AD域控制服務(wù)器教程

1、AD域控制服務(wù)器教程把一臺(tái)成員服務(wù)器提升為域控制器（一）目前很多公司的網(wǎng)絡(luò)中的PC數(shù)量均超過(guò)10臺(tái)：按照微軟的說(shuō)法，一般 網(wǎng)絡(luò)中的PC數(shù)目低于10臺(tái)，則建議建議采對(duì)等網(wǎng)的工作模式，而如果超過(guò) 10 臺(tái)，則建議采用域的管理模式，因?yàn)橛蚩梢蕴峁┮环N集中式的管理， 這相比于對(duì) 等網(wǎng)的分散管理有非常多的好處，那么如何把一臺(tái)成員服務(wù)器提升為域控 ？：服務(wù)器采用 Windows2003Server為例，客戶端以XP為例（專業(yè)版，home版的 不支持）。域控制器名字：serverIP: 192。168。88。119子網(wǎng)掩碼：255。255。255。0網(wǎng)關(guān)：192。168。88。159 （當(dāng)然，這些可以根據(jù)具

2、體需要設(shè)置）DNS 192。168。88。119（因?yàn)槲乙堰@臺(tái)機(jī)器配置成 DNSS艮務(wù)器，升級(jí)成DC 以后首選DNS變成127。0。0。1不用怕這是正常的由于WindowsServer 2003在默認(rèn)的安裝過(guò)程中DNS是不被安裝的，所以我們需要手動(dòng)去添加，添加方法如下：“開(kāi)始一設(shè)置一控制面板一添加刪除程 序”，然后再點(diǎn)擊“添加/刪除Windows組件”，則可以看到如下畫面：indowKf indovs 粗件可以添加竄刪除的爼件匕彎擁翳淋隔1疇器曾示只會(huì)安裝該躋的組件藝Internet Expl or er増強(qiáng)的安全配置0. D MB服務(wù)4.9 MBWindows M edi a Servi

3、ces15.3 MB心伎真服務(wù)2L7 MB二n申干挪件服務(wù)1.1 ME描述：包含備種專門的、網(wǎng)絡(luò)相關(guān)的服務(wù)和協(xié)議口所需磁醴空間14 0 HE可用銘盤空間：14309 4 HE向下拖動(dòng)右邊的滾動(dòng)條，找到“網(wǎng)絡(luò)服務(wù)”，選中默認(rèn)情況下所有的網(wǎng)絡(luò)服務(wù)都會(huì)被添加，可以點(diǎn)擊下面的“詳細(xì)信息”進(jìn)行自定 義安裝，由于在這里只需要 DNS所以把其它的全都去掉了，以后需要的時(shí)候再 安裝：要添加或刪除某于組件，話單擊旁邊的亙選框?；疑虮硎局粫?huì)安裝該絹件的 部分P要直看爼件內(nèi)容，諸單擊虞詳細(xì)信息"C網(wǎng)絡(luò)服等的子組件©:| 甩KTTF代理上的RPCd o NIB !_ IH工nt ma“驗(yàn)證服務(wù)0

4、,0 ME Windows Internet 名稱服算 MIS)0.8 MB；昌動(dòng)態(tài)主機(jī)配置協(xié)議CDHCF)0.0 ME衛(wèi)簡(jiǎn)單TCP/IP服務(wù)0,0 MB#已戚名系統(tǒng)© MS)1.5 0描述：允許RFC/DCOM通過(guò)Internet信息服勞器CHS)的KTTF進(jìn)行通訊.所需直盤空間； 可用磁盤空間:15.5 MB14305.9 NB然后就是點(diǎn)“確定”，一直點(diǎn)“下一步”就可以完成整個(gè) DNS勺安裝。在整個(gè)安 裝過(guò)程中請(qǐng)保證 WindowsServer 2003安裝光盤位于光驅(qū)中，否則會(huì)出現(xiàn)找不到 文件的提示，那就需要手動(dòng)定位了。安裝完DNS以后，就可以進(jìn)行提升操作了，先點(diǎn)擊“開(kāi)始一運(yùn)行

5、”，輸入“ Dcpromo，然后回車就可以看到“ Active Directory 安裝向?qū)А敝苯酉乱徊?就可以了 '操惟系簸養(yǎng)容牲Windows Server 20Q3中改進(jìn)的安全設(shè)置會(huì)影響以前版本的越眉*您想要此服務(wù)器成為新域的威羥制髀汗杲現(xiàn)百誡的斂外域揑制器?廣現(xiàn)有鐵的額外或控制器)<上一步皂丿下一步也2d這里是一個(gè)兼容性的要求， Windows 95及NT 4 SP3以前的版本無(wú)法登陸運(yùn)行到Windows Server 2003的域控制器，我建議大家盡量采用 Windows 2000及以上 的操作系統(tǒng)來(lái)做為客戶端。然后點(diǎn)擊“下一步”：域控制器類型潔指定想要此服務(wù)器擔(dān)任的角

6、色.翳豔執(zhí)的密皿曲5續(xù)之前解在這里由于這是第一臺(tái)域控制器，所以選擇第一項(xiàng)：“新域的域控制器”，然后 點(diǎn)“下一步”：創(chuàng)建一個(gè)新域諸選擇姜?jiǎng)?chuàng)建的威的類型.痂雇必短預(yù)乘創(chuàng)直翕孑域、新域樹(shù)或新林.此服劈盟將成対新域中的第一 年域控制器B£用這個(gè)選項(xiàng)來(lái)處理將會(huì)刪除所肓在這于服務(wù)器上的本地妊戶 所有密鑰將彼刪陽(yáng)應(yīng)該在繼續(xù)之前將巒鑰導(dǎo)岀.創(chuàng)建一個(gè)新的：金荊詢麻甲的罐菽亦異迪；駆雖血奮第一平威或僚想讓新域完全獨(dú)立于熔當(dāng)前的棘諸選擇 遠(yuǎn)個(gè)選項(xiàng)C在現(xiàn)有域樹(shù)中的子域(£)如果您想讓新域成為現(xiàn)有域的子域，諳選揮此選項(xiàng)。例如，您可創(chuàng)建一個(gè) 名為 headquarters, example, mi c

7、rosoft. -cm 的新域作為 example, microzoft. com 域的子域.r在現(xiàn)彎的林申的域樹(shù)噬如果您不想?yún)T新域成為現(xiàn)肓域的子域 > 諳選擇此選項(xiàng)-這將創(chuàng)建一個(gè)與現(xiàn) 有樹(shù)分開(kāi)的、新的域桶.lctive Directory 安;既然是第一臺(tái)域控，那么當(dāng)然也是選擇“在新林中的域”ctive Directory It創(chuàng)建-T«域諸選揮要?jiǎng)?chuàng)建的域的類型.創(chuàng)建一亍新的；瀬迪是狗重融第一個(gè)域或僚抱讓新威完全獨(dú)立于燈當(dāng)前的赫，諳廚 遠(yuǎn)平遶項(xiàng)廣在規(guī)有燼樹(shù)中的子感如果館崽訃新域成為現(xiàn)言域的子顧詰選擇此選項(xiàng).例如您可創(chuàng)運(yùn)1個(gè) 霑為 h« idquarters. e&#

8、171; ampl«. r>i crasoft. coni 的新域作対 ejtampk mi crfls&ft, cfl«i 域的召域*r在現(xiàn)有的襪中的域軻那如果您不想使新域成討現(xiàn)脅博的子威，諸選擇此選項(xiàng).這將也腱一與現(xiàn) 有樹(shù)分開(kāi)的、新的域樹(shù)上一步|下TW、勒g型17«Directory 女2£J新的城名詰指走新戦的名駒口為新域鍵入一個(gè)BBS全名邊口 . he&dquarterE.電聲Mpl電.microsoft. cc«新域的UH5全客世: i«no. c«m|<上_歩帀蕩莎習(xí).龜消在這里我們要

9、指定一個(gè)域名，我在這里指定的是AdiV4 Directflry 安裝向?qū)etSIOS 域名語(yǔ)指定新域的NetBIOS名稱.域 NetBIOS 名 1：韶聽(tīng)誌鸚鶏筈由本的用尸用來(lái)俁別觀或的-單擊下一歩接袁s上一步下二歩刃丄I這里是指定NetBIOS名，注意千萬(wàn)別和下面的客戶端沖突， 也就是說(shuō)整個(gè)網(wǎng)絡(luò)里 不能再有一臺(tái)PC的計(jì)算機(jī)名叫“ demo，雖然這里可以修改，但個(gè)人建議還是 采用默認(rèn)的好，省得以后麻煩。Active ®irectory 安婁向?qū)?shù)毎庫(kù)和巳志立件文件夾諸指定晨 Active Directly數(shù)據(jù)庫(kù)和日志立件的立件夾.基于環(huán)佳性能和可恢復(fù)性的考慮I諸將數(shù)捋庫(kù)和日志存啟在

10、不同的硬盤上.您希望在哪里保薦 Z* DxrUry數(shù)據(jù)庫(kù)? 數(shù)話庫(kù)文件夾功：瀏覽®您希望在哪里保存Active Directory日志？ 日志文件夾龜）：t：WINDOSKTDS瀏覽妁|£上一步®下"涉曲H 取灣在這里要指定AD數(shù)據(jù)庫(kù)和日志的存放位置，如果不是 C盤的空間有問(wèn)題的話, 建議采用默認(rèn)。這里是指定SYSVO文件夾的位置，還是那句話，沒(méi)有特殊情況，不建議修改第一次部署時(shí)總會(huì)出現(xiàn)上面那個(gè) DNS注冊(cè)診斷出錯(cuò)的畫面，主要是因?yàn)殡m然安裝 了 DNS但由于并沒(méi)有配置它，網(wǎng)絡(luò)上還沒(méi)有可用的 DNS!務(wù)器，所以才會(huì)出現(xiàn) 響應(yīng)超時(shí)的現(xiàn)像，所以在這里要選擇：“

11、在這臺(tái)計(jì)算機(jī)上安裝并配置 DNS并將 這臺(tái)DNS服務(wù)器設(shè)為這臺(tái)計(jì)算機(jī)的首選DNS!務(wù)器”ir ec請(qǐng)選揺用戶和組對(duì)捺的鎖認(rèn)權(quán)限。一些服各器程序，如血杠NT遠(yuǎn)程訪問(wèn)服務(wù)可讀取城控制器皤存的信 息“C與Windows 200G之前的服務(wù)器撫作系蜒兼容的權(quán)限E）如果在魅點(diǎn)w 2000之前的服各器操作系統(tǒng)上運(yùn)行腿勢(shì)器程序，或在Windows 2000 或 Windows Server 2003操作系統(tǒng)上運(yùn)行服筆器程序，該服 務(wù)黠又是Windows 2000之前械的成員,諸選此選項(xiàng).直 匿名用戶可讀取這個(gè)域的信息.只寫書益薔？藥議祈益需孑實(shí)善;廠茄麗換惟茉練兼容的稅限如果僅在Windows 2000或f

12、lindows Server 2003操作系統(tǒng)上運(yùn)行服務(wù)器豔癥飜器緋赧鴇番淞丁域的成員皿選雌項(xiàng)保有經(jīng)上_豈打亍爭(zhēng)星才_(tái) 取消I一“這是一個(gè)權(quán)限的選擇項(xiàng)，在這里，我選擇第二項(xiàng) ：“只與Windows 2000或 Win dow 2003操作系統(tǒng)兼容的權(quán)限”，因?yàn)樵谖易鰧?shí)驗(yàn)的整個(gè)環(huán)境里，并沒(méi)有 Win dows 2000以前的操作系統(tǒng)存在”（可根據(jù)需要）這里是一個(gè)重點(diǎn)，還原密碼，希望大家設(shè)置好以后一定要記住這個(gè)密碼， 千萬(wàn)別 忘記了，因?yàn)樵诤竺娴年P(guān)于活動(dòng)目錄恢復(fù)的文章上要用到這個(gè)密碼的。.1 ve0treetory嚴(yán)尹ETi2LJ諸復(fù)直并確認(rèn)鍛定的選項(xiàng).燃選擇:將逹個(gè)服勢(shì)器配置成新域林中的第一個(gè)域

13、控制黑.上新唾名將為dwfiro, tom這也是新林的名稱4i域的FetEIOS名將為BEWD數(shù)據(jù)庫(kù)文件夾：c： wiwBOtfSMirrDS日志立件文件夾：C: WIODtfSMTDS引SVDL 文件夾：C:INTOWSSYSVOL將在這臺(tái)計(jì)算機(jī)上安裝并配董DHS服務(wù).將配置連臺(tái)計(jì)算機(jī)使用此DUS服勞器作為苴首選MS服勢(shì)器.-JI創(chuàng)要更改選項(xiàng)，單擊“上一步” 口要開(kāi)貽操作，單擊“下一步朋也<上_步(1)|下_押(M) >|HX鞍消 _二. A這是確認(rèn)畫面，請(qǐng)仔細(xì)檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確， 因?yàn)楦挠蛎刹皇囚[著玩的，如果有的話可以點(diǎn)上一步進(jìn)入重輸， 如果確

14、認(rèn)無(wú)誤 的話，那么點(diǎn)“下一步”就正式開(kāi)安裝了 ：幾分鐘后，安裝完成，有時(shí)可能要久一點(diǎn) ' 特別是DNSI艮務(wù)時(shí)可能會(huì)慢點(diǎn) ' 給點(diǎn)耐 心''點(diǎn)完成點(diǎn)“立即重新啟動(dòng)”然后來(lái)看一下安裝了 AD后和沒(méi)有安裝的時(shí)候有些什么區(qū)別，首先第一感覺(jué)就是 關(guān)機(jī)和開(kāi)機(jī)的速度明顯變慢了，再看一下登陸界面 ：哈哈' 是不是不一樣了 ' ？多出了一個(gè)“登陸到”的選擇框，進(jìn)入系統(tǒng)后，右鍵點(diǎn)擊“我的電腦”選“屬 性”，點(diǎn)“計(jì)算機(jī)”就剛豹硬件丨高級(jí)I自動(dòng)更新1遠(yuǎn)程IWindows使用以下信見(jiàn)在網(wǎng)貉中標(biāo)識(shí)這臺(tái)計(jì)宜機(jī).討算機(jī)描謎迢：奉例：A IIS Prolucti an Serv

15、er"或完整的計(jì)算機(jī)名稱：Server, dmo. com域:dino. com要重新命名此計(jì)算機(jī)或加入域.車擊“更改那-I哈哈' 是不是好簡(jiǎn)單啊 '' 這樣就把普通一臺(tái)2003Server升級(jí)成DC （主域控制器 啦）不過(guò)后面的配置還多著呢'建議升級(jí)之前把補(bǔ)丁打好 ' 最好打SP2的補(bǔ)丁 '' .如果你的2003是盜版的話有可能會(huì)打不進(jìn)補(bǔ)丁 '不怕' 現(xiàn)在的“高人”多的是 ' 只要導(dǎo)入這個(gè)注冊(cè)表文件就可以導(dǎo)入啦'aa.rar是一 一個(gè)打包 Win RAF文件''前面講了把2003

16、Server提升成DC （主域控制器）接下來(lái)轉(zhuǎn)到客戶端，看看怎么 把XP進(jìn)來(lái)，在實(shí)驗(yàn)中采用的客戶端操作系統(tǒng)是 WindowsXP專業(yè)版，需要大家注 意的是Windows XP的Home版由于針對(duì)的是家庭用戶，所以不能加入域，大家 別弄錯(cuò)了喲，我們先來(lái)設(shè)置一下這臺(tái) XP的網(wǎng)絡(luò)：計(jì)算機(jī)名:TestXPIP:00網(wǎng)關(guān)：192。168。88。159子網(wǎng)掩碼：DNS服務(wù)器:19 （這里要特別注意要把客戶端的首選DNS指向DC的IP地址，否則加入DC時(shí)會(huì)慢 到你暈又或者說(shuō)勉強(qiáng)加進(jìn)去了 '但是登陸也是慢到暈 ' 而且問(wèn)題

17、會(huì)多多）設(shè)置完網(wǎng)絡(luò)以后，在“我的電腦”上擊右鍵，選“屬性”，點(diǎn)“計(jì)算機(jī)名”計(jì)算機(jī)名稱更改逗區(qū)I鵬翻鸚警咖員昭更網(wǎng)沖響兗整的計(jì)算機(jī)名稱tstxp.住它也丄隸雇于在這里把“隸屬于”改成域，并輸入：“，并點(diǎn)確定，這是會(huì)出現(xiàn)如 下畫面：諳輸入右加入該域權(quán)限的施戶的名稱和密瑪.這亍用戶是自己先逹的盡量魅免便用aimim strUortgdWR但是要記得把用戶三遜碾 一 成可以把普通用戶加入劉匹的功館J _応現(xiàn)WTWWWR輸入在域控上建的那個(gè)“ swg”的帳號(hào)，點(diǎn)確定出現(xiàn)上述畫面就表示成功加入了，然后點(diǎn)確定，點(diǎn)重啟就算0K了。來(lái)看一下登DEMOv陸畫面有沒(méi)有什么不一樣：登錄到lindovjmf iWind

18、ow!用戶名:密碼理登錄到乞:TESTXF確定看到那個(gè)“登陸到”了吧，可以選擇域登陸還是本機(jī)登陸了，在這里選擇域“DEM'O，這樣就可以用域用戶進(jìn)行登陸了。 進(jìn)入系統(tǒng)后，在“我的電腦”上擊 右鍵，選“屬性”，點(diǎn)“計(jì)算機(jī)名”：I型I帀策機(jī)名ig片總函廠系is還原目動(dòng)更料.二例."口 uh沁匚dpnt*或'liry* x彳， 附如2慢用LUTfE.e在網(wǎng)涼中槨識(shí)也合計(jì)整機(jī) 計(jì)豐執(zhí)描述看到用黑框標(biāo)出來(lái)的地方和沒(méi)有加入到域的時(shí)候的區(qū)別的吧活動(dòng)目錄之用戶配置文件什么是用戶配置文件？根據(jù)微軟的官方解釋：用戶配置文件就是在用戶登陸時(shí)定義系統(tǒng)加載所需環(huán)境的設(shè)置和文件和集合，它包括所有

19、用戶專用的配置設(shè)置。用戶配置文件存在于系統(tǒng)的什么位置呢 ？那么用戶配置文件包括哪些內(nèi)容呢？ 大家看一副截圖：用戶配置文件的保存位置在：系統(tǒng)盤(一般是C盤)下的Documents a nd Sett ings 文件 夾下，有一個(gè)和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里， 順便提示一下，如果本機(jī)和域上有一個(gè)同名用戶，并且都登陸過(guò)的話，那么就會(huì) 出現(xiàn)在同名文件夾后面拖后綴的情況，舉個(gè)例子：比如在一個(gè)域(democom)里面有一臺(tái)計(jì)算機(jī)(testxp)，本地有一個(gè)swg的帳號(hào)，域上也有一個(gè) swg的帳號(hào)，并且 都登陸過(guò)這臺(tái)計(jì)算機(jī)，那么會(huì)發(fā)生如下情況：本地帳號(hào)先登陸：那么本地的swg的用

20、戶配置文件夾為swg，而域用戶的用戶配置文件夾為SWg .demo。域帳號(hào)先登陸：那么域用戶的用戶配置文件夾為 swg，本地用戶的配置文件 夾為 swg.testxp。通過(guò)上面的截圖，我們可看出，用戶配置文件包括桌面設(shè)置、我的文檔、收 藏夾、ie設(shè)置等一些個(gè)性化的配置。另外需要說(shuō)明的是在 “DocumentsandSettings 文件夾下有一個(gè)名為“ All Users的文件夾，如果你在這個(gè)文件夾下的桌面”文件夾下新建一個(gè)文件的話，你會(huì)發(fā)現(xiàn)所有用戶在登陸時(shí)的桌面上都有這個(gè)文件，所 以這個(gè)文件夾里的配置是對(duì)這臺(tái)計(jì)算機(jī)的每個(gè)用戶均起作用的。當(dāng)網(wǎng)絡(luò)變成域構(gòu)架后， 所有的域用戶可以在任意一臺(tái)域內(nèi)的計(jì)

21、算機(jī)登陸，當(dāng)你在一臺(tái)計(jì)算機(jī)上的用戶配置文件修改后，你會(huì)發(fā)現(xiàn)到另一臺(tái)計(jì)算機(jī)上登陸時(shí)，所有的設(shè)置還是原來(lái)的， 并沒(méi)有發(fā)生修改，這是因?yàn)橛脩舻呐渲梦募潜４嬖诒镜氐?，不管是域用戶還是本地用戶，都是保存在那臺(tái)登陸的計(jì)算機(jī)上。我們可以在“我的電腦”上擊“右鍵”，選“屬性”，點(diǎn)“高級(jí)”，然后在“用戶配置文件”里點(diǎn)“設(shè)置”：用戶BS置文件用尸配置文件保存莫面設(shè)垃和耳愴與性的用的信 息.可在好便用的毎臺(tái)計(jì)聲機(jī)上刨建不同的配置文件*誡選 定一亍漫游配置丈件用在您使用的每臺(tái)計(jì)負(fù)機(jī)上。儲(chǔ)存在本機(jī)上的1己置文件驗(yàn)里，就在域控制器上開(kāi)設(shè)一個(gè)為share的共享文件夾，并開(kāi)放權(quán)限驗(yàn)里，就在域控制器上開(kāi)設(shè)一個(gè)為share的共

22、享文件夾，并開(kāi)放權(quán)限名稱大小demoVs7891 KBDEFlOis635KBTESTXP Adm i ni e tr at or 1.1.TESTKFt691ICBTESTKFzs&35KB本地 2/.驗(yàn)里，就在域控制器上開(kāi)設(shè)一個(gè)為share的共享文件夾，并開(kāi)放權(quán)限驗(yàn)里，就在域控制器上開(kāi)設(shè)一個(gè)為share的共享文件夾，并開(kāi)放權(quán)限要?jiǎng)?chuàng)連一個(gè)新的用-在控制面板中打開(kāi)曲日氐巳確定取消請(qǐng)注意“類型”里用紅框標(biāo)出的部分，全部是“本地”，這就說(shuō)明用戶配置文件保存在本地，那么如何才能讓用戶的配置文件隨著帳號(hào)走，也就是不管用戶在哪臺(tái)計(jì)算機(jī)上登陸都能保持用戶配置文件一致呢？為了解決這個(gè)問(wèn)題，就要用到漫

23、游用戶配置文件，原理就是把用戶配 置文件保存在一個(gè)網(wǎng)絡(luò)的公共位置，當(dāng)用戶在計(jì)算機(jī)上登陸里，會(huì)從網(wǎng)絡(luò)公共位置把用戶配置文件下載到本地并加以應(yīng)用，然后當(dāng)用戶注銷時(shí)， 會(huì)把本地的用戶配置文件同步到網(wǎng)絡(luò)公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那么如何來(lái)實(shí)現(xiàn)這個(gè)功能呢？現(xiàn)在就來(lái)實(shí)踐一下：首先，要在一個(gè)網(wǎng)絡(luò)的公共位置開(kāi)設(shè)一個(gè)共享文件夾，用來(lái)存放用戶配置文件， 在個(gè)實(shí)驗(yàn)里，就在域控制器上開(kāi)設(shè)一個(gè)為share的共享文件夾，并開(kāi)放權(quán)限名稱±1個(gè)對(duì)躱選定E文件（Z）i操作直看世窗口血幫助血I1莒裔1E0描述2d用戶Active Bi rectvrf用尸和計(jì)寫機(jī)兗件（P 編極（X）查

24、看CZ）收瀟CA）工旦 幫助龍卜I類型'后退搜隸 文件夾地址血|y c：文件夾 文件夾 文件夾 文件夾 文件夾文件夾290 KB文本文檔然后，點(diǎn)擊“開(kāi)始-設(shè)置-控制面板-管理工具”，雙擊“ AD用戶和計(jì)算機(jī)”，并選中相應(yīng)的 用戶，這里以“ swg”帳號(hào)為例：E Active Directory 用F和計(jì)算機(jī)Iffi-O保存的查詢:m 二歲 demo, comFE1- _| Builtin'.+! Computersi+僉| Donkin Controllers+r _| Forti guSecuri tyFrincipfi2 曰 UsersUssrs 22個(gè)對(duì)象1類型安全組安全

25、組安全姐 ；安全組安全組安全須安全組 用戶 安全組 安全組!用戶 I用戶安全蘊(yùn)安全粗 用尸Domain Admins 涼Domain Com. Doih&in Coil .Icmain GuestsUsersEnterpri s«.Group FdfiGuest KelpS«rvic. . r 療位FGC IUSR_TST2003 g IWAM_TEST20D3 涼RAS and IA. Sch&ma Admins fg)SUPP0RT_3&.在“swg”帳號(hào)上雙擊，然后選“配置文件”，在“用戶配置文件-配置文件路徑”里輸入:s

26、hare%username%，“ ” 是域控制器的IP 地址，如下圖所示：jBficumntE and Settings”二廿迪吐bii Fragram Files©rawsj I additions, log2004-10-4 12005-10-102004-10-4 $2005-10-202005-10-102004-10-4 92004-10-4 1-全局-全局-全局 -全局-全局-全局-全局-本-本-本-全局指定的域管理員 加入到域中的所有工作 域中所有域揑制器 域的所有來(lái)宜 所有域用戶企業(yè)的指定系統(tǒng)管理員 這個(gè)組中的戰(zhàn)員可以修 供來(lái)宜訪問(wèn)計(jì)宦機(jī)或訪

27、幫助和支持中心塑IIS工作進(jìn)程組 匿名訪問(wèn)Internet信 用于啟動(dòng)進(jìn)程外應(yīng)用程 這個(gè)爼中的服務(wù)誓可 架構(gòu)的指定系埼管理員 這是一會(huì)幫肋和支持服.安全狙-本.一本組的成員可以訪問(wèn)此 用戶榜入丨環(huán)境 丨蠱話|豳揑制I終輪眼務(wù)配畫文件| OOH*Yfl地址丨杵戶配立粹I電話| AS | MT垢戶配量立件eWtftfi徑 ©： |VM«. 168.5管長(zhǎng)3MI事：(I：Ktmti護(hù)車地賂徑(L)： I點(diǎn)暹咀jf*匚瞬足 I 觀市應(yīng)用®然后點(diǎn)確定，接下去就到客戶端去，用“ swg”帳號(hào)登陸一下，看看會(huì)發(fā)生什么變化。如上圖所示，DEMO'swg的狀態(tài)由剛剛的“本地

28、”變成了“漫游”，此時(shí)注銷一下用戶，那 么就會(huì)自動(dòng)的將該用戶的本地用戶配置文件同步到網(wǎng)絡(luò)公共位置，如果再用“swg”到另外的域內(nèi)計(jì)算機(jī)上去登陸的話，會(huì)發(fā)現(xiàn)所有的用戶配置文件和這臺(tái)計(jì)算機(jī)上是一樣的。那么服務(wù)器上發(fā)生了些什么變化呢 ？如上圖所示，服務(wù)器的“ share ”文件夾里會(huì)自動(dòng)創(chuàng)建一個(gè)和用戶名一樣的“ swg”文件夾, 默認(rèn)情況下這個(gè)文件夾只允許對(duì)應(yīng)的用戶打開(kāi)：立井犧立井冀枉務(wù)電址心 譏"視r(shí)Wbir小ru收贏幺）工貝）粥肋QP援畫 立件夾 77* kJ轉(zhuǎn)利!幷蠟菜單I Cvld tiAppli*伽 Bet*N«tK«4dPrintHodS4ndTcTffep

29、latti刨逹一個(gè)贛文件貰 t）爲(wèi)盤骨莊件天童布弱武的乂檔網(wǎng)上肆居其它僅K詳堀信總的如W) 菽譙近的丈檔Dtuivr 配省設(shè)羯ffTUCJIR PAT畫面很熟悉吧？目前很多公司的IT Pro都有共同的感嘆，就是用戶喜歡把自己的桌面什么的搞得 亂七八糟，雖然通過(guò)組策略可以限制掉一部份，但總覺(jué)得不是很完善，在這里， 向大家推薦使用強(qiáng)制用戶配置文件，用戶可以對(duì)自己個(gè)人配置文件任意修改，但是一旦注銷后，這些修改將不會(huì)被保存，這樣用戶下次登陸里，用戶的配置文件 還是保持和原來(lái)一樣，那么如何實(shí)現(xiàn)這個(gè)功能呢 ？其實(shí)只要將用戶配置文件夾下 的“Ntuser.da改成“Ntuser.ma就可以了，來(lái)看一下修改過(guò)

30、程：首先，在顯示隱藏文件和已知文件的擴(kuò)展名，可以在工具-文件夾選項(xiàng)-查看”里進(jìn)行修改：文件妻選項(xiàng)點(diǎn)“確定”后，就可以在看到那個(gè)“ Ntuser.dat ”文件了，但此時(shí)會(huì)有一個(gè)問(wèn)題，如果去修改C:Docume nts and Sett in gsswg下的“ Ntuser.dat ”，會(huì)發(fā)現(xiàn)根本沒(méi)有辦法修改這個(gè)文件，因?yàn)槲募谑褂弥?，無(wú)法修改；如果去修改網(wǎng)絡(luò)公共位置的“ Ntuser.dat ”，也就是shareswg 下的“ Ntuser.dat ”，修改當(dāng)然可以修改，但是由于在“ swg" 用戶注銷的時(shí)候，本地的“ Ntuser.dat ”會(huì)把網(wǎng)絡(luò)公共位置的

31、“ Ntuser.man ”覆蓋掉， 也就 是等于沒(méi)有修改。很多人都想直接在服務(wù)器上更改“ swg”文件夾的所有者，然后給管理員帳號(hào)添加權(quán)限，這樣就可以直接在服務(wù)器上把“ Ntuser.dat ”改掉，但本人實(shí)踐過(guò)幾次，都發(fā)現(xiàn)這樣的操作會(huì)引起一些權(quán)限無(wú)法繼承，而導(dǎo)致出錯(cuò)的情況，所以不建議大家使用，這里推薦一種方法：先把“ swg”帳號(hào)注銷掉，然后用另外一個(gè)帳號(hào)登陸，比如管理員，當(dāng)然，如果在登陸 成功后直接去訪問(wèn)shareswg以試圖修改的話，那么你將會(huì)感到失望，因?yàn)檫€是拒絕訪問(wèn)的，那么如何訪問(wèn)并修改呢，可以這樣操作，“開(kāi)始-運(yùn)行-cmd'然后回車，這樣就啟動(dòng)了命令

32、行，在命令行下輸入:net use W password /user:swg，顯示“命令成功完成”，這樣就利用“ swg”和服務(wù)器建立一個(gè)連接，此時(shí)就可以 shareswg，里進(jìn)行修改了，然后再注銷管理員帳號(hào)，用“ swg”登陸，看看有沒(méi)有成功sgApplication DataKetMoodSandToTemplates我最近的文檔(TUSER manIAN文件【68 KBntuser. ini1 KB開(kāi)始J菜單CookiesPrintHood 中的文檔收姦夾真面y Q轉(zhuǎn)到M9e. 168.5.1shar«nc文件 期輯怨)査#(Y)收廉

33、® IA d)利助Qf)口0口初輕口口口 口 口 coNTUSER DAT. LOG 文本文檔1 KB看到了吧，類型由“漫游”變成了“強(qiáng)制”，現(xiàn)在可以在桌面這些地方進(jìn)行任意的修改，你會(huì)發(fā)現(xiàn)注銷再登陸，又恢復(fù)到了原樣。這種設(shè)置在多人使用同一個(gè)帳號(hào)的情況下非常有用。最后再請(qǐng)大家注意兩個(gè)問(wèn)題：1、 在配置強(qiáng)制用戶配置文件時(shí)，當(dāng)用其它用戶登陸修改時(shí)，請(qǐng)保證被修改的用戶處于注銷狀態(tài)，為什么？大家不妨自己想一想！2、 當(dāng)使用漫游用戶配置文件時(shí)，請(qǐng)不要在桌面等地方存放一些大型的程序或文件，因?yàn)橛脩粼诘顷懞妥N過(guò)程中會(huì)下載和上傳配置文件，如果文件過(guò)大，會(huì)影響登陸和注銷的速度。win2003:簡(jiǎn)化 W

34、indows 2003域控制器密碼筆者最近將公司的 Windows 2003服務(wù)器升級(jí)到域控制器后，遇到了一個(gè)問(wèn)題，公司領(lǐng)導(dǎo)不 喜歡在每次進(jìn)行登錄時(shí)，輸入復(fù)雜的密碼（既有大寫字母，還有小寫字母，同時(shí)還要輸入數(shù)字）。筆者在為他們創(chuàng)建賬戶并設(shè)置簡(jiǎn)單密碼時(shí)，提示無(wú)法設(shè)置密碼。筆者本以為只要點(diǎn)擊“開(kāi)始t運(yùn)行”，在“運(yùn)行”對(duì)話框中鍵入“ gpedit.msc ”進(jìn)入“組 策略編輯器”就能進(jìn)行修改，沒(méi)想到在“組策略編輯器”中根本不能修改。在經(jīng)過(guò)多次嘗試后，筆者找到了解決此問(wèn)題的方法，依次點(diǎn)擊“開(kāi)始t設(shè)置t控制面板t管理工具t域安全策略”，進(jìn)入"默認(rèn)域安全設(shè)置”后，點(diǎn)擊"Windows設(shè)

35、置宀安全設(shè)置t密碼策略”，雙擊右側(cè)窗口中的“密碼必須符合復(fù)雜性要求”項(xiàng)，會(huì)彈出一個(gè)窗口，選中“已禁用”選項(xiàng)并點(diǎn)擊“確定”后，重新啟動(dòng)電腦即可。同時(shí)密碼長(zhǎng)度也是在此設(shè)置。組策略什么是組策略？ 組策略有什么用？組策略是將系統(tǒng)重要的配置功能匯集成各種配置模塊，供管理員直接使用，從而達(dá)到方便管理計(jì)算機(jī)的 目的。簡(jiǎn)單說(shuō)，組策略就是修改 注冊(cè)表中的配置。 對(duì)各種對(duì)象中的設(shè)置進(jìn)行管理和配置， 比手工修改注冊(cè)表方 便、靈活，功能也更加強(qiáng)大。二、 Windows xp 組策略控制臺(tái)在“開(kāi)始-運(yùn)行”中，輸入 gpedit.msc 并確定，即可運(yùn)行程序。1、打開(kāi) Microsoft 管理控制臺(tái)（開(kāi)始 -運(yùn)行，輸入

36、MMC ，運(yùn)行控制臺(tái)程序。 ）2、在 “文件”菜單上，單擊 “添加/刪除管理單元 ”。3、在 “獨(dú)立”選項(xiàng)卡中，單擊 “添加 ”。4、在“可用的獨(dú)立管理單元 ”對(duì)話框中，單擊 “組策略”，然后單擊 “添加”。5、在 “選擇組策略對(duì)象 ”對(duì)話框中，單擊 “本地計(jì)算機(jī) ”編輯本地計(jì)算機(jī)對(duì)象， 或單擊 “瀏覽 ”查找所需的組策略對(duì)象。6、單擊 “完成”、 “關(guān)閉 ”，然后點(diǎn) “確定 ”。組策略管理單元即打開(kāi)要編輯的組 策略對(duì)象。組策略應(yīng)用實(shí)例一、“桌面”設(shè)置：位置 “組策略控制臺(tái) -用戶配置 -管理模板 ”。二、輕松實(shí)現(xiàn) windows 高級(jí)功能1、設(shè)置并鎖定 windows media playe

37、r 外觀。 打開(kāi)“組策略控制臺(tái) -用戶配置 - 管理模板 -windows 組件 -windows media player-用戶界面中的設(shè)置并鎖定外 觀”啟用此策略臺(tái)。2、禁止 windows media player 播放時(shí)運(yùn)行屏保。打開(kāi) “組策略控制臺(tái) -用戶配 置 - 管理模板 -windows 組件 -windows media player- 播放中的允許運(yùn)行屏幕保 護(hù)程序 ”并將期設(shè)置為 “已禁用 ”狀態(tài)。3、優(yōu)化配置 windows media player 網(wǎng)絡(luò)緩沖。 打開(kāi) “組策略控制臺(tái) -用戶配置 - 管理模板 -windows 組件 -windows media pla

38、yer- 網(wǎng)絡(luò)中的配置網(wǎng)絡(luò)緩沖 ”并設(shè) 置為啟用狀態(tài)。 在出現(xiàn)的緩沖時(shí)間（秒數(shù)）配置選項(xiàng)中， 根據(jù)網(wǎng)絡(luò)的帶寬情況 進(jìn)行自定義（最多 60 秒）。（提示： 如果此策略已啟用， windows media player “性能 ”選項(xiàng)卡上的緩存選項(xiàng) 將不能再配。 ）4、屏蔽使用所有 windows update 功能的訪問(wèn)。 打開(kāi) “組策略控制臺(tái) - 用戶配置 - 管理模板 -windows 組件 -windows update ”中的 “刪除使用所有 windows update 功能的訪問(wèn) ”組策略并啟用上策略。5、在 windows xp/2003 中實(shí)現(xiàn)遠(yuǎn)程關(guān)機(jī)。在windows xp/2

39、003中，用“shutdown實(shí)現(xiàn)定時(shí)遠(yuǎn)程關(guān)機(jī)。該命令的語(yǔ)法格式如下 :shutdown _i |-l |-s |-r |-a-f-mcomputerName-t xx-c "comment"_dp:xx:yy該命令的一些基本用法：點(diǎn)“開(kāi)始-運(yùn)行”，在“打開(kāi)”中輸入以下命令：1） 注銷本機(jī)用戶。shutdown -1 只對(duì)本機(jī)用戶。2）-m computerName 遠(yuǎn)程關(guān)機(jī) /重啟 /放棄3） 關(guān)閉本地計(jì)算機(jī)。shutdown -s4） 重啟本地計(jì)算機(jī)。shutdown -r5）定時(shí)關(guān)機(jī)。 shutdown -s -t 306） 中止計(jì)算機(jī)的關(guān)閉。用shutdown -a

40、三、用組策略提升系統(tǒng)性能。1、讓 windows 的上網(wǎng)速度提升 20%（windows xp/2003） 。默認(rèn)情況下， windows 網(wǎng)絡(luò)連接數(shù)據(jù)包高度程序?qū)⑾到y(tǒng)限制在 80%帶寬之內(nèi)，可以用組策略設(shè)置來(lái) 代替默認(rèn)值，中網(wǎng)速率提高 20%。打開(kāi) 組策略控制臺(tái)-用戶配置-管理模板-網(wǎng)絡(luò)中的“Qos數(shù)據(jù)包高度程序”并 啟用此策略，然后使用 “帶寬限制 ”將它設(shè)置為 0% 卻可，然后按確定奶出，就 可以使用另外 20% 的帶寬了。2、關(guān)閉縮略圖的緩存 (windows xp/2003) 。windows xp/2003 系統(tǒng)具有縮略圖視圖功能，為了加快那些被頻繁瀏覽的縮略 圖顯示速度， 系統(tǒng)將

41、這些被除數(shù)顯示過(guò)的圖片進(jìn)行緩存， 以便下次打開(kāi)時(shí)直接 讀取緩存中的信息， 從而達(dá)到快速顯示目的。 但如不不希望系統(tǒng)緩沖的話 (如 只瀏覽一次的圖片) ，則可利用組策略關(guān)閉縮略圖緩存的功能，這樣和一次瀏 覽速度反而會(huì)大大加快(因?yàn)椴贿M(jìn)行緩存處理) 。打開(kāi) “組策略控制臺(tái) - 用戶配置 - 管理模板 -windows 組件 -windows 資源管理 器”中的 “關(guān)閉縮略圖的緩存 ”并啟用此策略。3、屏蔽系統(tǒng)自帶的 CD 記錄功能 (windows xp/2003) 。windows xp/2003 系統(tǒng)自帶 CD 記錄功能，如果有 CD 記錄機(jī)接在計(jì)算機(jī)上， windows 資源管理器允許你制作

42、并修改訶重寫式 CD ，但會(huì)影響系統(tǒng)性能和資 源管理器的執(zhí)行速度。 回此可利用組策略來(lái)屏蔽此功能 (大部分用戶都使用專 用的 CD 記錄軟件)。打開(kāi) 組策略控制臺(tái)-用戶配置-管理模板-網(wǎng)絡(luò)”中的 刪除CD記錄功能”并啟 用組策略。4、關(guān)閉系統(tǒng)還原功能 (windows xp/2003) 。系統(tǒng)還原是 windows xp/2003 中集成的強(qiáng)大功能，它在系統(tǒng)運(yùn)行的同時(shí)，備份 那些被更改的文件和數(shù)據(jù)， 如果出現(xiàn)問(wèn)題， 系統(tǒng)還原使用戶能夠在不丟失個(gè)人 數(shù)據(jù)文件的情況下， 將其計(jì)算機(jī)還原到以前的狀態(tài)。 默認(rèn)情況下， 系統(tǒng)還原處 于打開(kāi)狀態(tài)。但為這一功能付出的代價(jià)也是相當(dāng)大的。 系統(tǒng)性能會(huì)明顯下降，

43、磁盤空間也會(huì) 被占用很多。對(duì)于配置不高的計(jì)算機(jī)來(lái)說(shuō)，強(qiáng)烈建議關(guān)閉此功能。打開(kāi) “組策略控制臺(tái) -計(jì)算機(jī)配置 -管理模板 -系統(tǒng) -系統(tǒng)系統(tǒng)還原 ”中的 “關(guān)閉 系統(tǒng)還原 ”并啟用此策略。啟用此設(shè)置后即可關(guān)閉系統(tǒng)還原功能，并且不能訪 問(wèn) “系統(tǒng)還原向?qū)?”和 “配置界面 ”。5、禁止 windows messenger 自動(dòng)運(yùn)行 (windows xp/2003) 。在 windows 系統(tǒng)中集成的優(yōu)秀應(yīng)用軟件越來(lái)越多，但這此系統(tǒng)內(nèi)置的軟件都 沒(méi)有卸載選項(xiàng)， 比如 windows xp 自帶的 windows messenger, 不但卸載不方便且 還隨系統(tǒng)一起自動(dòng)運(yùn)行。對(duì)于不上網(wǎng)的計(jì)算機(jī)用戶或

44、者根本就不用windowsmesse nger的用記，當(dāng)然要屏蔽此軟件的自動(dòng)運(yùn)行功能。打開(kāi) 組策略控制臺(tái)-計(jì)算 機(jī)配置-管理模板-windows 組件-windows messenger中的 不允許運(yùn)行 windows messenger 并啟用此策略。提示：這個(gè)設(shè)置出現(xiàn)在 計(jì)算機(jī)配置”和 用戶配置”文件夾中。如果兩個(gè)設(shè)置都 配置，前者設(shè)置優(yōu)先。用組策略打造系統(tǒng)銅墻鐵壁1、隱藏 我的電腦”中指定的驅(qū)動(dòng)器(windows xp/2003)。打開(kāi) 組策略控制臺(tái)- 用戶配置-管理模板-windows組件-windows資源管理器"中的 隱藏，我的電 腦?訪問(wèn)驅(qū)動(dòng)器”并啟用此策略。2、防止從

45、我的電腦"訪問(wèn)驅(qū)動(dòng)器(windows xp/2003)。打開(kāi)組策略控制臺(tái)-用 戶配置-管理模板-windows組件-windows資源管理器"中的 防止從，我的電 腦?訪問(wèn)驅(qū)動(dòng)器”并啟用此策略。3、禁止使用命令提示符。4、禁止更改顯示屬性。5、禁用注冊(cè)表編輯器。6、徹底禁止訪問(wèn) 控制面板7、禁止建立新的撥號(hào)連接。 8、禁用添加/刪除程序9、限制使用應(yīng)用程序?；I帷幄之中，決勝千里之外。這大概就是用兵的最高境界了吧！作為一個(gè)生于和平年代的網(wǎng)絡(luò)管理人員，這輩子帶兵是沒(méi)戲了。不過(guò)在域環(huán)境的幫助下，這個(gè)決勝千里的最高境界努力一下倒是可以體會(huì)體會(huì)的。所借助的神兵利器就是一一組策略。實(shí)際

46、上組策略的設(shè)置工具在我們常用的XP系統(tǒng)上一直存在，通過(guò)在運(yùn)行欄中輸入gpedit.msc就可以啟動(dòng)本地計(jì)算機(jī)的組策略編輯器。截圖如下:-rix馬馬虎虎的講我們可以把組策略編輯器看作是微軟提供的一個(gè)圖形化的注冊(cè)表編輯器，所見(jiàn)即所得一直都是微軟的看家本領(lǐng)啊。有了域環(huán)境之后，通過(guò)使用相關(guān)管理工具在域控制器上設(shè)置組策略就可以實(shí)現(xiàn)對(duì)所有加入域中的用戶和計(jì) 算機(jī)的管理與控制。在實(shí)際使用中，我感覺(jué)這種管理與控制幾乎覆蓋了使用中的方方面面，反正現(xiàn)在我只 要在域控制器上動(dòng)動(dòng)手指頭，就可以讓全校的網(wǎng)絡(luò)環(huán)境產(chǎn)生天翻地覆的變化一一比如讓所有人都無(wú)法使用計(jì)算機(jī)。理論上這是完全可以實(shí)現(xiàn)的，有興趣的可以在看完本文后自己實(shí)踐

47、一下（后果自負(fù)哈）。閑話少說(shuō)，書歸正傳。按前文所講我們已經(jīng)具備了使用組策略統(tǒng)一管控用戶和計(jì)算機(jī)的域環(huán)境?，F(xiàn)在在域控制器上打開(kāi)組策略編輯器，注意這里不能使用gpedit.msc （那是編輯本機(jī)策略的），而要打開(kāi) 開(kāi)始一一程序管理工具Active Directory 用戶和計(jì)算機(jī)”。截圖如下：母 Active Directory用尸和計(jì)篡機(jī)空Active Directory域和信枉關(guān)系也Active Directory站點(diǎn)和服務(wù)A DNS準(zhǔn) Microsoft .NET Framework 1,1 Microsoft .NET Framework 1,1鳥(niǎo)分布式文件系統(tǒng)I管理您的服等器在打開(kāi)的窗口

48、中選擇你的域名，并在其上右擊選擇屬性，然后在彈岀的屬性對(duì)話框中選擇組策略?，F(xiàn)在你就會(huì)看到默認(rèn)域策略Default Domain Policy ，截圖如下:單擊編輯按鈕就可以打開(kāi)組策略編輯器。更改其中的選項(xiàng)就會(huì)對(duì)所有加入域中的用戶和計(jì)算機(jī)產(chǎn)生影響。這是因?yàn)橛?jì)算機(jī)啟動(dòng)以及用戶登錄時(shí)都會(huì)查詢域控制器并使用這里的組策略設(shè)置。不過(guò)建議大家一般不要 改動(dòng)默認(rèn)域策略Default Domain Policy ，這樣便于我們隨時(shí)恢復(fù)到系統(tǒng)默認(rèn)的設(shè)置。呵呵，留條出迷宮的路，是所有操作前的必修課。默認(rèn)的不讓動(dòng)，那我們?cè)趺淳庉嫿M策略呢？答案就是通過(guò)組織單位上次我們?cè)诮⒂脩艉陀?jì)算機(jī)時(shí) 就已經(jīng)新建了兩個(gè)組織單位一一全

49、部用戶和全部計(jì)算機(jī)，注意組織單位將是一個(gè)我們經(jīng)常使用的劃分方式, 組策略可以按層次模式很好的在其上運(yùn)行，這樣也便于對(duì)今后一定會(huì)日趨復(fù)雜的組策略進(jìn)行有效的管理。 注意這里我提到了層次模式，組策略是可以按層次逐級(jí)繼承的。這不但可以使策略設(shè)置簡(jiǎn)潔明了，岀了問(wèn) 題還便于排查錯(cuò)誤。為了演示這種層次模式，我新建一個(gè)名為用戶和計(jì)算機(jī)”的組織單位，并將原來(lái)的兩個(gè)組織單位移入其中。截圖如下:0 Active Directory用戶和計(jì)算機(jī)也文件（已換作查卷加窗口（妙報(bào)瀕也15 03皚冒血睦回匹邁翅盪它袴AdkeDirectary用戶和計(jì)算機(jī)忌制I 丨LJ保存的查詢 “宙 ISP-卜“匚 E “匚 v卜匚>

50、 匚i -"雖委派控制© 查找連接到域（吵 連接到域控制器（© 提升域功能飯別 操作主機(jī)固名稱 匚jBuilHn LjCompu 怕茫Domain Cont,.組織單位類型描述新建（啞所有任芻查看（必從這里創(chuàng)連窗口 （鄴刷新（£） 號(hào)出列表（Q幫助0 Active Difectory用尸和計(jì)窿機(jī)builtinDomain 容器CForeign5Bcur.H.容躍LJ Users容器0全剖用戶組織單位淇單位Default container For u Default container For dDefault contancr For 51Defaul

51、t container For u計(jì)算機(jī) 聯(lián)茶人 組 lnetOrgPerson M5MQ隊(duì)列別名打印機(jī) 用戶 英享文件夾曲建一個(gè)空再“用戶和卄算機(jī)樸的組織單位也文件操作查看窗口阻幫輙也3 匡IH篇倉(cāng)X窗囤IB團(tuán)巫Active Wrectory63c；l|-；_|保存的查詢 “灼卩 tesLabc!_ BuiEtinI Computers-豈| Domain ControBers-：£j ForeiqnbecurityPnndpli ：Z I Users；型全部用戶名稱；：型全部計(jì)負(fù)機(jī) 為,玄j用戶和計(jì)算紐將此二者移動(dòng) 薊倉(cāng)下面組織 單住中（左鍵 拖幼即可）， 對(duì)于警吿選擇W Act

52、ive Directory用戶和計(jì)算機(jī)E文件舊操作童看洶窗口（妙幫助®3 世舸迢X窗團(tuán)罔團(tuán)曲迥都隧g Active Directory 用戸和計(jì)登機(jī)63cL 一|保存的查詢卻 tesLabc r； _J Builtint J*-,-“J Comput?ers-型 Domain 匚ontrollers名稱型全部計(jì)算機(jī) 迦全部用戶類型爼織單位 沮織單位最終是迖個(gè)樣子現(xiàn)在打開(kāi)用戶和計(jì)算機(jī)”組織單位的屬性對(duì)話框，并進(jìn)入組策略編輯界面，新建一個(gè)作用于該組織單位的 組策略對(duì)象并命名為通用策略（當(dāng)然你也可以其別的名字）。截圖如下：用戶和計(jì)算機(jī)屆性常規(guī) 背理者COM+組策略要改進(jìn)紐第睛昔理I請(qǐng)升因到

53、齟策曙管理控制合用戶和計(jì)算機(jī)的當(dāng)前組策略刑線懿接列表中較高位吉的組策略對(duì)象具百杲高的憂先權(quán). 由 63c804h5fc.lj461. test, ale 獲得這一列表1新逹丨馬朋iMW8-tri-»pi»-irgifcrlbj. . !”#一_ j:詵頂(Q).i匕”厲性型阻止策略維承d）確定職消列表中較高位詈的組策略對(duì)報(bào)具有最高的憂先權(quán). 由 63c04b5ed3b461. test. ab>:茯得這一列表新建® 圈加邊）揣霜®-下面讓我們與組策略近距離親密接觸一下。別害怕只是接觸一下，看看我們都可以對(duì)最終用戶施放那些魔 法和大招。進(jìn)入編輯模式，截圖如下：組策略分為兩大部分：計(jì)算機(jī)配置和用戶配置，這也是為什么我建立兩個(gè)組織單位分別放置用戶和計(jì)算機(jī), 這樣設(shè)置起來(lái)比較清楚。當(dāng)然你要想難得糊涂，放一起我也不攔著。配置給計(jì)算機(jī)還是用戶有什么區(qū)別呢？首先計(jì)算機(jī)配置應(yīng)用于計(jì)算機(jī)（看起來(lái)象廢話哈），因此對(duì)所有使 用計(jì)算機(jī)的用戶都起作用；其次計(jì)算機(jī)配置所使用的權(quán)限是系統(tǒng)級(jí)的（這里的權(quán)限是指的配置被應(yīng)用到計(jì) 算機(jī)上時(shí)用到的權(quán)限），就是說(shuō) Administrator賬戶能做的它都能做（這句不理解沒(méi)關(guān)系，記住它接著往下 看）。而用戶配置是針對(duì)我們?cè)谟蚩刂破魃辖⒌挠脩簦褪钦f(shuō)不管用戶使用哪臺(tái)計(jì)算機(jī)它