windows2003Server為例，客戶端以XP為例（專業(yè)版，home版的不 支持） 域控制器名字：server IP : 192。168。1.254;子網(wǎng)掩碼：255。255。255。0;網(wǎng)關(guān)：192。168。1.1;DNS 192。168。1.254由于WindowsServer 2003在默認(rèn)的安裝過程中DNS是不被安裝的

2、，所 以我們需要手動去添加，添加方法如下：“開始一設(shè)置一控制面板一添加刪除程 序”，然后再點(diǎn)擊“添加/刪除Windows組件”，則可以看到如下畫面：向下拖動右邊的滾動條，找到“網(wǎng)絡(luò)服務(wù)”，選中默認(rèn)情況下所有的網(wǎng)絡(luò)服務(wù)都會被添加，可以點(diǎn)擊下面的“詳細(xì)信息”進(jìn)行自定 義安裝，由于在這里只需要 DNS所以把其它的全都去掉了，以后需要的時候再 安裝：懿嘔翼點(diǎn)鷄;蠶雷裁黠蠶V：史色框表*裝在組件的網(wǎng)絡(luò)服務(wù)的子組件C):描述：允許EfC/DCOM通過Iiiternet信息服勞器CHS的HTTP進(jìn)行通訊.所需磁盤空間: 可用磁盤空間:然后就是點(diǎn)“確定”，一直點(diǎn)“下一步”就可以完成整個 DNS勺安裝。在整個安

3、 裝過程中請保證 WindowsServer 2003安裝光盤位于光驅(qū)中，否則會出現(xiàn)找不到 文件的提示，那就需要手動定位了。專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 安裝完DNS以后，就可以進(jìn)行提升操作了，先點(diǎn)擊“開始一運(yùn)行”，輸入Dcpromo，然后回車就可以看到“ Active Directory 安裝向?qū)А敝苯酉乱徊骄涂梢粤?'專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 操作系竦叢容性町我°” Server 2003中改進(jìn)的妄全設(shè)置會影響以前版本的Windows,.運(yùn)冇壯n亦蔽

4、Srvtr加旳的如制器使用的安全設(shè)遙要求客尸端和苴悒服 務(wù)器用更安全的方式與域控制器進(jìn)行逋訊°比下M前版本的Zg無法滿足這些新的要求：« WintlowK 95« Windows H7 4 0 SF3或更早版本在默認(rèn)方式運(yùn)行遠(yuǎn)些版本nnic.的計篋機(jī)將無法登錄到運(yùn)行3曲 2003域控制器或訪問域費(fèi)源有關(guān)詳細(xì)信息，諸奉閱兼客幫助"上亠步通眩三歩題廠目眾淸|這里是一個兼容性的要求， Windows 95及NT 4 SP3以前的版本無法登陸運(yùn)行到Windows Server 2003的域控制器，我建議大家盡量采用 Windows 2000及以上 的操作系統(tǒng)來做

5、為客戶端。然后點(diǎn)擊“下一步”：域揑制器類璽諸指定想要此服務(wù)器擔(dān)任的箱色.您想要此服務(wù)黑成為新域的域控制器還是現(xiàn)有域的額外域控制器？憐新域的減控制器妙薛擢庇注貢親初睦斎子域、新域擱或新林此服務(wù)器將成為新域中的第一個域控制噩C現(xiàn)有域的靈外域控制器迪主 用遠(yuǎn)個選項來址理將會刪除所有在這個服務(wù)器上的本地恢戶所有密鑰將被刪除，應(yīng)該在継續(xù)之tr將密鑰導(dǎo)出.所請加密的數(shù)據(jù)，如EFS-加割文件咸電子抑件,應(yīng)該在繼續(xù)之前解 密否則它將永遠(yuǎn)無法訪問.上一歩序夢5F習(xí)期總專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 在這里由于這是第一臺域控制

6、器，所以選擇第一項：“新域的域控制器”，然后 點(diǎn)“下一步”：專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 創(chuàng)建亠個8f域諳選擇要創(chuàng)建的威的類型.創(chuàng)建一個新的；金莊新秫申的如果遠(yuǎn)呈您單位的第一平域或悔想讓新域完全獨(dú)立于您當(dāng)前的赫I諸選擇 這T選項.在現(xiàn)有域軻中的孑城C如果您想讓新域成対現(xiàn)有域的子域，諸選擇此選項-訓(xùn)如您可創(chuàng)逹一牛 名盅 ke&duarter3 example, microsoft. com 的新域作為example, mi ere soft, com 域的子域 hr在現(xiàn)有的抹中的域擁追如果譜不想使新域成肯現(xiàn)有域的子域*諳選擇此選項*這將創(chuàng)建一個與現(xiàn) 有樹分開

7、的、新的域樹"j上一步I下一步®汕 取淸mJi既然是第一臺域控，那么當(dāng)然也是選擇“在新林中的域”創(chuàng)建亠個裁域諳選擇要創(chuàng)建的城的類型.創(chuàng)建一個新的:莊新林中的域邊1r ini lirinifn-nwiri r?iiuirwEm”瞬賈單位的第十或編埔氓獨(dú)立于燃當(dāng)前狒“選擇在現(xiàn)育隊軻中的芋城（£如果您規(guī)讓新域成為現(xiàn)有域的子域，諸選擇此選項-例如燈可創(chuàng)建一亍 名為 ke&duarter3 eXBinple. nicrosoft. com 的新域作為example, micrcaoft. com 域的子域°r在現(xiàn)有的襪申的域擁追如果灣不想使新域成育現(xiàn)有域的

8、子域，諳選擇此選項*這將創(chuàng)題一個與現(xiàn) 有樹分開的、新的域樹.上一歩1下一歩J矗淸迪專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 在這里我們要指定一個域名，我在這里指定的是專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) Active Directory 安裝向?qū)etBIDS 域名諸指定新域的WetBIOS名稱薜綾群鸚熾畧證負(fù)用強(qiáng)來識別槪的.竝仃一卻藪域 HetEIGS 名）：.SEE上一步匹下-哆國彳飲消這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突， 也就是說整個網(wǎng)絡(luò)里 不能再有一臺PC的計算機(jī)名

9、叫“ demo，雖然這里可以修改，但個人建議還是 采用默認(rèn)的好，省得以后麻煩。Actin Directory 安進(jìn)向?qū)?shù)露庫和日志空件文件來諸指定扁 Activ. Directory數(shù)據(jù)庫和日志文件的文件夾占基于杲佳性能和可恢亙性葩考庭，潔特垃據(jù)庫和日志存放在不同的陵盤上.您希望在哪里f呆存Active Directory數(shù)據(jù)庫?數(shù)據(jù)庫文件夾0瀏覽1您嶠望在哪里保存Active Dirtcty日志？ 日志丈件夾ty：|cAWIUDOWSinDS瀏覽®I上一步弊下-：步匾I、啊芷麒灣 硝q在這里要指定AD數(shù)據(jù)庫和日志的存放位置，如果不是 C盤的空間有問題的話, 建議采用默認(rèn)。這里是指定

10、SYSV0文件夾的位置，還是那句話，沒有特殊情況，不建議修改第一次部署時總會出現(xiàn)上面那個 DNS注冊診斷出錯的畫面，主要是因為雖然安裝 了 DNS但由于并沒有配置它，網(wǎng)絡(luò)上還沒有可用的 DNS!務(wù)器，所以才會出現(xiàn) 響應(yīng)超時的現(xiàn)像，所以在這里要選擇：“在這臺計算機(jī)上安裝并配置 DNS并將 這臺DNS服務(wù)器設(shè)為這臺計算機(jī)的首選DNS!務(wù)器”。2SJ請選擇用戶和姐對象的默認(rèn)權(quán)限O一些服務(wù)器程序.如Window. NT遠(yuǎn)程訪問服務(wù)'可倭職城控制器祐存的信 息.C與Window 2000之前的服務(wù)翻鹽作系蜒兼容的權(quán)限（£如果在Windows 2000之前的服務(wù)器操作系軌上運(yùn)行腿齧器程序

11、，或在Wiiidows 2000或Windows2003黒柜系蜿上運(yùn)行膿荔霽裡京，該膽務(wù)器又是壯皿曲2OD0之前域的成員，請選此選頊.迭 匿名用戶可讀職這個域的信息.只寫 ttitidowt 2000 肅 Windowt SarvwrdMIBIMIBIHIM ! UlflIBIMIBIB * >»»*« UIIBIMUimUIBIBIMIBIKIIBIBimallll如果僅在Wiridows 2000或Windows Server 2003操作託編卜佰行服務(wù)器 將蠢蒲欝議礙翠翳韻摯域的販諸選此選項萌經(jīng)丈上"歩丈聲題”專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，

12、網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) “這是一個權(quán)限的選擇項，在這里，我選擇第二項 ：“只與Windows 2000或Win dow 2003操作系統(tǒng)兼容的權(quán)限”，因為在我做實驗的整個環(huán)境里，并沒有Win dows 2000以前的操作系統(tǒng)存在”（可根據(jù)需要）這里是一個重點(diǎn)，還原密碼，希望大家設(shè)置好以后一定要記住這個密碼， 千萬別 忘記了，因為在后面的關(guān)于活動目錄恢復(fù)的文章上要用到這個密碼的。這是確認(rèn)畫面，請仔細(xì)檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確， 因為改域名可不是鬧著玩的，如果有的話可以點(diǎn)上一步進(jìn)入重輸， 如果確認(rèn)無誤 的話，那么點(diǎn)“下一步”就正式開安裝了 ：ictive Directo

13、ry 安裝肯導(dǎo)專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 臨隸霜嚴(yán)“根據(jù)您陋的選項雌程碗要花幾分開賄.稍后安裝即可完成專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) IzJ要關(guān)閉此向?qū)ВT單擊“完成"°正在完成Active Directory安裝向 導(dǎo)已在這臺計算機(jī)上茹血砒遇域妥裝了鼻貳“它 Directory已將此域控制器勞配紿BtfaultFirst-Site-Nanie 站盧n Active Eirftctory站點(diǎn)和釀翁管理工且會 管理所有站直口專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)

14、絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 點(diǎn)完成，點(diǎn)“立即重新啟動”專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 然后來看一下安裝了 AD后和沒有安裝的時候有些什么區(qū)別，首先第一感覺就是 關(guān)機(jī)和開機(jī)的速度明顯變慢了，登陸界面如下 ：多出了一個“登陸到”的選擇框，進(jìn)入系統(tǒng)后，右鍵點(diǎn)擊“我的電腦”選“屬 性”，點(diǎn)“計算機(jī)”莒規(guī)匡劉塹I硬件丨翻I自動更新低程I專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 2曲匱用旦下信息在網(wǎng)絡(luò)中標(biāo)識這臺計篡機(jī). 計算機(jī)描述©）:|卒例 IIS Pre duct i on Server

15、或 ，¥Ac c ount ing S eryer" a完整的計算機(jī)名稱：Server, demoi. ccim域：demo, eon要重新命名此計算機(jī)或加入域.單擊“更改”更改乍）I j£件論壇專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 這樣就把普通一臺2003Server升級成DC （主域控制器啦）專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 接著講客戶端的相關(guān)操作（客戶端操作系統(tǒng)是WindowsXP專業(yè)版，需要大家注意 的是Windows XP的Home版由于針對的是家

16、庭用戶，所以不能加入域）計算機(jī)名:TestIP:01網(wǎng)關(guān)：192。168。1.1子網(wǎng)掩碼：DNS服務(wù)器:54（這里要特別注意要把客戶端的首選 DNS旨向DC的IP地址，否則加入DC時會非 常慢）設(shè)置完網(wǎng)絡(luò)以后，在“我的電腦”上擊右鍵，選“屬性”，點(diǎn)“計算機(jī)名”專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 在這里把“隸屬于”改成域，并輸

17、入"，并點(diǎn)確定，這是會出現(xiàn)如專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 畫面:計算機(jī)名萸改諳輸丸有加入該域權(quán)限的帳尸的名郵和密瑪口用夕塔01):/念瑪(£k731IE 忑寺；鷺豊:負(fù)昌驚驚苛為用戶跚屈視輸入在域控上建的那個“ swg”的帳號，點(diǎn)確定專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 出現(xiàn)上述畫面就表示成功加入了，然后點(diǎn)確定，點(diǎn)重啟就算0K了。來看一下登陸畫面有沒有什么不一樣：專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 看到那個“登陸到”了吧，可以選擇域登陸還是

18、本機(jī)登陸了，在這里選擇域“DEM'O，這樣就可以用域用戶進(jìn)行登陸了。 進(jìn)入系統(tǒng)后，在“我的電腦”上擊 右鍵，選“屬性”，點(diǎn)“計算機(jī)名”：如空麒以下他鼠在阿絡(luò)中掠說遶倉計建機(jī)*仝例.“工丄 idtuen 匚 umptiter戟 rffliry k專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 看到用黑框標(biāo)出來的地方和沒有加入到域的時候的區(qū)別的吧專業(yè)和專注企業(yè)網(wǎng)絡(luò)技術(shù)，服務(wù)器，網(wǎng)絡(luò)安全應(yīng)用網(wǎng)絡(luò)技術(shù)應(yīng)用網(wǎng) 密碼策略設(shè)置在域服務(wù)器上添加客戶端帳號時，因為組策略的關(guān)系，創(chuàng)建客戶端密碼時會出現(xiàn)" 密碼不符合策略要求&

19、quot;,這時我們必須進(jìn)行如下操作：在域控制器上的開始菜單中打開“運(yùn)行”，輸入DSA.MS后回車，即打開活動目錄的用戶和計算機(jī)管理控制臺。在域節(jié)點(diǎn)右鍵，進(jìn)入屬性，打開組策略選項卡， 在里邊找到Default Domain policy 這個GPC選中他，點(diǎn)擊下面的編輯，打開 組策略編輯器，在這個組策略編輯器中找到一下路徑：計算機(jī)配置-WINDOW設(shè)置-安全設(shè)置-帳戶策略-密碼策略。在這個路徑下找到“密碼必須符合復(fù)雜性要 求”設(shè)置為禁用，“密碼長度最小值”設(shè)置為 0。這樣你就可以創(chuàng)建空密碼的用 戶帳戶了（當(dāng)然在這里你也可以為你的域設(shè)置你自己需要的密碼策略），完成了以上設(shè)置后并沒有完，還有最后一

20、步，就是在開始菜單的運(yùn)行中輸入“ gpupdate /force ”這個命令。（即組策略刷新）另：1、如何在WIN2003中添加用戶？每次添加用戶時總是提示我不符合密碼策略， 怎么辦？問：如何在 WIN2003中添加用戶？我將公司的主域服務(wù)器改成win2003，但是win2003卻不讓我添加用戶，每次添加用戶是總是提示我不符合密碼策略，怎么 辦？ 答：對于2003域，默認(rèn)域的安全策略與2000域不同。要求域用戶的口令必須符 合復(fù)雜性要求，且密碼最小長度為 7。口令的復(fù)雜性包括三條：一是大寫字母、 小寫字母、數(shù)字、符號四種中必須有 3種，二是密碼最小長度為6,三是口令中 不得包括全部或部分用戶名

21、。當(dāng)然也可以重新設(shè)默認(rèn)域的安全策略來解決。操作如下：開始/程序/管理工具/域安全策略/帳戶策略/密碼策略：密碼必須符合復(fù)雜性要求：由“已啟用”改為“已禁用”； 密碼長度最小值：由“7個字符”改為“0個字符”。使此策略修改生效有如下方法：1、等待系統(tǒng)自動刷新組策略，約 5分鐘15分鐘2、重啟域控制器（若是修改的用戶策略，注銷即可）3、使用gpupdate命令。（推薦使用這個）說明：2000中使用的刷新組策略命令 secedit /refreshpolicy machine（或 user）_policy /enforce 命令在03中已由gpupdate取代。命令格式如下： 僅刷新計算機(jī)策略： g

22、pupdate /target:computer 僅刷新用戶策略： gpupdate /target:user 二者都刷新：gpupdate此命令也適用于，修改了域/0U上的組策略，欲對客戶機(jī)或用戶馬上生效。 在客戶機(jī)上運(yùn)行此命令即可。自動刷新間隔：DC到DC是5分鐘，2個以上的多DC，最長可能達(dá)到15分鐘，DC到非 DC是 90+ -30分鐘，即60120分鐘。說明：安全策略只是組策略的一部分，或者說子集。所以有的網(wǎng)友說改默認(rèn)域的 組策略也是對的。操作：開始/程序/管理工具/AD用戶和計算機(jī)/域上右鍵/屬性/組策略/默認(rèn)域的 組策略/計算機(jī)配置/windows設(shè)置/安全設(shè)置（MS只不過把這部

23、分單獨(dú)提出來做 了鯩MCg制臺一一域安全策略，而已）/帳戶策略/密碼策略。再問：這種方法我一開始就修改了，重新啟動電腦，還是不行。用 gpedit.msc 修改倒是沒有嘗試？那我去試試，這兩種方法是不是一致的啊，要是都是一致的， 看來也不行。再答：gpedit.msc是用來編輯本地策略的。1、如果你建的是“域”用戶，需要編輯默認(rèn)域的策略才行。（按照你的上文， 我是這樣理解的，即是在“ AD用戶和計算機(jī)中”創(chuàng)建。）按照上面的方法，不 可能不好使。只有一種可能，我先說一下理論：組策略應(yīng)用的優(yōu)先級（由低到高，策略有沖突時，高的說了算，不沖突時累加， 都生效）：LSDOU即：本地、站點(diǎn)、域、OU小OU

24、,以域控制器上的安全策略為例，涉及到：本地安全策略、域安全策略、域控制器 安全策略。因為默認(rèn)：03域是在域安全策略上設(shè)的，把這個改回“已禁用”，“0”即可。唯一的可能就是有人動了域控制器的安全策略。2、如果你是在域成員（非 DC上建“本地”用戶，那么在 DC上修改了默認(rèn)域 策略后，需要在客戶機(jī)上刷新策略才行，用下列方法之一：（1）用 secedit 或 gpupdate（2）重啟客戶機(jī)（3）等12小時后說明：由于帳戶策略是計算機(jī)策略（而非用戶策略），在域上設(shè)，就會對域內(nèi)所 有的計算機(jī)生效，生效的結(jié)果進(jìn)而影響了本地帳號，雖然本地帳號不是域帳號。我的經(jīng)驗：更改完域的安全策略中關(guān)于密碼策略后，一般都

25、不能解決問題，還要運(yùn) 行g(shù)pedit.msc打開本地策略管理器把密碼策略中關(guān)于密碼長度設(shè)為 0.這樣應(yīng)該 就可解決問題找不到網(wǎng)絡(luò)路徑1. 從開始菜單選擇運(yùn)行輸入services.MSC ,打開服務(wù)管理窗口檢查：A:netlogon 服務(wù)是否啟動；B.TCP/IP NETBIOS服務(wù)是否啟動2. 客戶端DNS地址已經(jīng)指向了 DC3. DC域控制器上沒有安裝DNSK務(wù)。4. 客戶端防火墻已經(jīng)關(guān)閉。可以連接到DNSI艮務(wù)器的53 135 139端口。去掉Microsoft網(wǎng)絡(luò)客戶端的復(fù)選礦。安裝NETBIOS*議。重裝TCP/IP協(xié)議。漫游用戶配置文件方法漫游用戶配置文件的作用是無論用戶登錄到哪臺基

26、于Microsoft Win dows NT 的計算機(jī)上，漫游用戶配置文件都為用戶提供相同的工作環(huán)境。這樣就可以避免因為換了機(jī)器而丟失以前的作用環(huán)境而不爽了，也不會降低工作質(zhì)量。創(chuàng)建漫游用戶配置文件過程有兩個步驟：創(chuàng)建測試用戶配置文件，然后將測試用戶配置文件復(fù)制到網(wǎng)絡(luò)服務(wù)器。步驟一：在此過程中，您會為漫游用戶創(chuàng)建一個測試配置文件：1.創(chuàng)建一個充當(dāng)測試用戶帳戶的用戶帳戶。例如，創(chuàng)建一個名為Sales Profile的帳戶。2.以測試用戶帳戶登錄。這會在本地計算機(jī)的用戶名文件夾中自動創(chuàng)建用戶配置文件。3.配置桌面環(huán)境，包括外觀、快捷方式和開始菜單選項。4.注銷，然后以管理員身份登錄。步驟二：最后復(fù)

27、制測試配置文件，在此過程中，您會將測試配置文件復(fù)制到網(wǎng)絡(luò)服務(wù) 器：1. 在網(wǎng)絡(luò)驅(qū)動器上創(chuàng)建一個要在其中存儲網(wǎng)絡(luò)配置文件的文件夾。（為共享文件夾，在共享權(quán)限中設(shè)置為完全控制）例如：server_nameProfilesuser_ name2. 在"控制面板"中，雙擊系統(tǒng)，然后單擊用戶配置文件選項卡。在”儲存在本機(jī)上的配置文件"下，單擊要復(fù)制的配置文件，然后單擊復(fù)制到。3. 在將配置文件復(fù)制到對話框中，鍵入該文件夾的網(wǎng)絡(luò)路徑。在"允許使用"下，單擊更改。4. 添加相應(yīng)的用戶，然后單擊確定。5. 在"域用戶管理器"中，雙擊該用戶帳

28、戶，然后在用戶屬性對話框中，單擊配置文件。6. 在用戶配置文件路徑框中，鍵入網(wǎng)絡(luò)配置文件所在文件夾的UNC路徑。例如：server_ nameProfilesuser_ name。實現(xiàn)桌面墻紙的漫游方法（此方法本人試過好像不需要這樣操作也可以實現(xiàn)）學(xué)會如何漫游配置文件后， 大家會發(fā)現(xiàn)，桌面墻紙是不會與漫游配置文件一同漫游的, 這是為什么呢?我們來對比一下本地配置文件和漫游后的配置文件。在本地配置文件中有一個LocalSettings文件夾，在漫游配置文件中我們是找不到它的，但是漫游配置文件中卻多出了個叫 做ntuser.ini的配置文件。我們使用文本方式打開 它，會看到這樣一段話： GeneralExclusionList=Local Settings;Temporary Internet Files;History;Temp 原來，在 Windows 漫游配置文件的默認(rèn)情況下，Local Setting文件夾是被排除