域控制器建立完整教程

1、把一臺成員效勞器提升為域控制器一目前很多公司的網(wǎng)絡(luò)中的PC數(shù)量均超過10臺:按照微軟的說法，一般網(wǎng)絡(luò)中的PC數(shù)目低于10臺，那么建議采對等網(wǎng)的工作模式，而如果超過10臺，那么建議采用域的管理模式，因為域可以提供一種集中式的管理，這相比于對等網(wǎng)的分散管理有非常多的好處，那么如何把一臺成員效勞器提升為 域控？我們現(xiàn)在就動手實踐一下：本篇文章中所有的成員效勞器均采用微軟的Windows Server 2003，客戶端那么采用 Windows XP。首先，當(dāng)然是在成員效勞器上安裝上Windows Server 2003，安裝成功后進(jìn)入系統(tǒng)，我們要做的第一件事就是給這臺成員效勞器指定一個固定的IP,在這

2、里指定情況如下：機器名:Server子網(wǎng)掩碼因為我要把這臺機器配置成DNS效勞器由于Windows Server 2003在默認(rèn)的安裝過程中 DNS是不被安裝的，所以我們需要手動去添加， 添加方法如下：開始一設(shè)置一控制面板一添加刪除程序，然后再點擊添加/刪除Win dows組件"，那么可以看到如下畫面：向下搬運右邊的滾動條，找到網(wǎng)絡(luò)效勞"，選中默認(rèn)情況下所有的網(wǎng)絡(luò)效勞都會被添加，可以點擊下面的 詳細(xì)信息'進(jìn)展自定義安裝，由于在這里只需要DNS，所以把其它的全都去掉了，以后需要的時候再安裝：然后就是點 確定"，一直點 下一步'就可以完成整個DNS的安

3、裝。在整個安裝過程中請保證Win dows Server 2003 安裝光盤位于光驅(qū)中，否那么會出現(xiàn)找不到文件的提示，那就需要手動定位了。安裝完DNS以后，就可以進(jìn)展提升操作了，先點擊開始一運行，輸入“Dcpromo",然后回車就可以看到 “Active Directory安裝向?qū)?quot;在這里直接點擊下一步：這里是一個兼容性的要求，Windows 95與NT 4 SP3以前的版本無法登陸運行到Windows Server2003的域控制器，我建議大家盡量采用 Windows 2000與以上的操作系統(tǒng)來做為客戶端。然后點擊下fcctiTc Directory 安裝囪導(dǎo)垮控制器類型

4、諸指定想要此服曙器擔(dān)任的角色"您想雯咄效勞器IT片新域的磁檸制黠評是現(xiàn)有城的額卯疏桿制需。疔新域胡域控莉霽ill9IIHviliBHH illl H4I llrr-illl f ? Ili- -THh-1!怕?lián)]此選頂來刨建新子域、新域衲或新林此服備器將成対新域中的第nsib-r現(xiàn)有城的顫夕卜域腔制器£用連于遺頂來灶理將會刪除所旋這個效勞器上的本地帳戶口斫肯逼翔將植刪險，應(yīng)謹(jǐn)花讎變之前將密朝導(dǎo)tlh鄭蠶巒豔黠牆幡如狀子郵肚應(yīng)碗解之時上一步下一步取消 |在這里由于這是第一臺域控制器，所以選擇第一項：新域的域控制器，然后點下一步既然是第一臺域控，那么當(dāng)然也是選擇在新林中的域在這里

5、我們要指定一個域名，我在這里指定的是demo.,這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突，也就是說整個網(wǎng)絡(luò)里不能再有一臺PC的計算機名叫“demO'，雖然這里可以修改，但個人建議還是采用默認(rèn)的好，省得以后麻煩。在這里要指定 AD數(shù)據(jù)庫和日志的存放位置，如果不是C盤的空間有問題的話，建議采用默認(rèn)。這里是指定SYSVOL文件夾的位置，還是那句話，沒有特殊情況，不建議修改第一次部署時總會出現(xiàn)上面那個 DNS注冊診斷出錯的畫面，主要是因為雖然安裝了 DNS,但由于并沒 有配置它，網(wǎng)絡(luò)上還沒有可用的 DNS效勞器，所以才會出現(xiàn)響應(yīng)超時的現(xiàn)像，所以在這里要選擇：在這臺計算機上安裝并

6、配置 DNS，并將這臺DNS效勞器設(shè)為這臺計算機的首選 DNS效勞器。這是一個權(quán)限的選擇項，在這里，我選擇第二項：只與 Windows 2000 或Window 2003 操作系統(tǒng)兼容的權(quán)限"，因為在我做實驗的整個環(huán)境里，并沒有Win dows 2000以前的操作系統(tǒng)存在"這里是一個重點，復(fù)原密碼，希望大家設(shè)置好以后一定要記住這個密碼，千萬別忘記了，因為在 后面的關(guān)于活動目錄恢復(fù)的文章上要用到這個密碼的。這是確認(rèn)畫面，請仔細(xì)檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進(jìn)入重輸，如果確認(rèn)無誤的話，那么點下一步就正式開安裝

7、了 ：Acti ve Directorr 安養(yǎng)冋導(dǎo)離驛犒嚴(yán)Z根磁5頂雌程碇要花幾分B開贈幾分鐘后，安裝完成點完成：點立即重新啟動然后來看一下安裝了 AD后和沒有安裝的時候有些什么區(qū)別，首先第一感覺就是關(guān)機和開機的速 度明顯變慢了，再看一下登陸界面：多出了一個 登陸到'的選擇框：進(jìn)入系統(tǒng)后，右鍵點擊 我的電腦選 屬性，點 計算機怎么樣？和安裝AD以前不一樣吧，其它的比方?jīng)]有本地用戶了，在管理工具里多出么多圖標(biāo)什么 的，這些將在以后的文章里講述，這里就不再詳談了。把一臺成員效勞器提升為域控制器二在我的上一篇文章中，已經(jīng)把一臺名為Server的成員效勞器提升為了域控制器，那我們現(xiàn)在來看一下如

8、何把下面的工作站參加到域。由于從網(wǎng)絡(luò)平安性考慮，盡量少的使用域管理員，所以先在域控制器上建立一個委派，登陸到域控制 器，運行“dsa.ms'e，出現(xiàn)“AD用戶和計算機"管理控制臺：先來新建一個用戶，展開“demo."，在“UserS上擊右鍵，點 新建"-用戶打尢件播忙 $ffY因口贈帶勤, _ 亠 , 宀4» "+ E H3Itfl為略iX廚冏隔曲過狐如PQN>ir.ctwr fllPKKtHtl* 一1保存的查曲-二加0cn或.' JTaQtiti匸 _ COITUUZf 旦 Ik*皿 Control*ri1 Fr &l

9、t;ig5<cwryFriPcij J_j爰櫃理制(£)lit CD越2 口出列喪fj Jkdbftim vtriit4r 0C»rt Fubli | JOndniu I iftaggtF tf J Drags ii w 7口醫(yī)*imi財.姐ImvlOrcFrTnSBQ飆列豹名HWA4lh9&XEgUb -Qiibft r 期尸 支金耀- 翌主ta - 家全超 平安拔- 平安筑- 妄堂筑- ±a - ±ifl - 皺- 室姐- 戶呈爼- 全鋼-XX,.主局全局全局主雋電戸Jniiqsj11LU 皿. ZtS -,»« A

10、dfcku 安主爼-辛.全局1»1 宅闇?zhǔn)畾皺Cii前悶衿 dtiS 的 OffiAiTfttJ DHS昔理筋統(tǒng)卅梢茗站戶詹加 扌晉定的幡管理盛參加叭中的所有工修 城中所有環(huán)曲1矚Mflwtmp金業(yè)創(chuàng)曲疑號折茜丹豪 這他中的威員可aft 供熹辰誼冋計武祠戰(zhàn)訪 碼曹和支幷申廿逼us 1-ffiSW同 iAtMFhtt AT . 一 用于J6動IS程外麗程 這忸中的務(wù)團可H 茱枸的揩皂殺琳咨S開LLl 仲和®"irfFL.知eh n-W Caktfri-itFx ar?刨建一常斬対«“勺 vt然后出現(xiàn)一個新建用戶的向?qū)?，在這里，我新建了一個名為 “swg的用戶

11、，并且把密碼設(shè)為 永不過期"。新建對象-用尸2d創(chuàng)立4t：demo. can.職酒 |這樣點下一步，直到完成，就可以完成用戶的創(chuàng)立。然后在“demo."上點擊右鍵，先擇 委派控制"：衽比e祥真的姿詭時蓋珈害 申件alulz就會出現(xiàn)一個 委派控制向?qū)c擊下一步點擊中間的 添加'按鈕，并輸入剛剛創(chuàng)立的“ swg然后點確定再點下一步在上面的畫面中，暫時不需要讓該用戶去管理組策略，所以在這里，僅僅選擇將計算機參加到域"，然后點下一步"：最后是一個信息核對畫面，要是沒有什么問題的話，直接點完成'就可以了。接下來轉(zhuǎn)到客戶端，看看怎么把XP進(jìn)

12、來，在實驗中采用的客戶端操作系統(tǒng)是Windows XP專業(yè)版,需要大家注意的是 Windows XP的Home版由于針對的是家庭用戶，所以不能參加域，大家別弄錯了 喲，我們先來設(shè)置一下這臺XP的網(wǎng)絡(luò)：計算機名:TestXP子網(wǎng)掩碼DNS 效勞器，Internet 協(xié)灤(TCP/IP)展世O自動獲律IF地址貂誹醐爭"'刪"：1 if地址Gi:子網(wǎng)撞碼on；對u何關(guān)01):自童荻毎DNS服崎囂地址®使用下面的IMS效勞器地址翅:首選BHS眼勢器：lee . ies . s i備用BBS眼務(wù)器； 高翅出設(shè)置完網(wǎng)絡(luò)以后，在 我的電腦上擊右鍵，選屬性，點 計算機名計

13、算機名稱更改'7|x可以更改這臺汁聲機的名稱和成舅身份'更改可龍會議咂 對阿絡(luò)資瀝的訪問.計:tBEtVll完整的計聲機名稱"+ei tjjp.隸詹于I確甦11_.取甬在這里把隸屬于"改成域，并輸入："demo.，并點確定，這是會出現(xiàn)如下畫面輸入剛剛在域控上建的那個“swg的，點確定出現(xiàn)上述畫面就表示成功參加了，然后點確定，點重啟就算0K 了。來看一下登陸畫面有沒有什么不一樣：看到那個 登陸到 了吧，可以選擇域登陸還是本機登陸了，在這里選擇域“DEMO ,這樣就可以用域用戶進(jìn)展登陸了。進(jìn)入系統(tǒng)后，在我的電腦上擊右鍵，選 屬性，點 計算機名：看到用黑

14、框標(biāo)出來的地方和沒有參加到域的時候的區(qū)別的吧？當(dāng)把下面的客戶端參加到域后，如果域控制器處于關(guān)閉狀態(tài)或者死機的話，那么，會發(fā)現(xiàn)下面的 客戶機無法登陸到域，所以再建立一臺域控制器，用來防止其中一臺出現(xiàn)意外損壞的情況是很有必要 的。后來建立的那臺域控制器叫額外域控制器。來看看額外域控制器的建立過程吧：當(dāng)然網(wǎng)絡(luò)設(shè)置永遠(yuǎn)是在第一步的：計算機名：Bserver子網(wǎng)掩碼既然是提升為域控制器，那么DNS組件也是要添加的，添加方法和我的第一篇文章中所定的一樣, 這里就不再重復(fù)了。添加完成后，同樣是點擊開始"-運行"-“dcpromO :出現(xiàn)的向?qū)Ш筒僮飨到y(tǒng)兼容性同安裝第一臺域控時是一樣的，唯

15、一要注意的是下面的那個畫面安裝第一臺時選擇的是新域的域控制器，這里要選擇的是現(xiàn)有域的額外域控制器，然后點在這里，輸入域的管理員的密碼，在域'里填入相應(yīng)域的DNS全名或NetBios名，點 下一步在這里一定要填入現(xiàn)有域的 DNS全名，然后再點 下一步"，接下去的操作和安裝第一臺域控制 器時是一樣的，所以就不再寫下去了，直到完成就可以了?；顒幽夸浿脩襞渲梦募P(guān)于域用戶的開設(shè)在前面的文章中如何把一臺成員效勞器提升為域控制器一、二已經(jīng)涉與過了，所以在這里開設(shè)用戶的方法就不再重復(fù)了，本篇文章主要向大家介紹一下用戶配置文件。首先，什么是用戶配置文件 ？根據(jù)微軟的官方解釋：用戶配置文件就

16、是在用戶登陸時定義系統(tǒng)加載 所需環(huán)境的設(shè)置和文件和集合，它包括所有用戶專用的配置設(shè)置。用戶配置文件存在于系統(tǒng)的什么位 置呢？那么用戶配置文件包括哪些容呢 ？來給大家看一副截圖：用戶配置文件的保存位置在：系統(tǒng)盤一般是C盤下的Documents and Settings"文件夾下，有一個和你的登陸用戶名一樣的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一 個同名用戶，并且都登陸過的話，那么就會出現(xiàn)在同名文件夾后面拖后綴的情況，舉個例子：比方在一個域demo.里面有一臺計算機testxp，本地有一個swg的，域上也有一個 swg的，并且都登陸過這臺 計算機，那么會發(fā)生

17、如下情況：本地先登陸：那么本地的swg的用戶配置文件夾為 swg,而域用戶的用戶配置文件夾為swg.demo。域先登陸：那么域用戶的用戶配置文件夾為swg,本地用戶的配置文件夾為swg.testxp。通過上面的截圖，我們可看出，用戶配置文件包括桌面設(shè)置、我的文檔、收藏夾、IE設(shè)置等一些個性化的配置。另外需要說明的是在“ Docume nts and Sett in gs文件夾下有一個名為“ All Users'的文件夾，如果你在這個文件夾下的桌面"文件夾下新建一個文件的話，你會發(fā)現(xiàn)所有用戶在登陸時的桌面上都有這個文件，所以這個文件夾里的配置是對這臺計算機的每個用戶均起作用的。

18、當(dāng)網(wǎng)絡(luò)變成域構(gòu)架后，所有的域用戶可以在任意一臺域的計算機登陸，當(dāng)你在一臺計算機上的用戶配 置文件修改后，你會發(fā)現(xiàn)到另一臺計算機上登陸時，所有的設(shè)置還是原來的，并沒有發(fā)生修改，這是 因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那臺登陸的計算機上。我們可以在 我的電腦"上擊 右鍵"，選 屬性"，點 高級"，然后在 用戶配置文件"里點設(shè)置"：用戶配置文件用戶配置丈件礙存負(fù)窗殺畳和苴池與愜的用戶帳戶有共的信 也 可也誡使.用的毎呂計宜機上創(chuàng)立孑同的配置文杵，或選 走一個漫游配薈文件用在凰電用的毎臺i+篦機上.DEIW

19、訓(xùn)名稱大小&91 KBWOr=G3EKB1ESTKPAdmi ni strat葉1. I.TEETXPG鹽的1邸TESTUPIS63EKB更改類型遼卅癮I豈假設(shè)屈d妾創(chuàng)耀一亍新的用尸帳尸，花揑帶価扳中打丑用尸帳尸請注意 類型里用紅框標(biāo)出的局部，全部是本地，這就說明用戶配置文件保存在本地，那么如何才能讓用戶的配置文件隨著走，也就是不管用戶在哪臺計算機上登陸都能保持用戶配置文件一致 呢?為了解決這個問題，就要用到漫游用戶配置文件，原理就是把用戶配置文件保存在一個網(wǎng)絡(luò)的公共位置，當(dāng)用戶在計算機上登陸里，會從網(wǎng)絡(luò)公共位置把用戶配置文件下載到本地并加以應(yīng)用，然后當(dāng) 用戶注銷時，會把本地的用戶配置

20、文件同步到網(wǎng)絡(luò)公共位置，以保證公共位置用戶配置文件的有效性,以便下一次使用。那么如何來實現(xiàn)這個功能呢？現(xiàn)在就來實踐一下：首先，要在一個網(wǎng)絡(luò)的公共位置開設(shè)一個共享文件夾，用來存放用戶配置文件，在個實驗里，就 在域控制器上開設(shè)一個為 share的共享文件夾，并開放權(quán)限：-Ini x|l£jn然后，點擊 開始-設(shè)置-控制面板-管理工具"，雙擊 “ AD用戶和計算機"，并選中相應(yīng)的用戶，這 里以“swg為例：Active Directory用戶和計尊機動立件按作® 查著窗口® 幫助* |也畫|船亀| X皆圉喝|矗|也注石b 逍務(wù)Biretoi-y用尸和

21、計覧機E -U俁存的吏詢F tjfl d吉mo, crcm+ _| Builtin+Ccffipn. er sg Dma-iiTL Controllers 窮 ForsignSscuri tyFrixicipalUa«E 22個對鄭名稱rw型UsersDomain Admins ODonain Com. Comiiik Con. ©JDw 豈ilk >JuS tsDom ain User strprisa,. Group Foli. (GiieE*. HelpServi c. gjllEJAPG C LUSH_TESTaO3 C ItfftH_TEST2003 拓 R

22、AS and Ik . 空亡h旳生Adni ns fsupranTe.平安鮑-全局 蚩全蛆-全局 平安鉅-金局 妄堂鮑-全局 平安爼-全局 平安蛆-全局 量全組-全局 用尸平安蛆-衣 用戶用戶平安鮑肩本 長全蛆-全局 用戶rw指定的域管理員參加剽域中的斯有工作一域中所有域控儒!J器域的所有來賓所有域用戶企業(yè)的指定殺軌管理員 建于組中的成員可譏隆 虞釆辰訪同計宜機或訪. 儒助和支持中心爼IIS工作進(jìn)程齟匿名訪可Internet信.，. 用于啟動講程外應(yīng)用程 過個組中的服瞬黔可虹 架構(gòu)的扌旨走累統(tǒng)管理員 迄是一牛幫肋和支持服1121netCli eats 平安蛆-本 忒組的成員可也訪冏此. 用尸在

23、“ swg上雙擊，然后選配置文件'，在 用戶配置文件-配置文件路徑'里輸入:192.168.5.1share%username%, “ 192.168.5.1 是域控制器的 IP 地址，如以下圖所示：然后點確定，接下去就到客戶端去，用“swg登陸一下，看看會發(fā)生什么變化。如上圖所示，DEMO'swg的狀態(tài)由剛剛的 本地"變成了 漫游"，此時注銷一下用戶，那么就會 自動的將該用戶的本地用戶配置文件同步到網(wǎng)絡(luò)公共位置，如果再用“swg到另外的域計算機上去登陸的話，會發(fā)現(xiàn)所有的用戶配置文件和這臺計算機上是一樣的。那么效勞器上發(fā)生了些什么變化呢C 1 sha

24、re血2SJ立悴褊強迦吏看妁收謡A工具幫貼0后退亍捷索立件夾地址 ©) ,| C. sharsT1名醐坯11修改醐文件夾2005-10-20hl±J|i個舸0寧節(jié)麗的電腦7如上圖所示，效勞器的“share文件夾里會自動創(chuàng)立一個和用戶名一樣的“swg文件夾，默認(rèn)情況下這個文件夾只允許對應(yīng)的用戶翻開：文件吧編輯查看辺收藏如工具幫助a0肩退Q 苗搜索文件輿tnu*左件和文幷賣任務(wù)地址1' o We er ver share Vswg轉(zhuǎn)到其它位置裁的丈檔 我的電胞 網(wǎng)上鄰居詳細(xì)肓息LMTlflCookisPrintH&odEWg的文檔收矗與町 USEEDAT文件76

25、6 KUApplicatian DtaMgS&ndT*裁暈近的文普ntuser配匡51 -1 KEJHUSER. DAT文本文襠1 KEr&mpl4t&s畫面很熟悉吧？目前很多公司的IT Pro都有共同的感慨，就是用戶喜歡把自己的桌面什么的搞得亂七八糟，雖然通過 組策略可以限制掉一部份，但總覺得不是很完善，在這里，向大家推薦使用強制用戶配置文件，用戶 可以對自己個人配置文件任意修改，但是一旦注銷后，這些修改將不會被保存，這樣用戶下次登陸里,用戶的配置文件還是保持和原來一樣，那么如何實現(xiàn)這個功能呢？其實只要將用戶配置文件夾下的“ Ntuser.dat改成“ Ntuser.

26、ma'h就可以了，來看一下修改正程：首先，在顯示隱藏文件和文件的擴展名，可以在工具-文件夾選項-查看里進(jìn)展修改：O喘就文件和文件夾0不顯示隱嚴(yán)的文件和丈祥與文井夾選項常規(guī)文絆察型脫機丈件文件夾視區(qū)曲詈韻轄隸鎳舉呷重置所育文件真迅高級設(shè)逬-顯示靠統(tǒng)文件夾的內(nèi)容隱逾竟倔護的噪作系統(tǒng)文件鱷薦®顯示所育文件和文件夾阻藏丈件類型的擴簾名回用聚色顯示加密或壓縮的譏茂左件匚在標(biāo)題欄顯示兗整臨徑I. J在單址的遴程中樸開文件夾窗口在蜀錄吋復(fù)原上一丁立件夾窗口0在地址欄中顯示完整路徑復(fù)原為默認(rèn)值確定取消:'A點確定'后，就可以在看到那個“Ntuser.dat"文件了，但此時會有一個問題，如果去修改C:Documents a