AD域+ISA實現(xiàn)企業(yè)管理策略超詳細(xì)(圖文教程)

1、OK,今天沒事做，工作還是一塌糊涂，懶的去應(yīng)聘了，難道我只能呆在網(wǎng)吧么？天啊。廢話不多說，今天教大家如何把客戶機與ad服務(wù)器連接起來，還有配置客戶機的一些操作，仔細(xì)看吧!在我的上一篇文章中，已經(jīng)把一臺名為Server的成員服務(wù)器提升為了域控制器，那我們現(xiàn)在來看一下如何把下面的工作站加入到域。由于從網(wǎng)絡(luò)安全性考慮，盡量少的使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行“dsa.msc”，出現(xiàn)“AD用戶和計算機”管理控制臺：先來新建一個用戶，展開“”，在“Users”上擊右鍵，點“新建”-“用戶孕山石“nir*trJ9PWHU*1jb咄麗緲電播悻対譽看血盲口抽丹助如口片

2、i|出匹邀x-V4S.Wd=lv4Ihz啊tF用尸和計算機4傑存宓洞tJmio.cmi：_BaiLtin：+；_:*謝DmairCantrailers+廠BwimJeeuri忡Phrnugal哲曲兢制QI.亜?wù)襠).V1TE20個対萼祈連僵刷希（U隊出礙.CR品inisirUwgCwtFlltLi.竊DBShditoillfJDTMirpiatfcf.野AJasIkoaiiLiinCm.fljiroaiidinCoil.imbn-w計覽機粗TntOriTFffluUSA4髓列副gHW陽尸黑fii-用戸安金辺-玉安全粗-.安全組-全局；玉嗤粗-全島siia-金扁安主組-全周挙鉗-全局-ffi金組

3、-金簡主粗-主廚P金組-君全爼-衣戶-4-11SebeniAdains安金組-全局JVL_rirrW-iT*-sAE33Sr4!菅理計苴n（is）msp匕蟲的眈貢植丸許發(fā)右一朗3背邂騎組尤許咎耳瞬戶端撕.走的曄莒雀克加入薊域申的所市工tt.城中所韋減帥需域的嘟來宵斯戸i用戶如的K運磁言蹩員這個迢中的咸貫可以修.供乘軸潯計登機囂旳峯誦和吏昔中心趨m工非講糧紐匿名訪問lottrncl信用于啟卻i3程外應(yīng)用思這平洎印旳廉務(wù)蠱可劭袈枸的指定蔗折昔璇員ZOXX.ICOLJn-ifJiiH然后出現(xiàn)一個新建用戶的向?qū)В谶@里，我新建了一個名為“swg”的用戶，并且把密碼設(shè)為“永不過期”。這樣點“下一步”，直

4、到完成，就可以完成用戶的創(chuàng)建。然后在“”上點擊右鍵，先擇“委派控制”：就會出現(xiàn)一個“委派控制向?qū)А?點擊“下一步”:點擊中間的“添加”按鈕，并輸入剛剛創(chuàng)建的“swg”帳號:?X選擇對彖類型用戶、鉅或內(nèi)詈安全出侔對象糞型.1查找位置:|位置（L）-輸A對握若稱來選擇耶i例）：Isw/g|椅杳宮稱高殖（A）.:取消然后點“確定”，再點“下一步”:在上面的畫面中，暫時不需要讓該用戶去“管理組策略鏈接”，所以在這里，僅僅選擇“將計算機加入到域”，然后點“下一步”：最后是一個信息核對畫面，要是沒有什么問題的話，直接點“完成”就可以了。接下來轉(zhuǎn)到客戶端，看看怎么把XP進(jìn)來，在實驗中采用的客戶端操作系統(tǒng)是W

5、indowsXP專業(yè)版，需要大家注意的是WindowsXP的Home版由于針對的是家庭用戶，所以不能加入域，大家別弄錯了喲，我們先來設(shè)置一下這臺XP的網(wǎng)絡(luò)：計算機名:TestXPIP:子網(wǎng)掩碼:DNS服務(wù)器:，設(shè)置完網(wǎng)絡(luò)以后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”。在這里把隸屬于,改成域，并輸入:,并點確定，這是會出現(xiàn)如下畫面:輸入剛剛在域控上建的那個“swg”的帳號，點確定:出現(xiàn)上述畫面就表示成功加入了，然后點確定，點重啟就算0K了。來看一下登陸畫面有沒有什么不一樣，看到那個“登陸到”了吧，可以選擇域登陸還是本機登陸了，在這里選擇域“DEMO”，這樣就可以用域用戶進(jìn)行登陸了。進(jìn)入

6、系統(tǒng)后，在我的電腦”上擊右鍵，選“屬性”，點“計算機名”：MirrMotfCopynghtfe1985-2(101fferoMfi；Corpor-aticn1WindowsPrafessioral用尸名:密碼（if：登錄到X）:看到用黑框標(biāo)出來的地方和沒有加入到域的時候的區(qū)別的吧?當(dāng)把下面的客戶端加入到域后，如果域控制器處于關(guān)閉狀態(tài)或者死機的話，那么，會發(fā)現(xiàn)下面的客戶機無法登陸到域，所以再建立一臺域控制器，用來防止其中一臺出現(xiàn)意外損壞的情況是很有必要的。后來建立的那臺域控制器叫額外域控制器。來看看額外域控制器的建立過程吧：當(dāng)然網(wǎng)絡(luò)設(shè)置永遠(yuǎn)是在第一步的：計算機名:BserverIP:子網(wǎng)掩碼:D

7、NS:既然是提升為域控制器，那么DNS組件也是要添加的，添加方法和我的第一篇文章中所定的一樣，這里就不再重復(fù)了。添加完成后，同樣是點擊“開始”-“運行”-“dcpromo”，出現(xiàn)的向?qū)Ш筒僮飨到y(tǒng)兼容性同安裝第一臺域控時是一樣的，唯一要注意的是下面的那個畫面：安裝第一臺時選擇的是“新域的域控制器”，這里要選擇的是“現(xiàn)有域的額外域控制器”，然后點“下一步”：在這里，輸入域的管理員帳號的密碼，在“域”里填入相應(yīng)域的DNS全名或NetBios名，點“下一步”:在這里一定要填入現(xiàn)有域的DNS全名，然后再點“下一步”?；顒幽夸浿脩襞渲梦募P(guān)于域用戶的開設(shè)在前面的文章中已經(jīng)涉及過了，所以在這里開設(shè)用戶的方

8、法就不再重復(fù)了，本篇文章主要向大家介紹一下用戶配置文件。首先，什么是用戶配置文件?根據(jù)微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統(tǒng)加載所需環(huán)境的設(shè)置和文件和集合，它包括所有用戶專用的配置設(shè)置。用戶配置文件存在于系統(tǒng)的什么位置呢?那么用戶配置文件包括哪些內(nèi)容呢?來給大家看一副截圖：用戶配置文件的保存位置在:系統(tǒng)盤(一般是C盤)下的“DocumentsandSettings”文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，并且都登陸過的話，那么就會出現(xiàn)在同名文件夾后面拖后綴的情況，舉個例子:比如在一個域()里面有一臺計算

9、機(testxp)，本地有一個swg的帳號，域上也有一個swg的帳號，并且都登陸過這臺計算機，那么會發(fā)生如下情況：本地帳號先登陸:那么本地的swg的用戶配置文件夾為swg，而域用戶的用戶配置文件夾為swg.demo。域帳號先登陸:那么域用戶的用戶配置文件夾為swg，本地用戶的配置文件夾為swg.testxp。通過上面的截圖，我們可看出，用戶配置文件包括桌面設(shè)置、我的文檔、收藏夾、IE設(shè)置等一些個性化的配置。另外需要說明的是在“DocumentsandSettings”文件夾下有一個名為“AllUsers”的文件夾，如果你在這個文件夾下的“桌面”文件夾下新建一個文件的話，你會發(fā)現(xiàn)所有用戶在登陸時

10、的桌面上都有這個文件，所以這個文件夾里的配置是對這臺計算機的每個用戶均起作用的。當(dāng)網(wǎng)絡(luò)變成域構(gòu)架后，所有的域用戶可以在任意一臺域內(nèi)的計算機登陸，當(dāng)你在一臺計算機上的用戶配置文件修改后，你會發(fā)現(xiàn)到另一臺計算機上登陸時，所有的設(shè)置還是原來的，并沒有發(fā)生修改，這是因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那臺登陸的計算機上。我們可以在“我的電腦”上擊“右鍵”，選“屬性”，點“高級”，然后在“用戶配置文件”里點“設(shè)置”：用戶配置文普叵岡用戶配長文件保存童面謖置和苴他與您的見戶帙戶有并的信M可在您使用的每臺計革機上鉗建不同的配苣文件，或選涇一牛漫游配聲文件用在您侵用的毎臺計算

11、機上“儲存在本機上的配置左件(V:名稱大小姿型HEMmg11EM0e5TESTXPAdministratorTESnFVgwgTESUFVzs&35KB本地1.1E地891EB&35KBE地891EB羽礦更改類型復(fù)制到(Tj要創(chuàng)逹一個新的足戶帳戶在控制面板中打并用尸帳戶-取消請注意“類型”里用紅框標(biāo)出的部分，全部是“本地”，這就說明用戶配置文件保存在本地，那么如何才能讓用戶的配置文件隨著帳號走，也就是不管用戶在哪臺計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題，就要用到漫游用戶配置文件，原理就是把用戶配置文件保存在一個網(wǎng)絡(luò)的公共位置，當(dāng)用戶在計算機上登陸里，會從網(wǎng)絡(luò)公共位置把用戶配置

12、文件下載到本地并加以應(yīng)用，然后當(dāng)用戶注銷時，會把本地的用戶配置文件同步到網(wǎng)絡(luò)公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那么如何來實現(xiàn)這個功能呢?現(xiàn)在就來實踐一下:首先，要在一個網(wǎng)絡(luò)的公共位置開設(shè)一個共享文件夾，用來存放用戶配置文件，在個實驗里，就在域控制器上開設(shè)一個為share的共享文件夾，并開放權(quán)限：然后，點擊“開始-設(shè)置-控制面板-管理工具”，雙擊“AD用戶和計算機”，并選中相應(yīng)的用戶，這里以“swg”帳號為例：在“swg”帳號上雙擊，然后選“配置文件”，在“用戶配置文件-配置文件路徑”里輸入:share%username%,T”是域控制器的IP地址，如下圖所示:然后點

13、確定，接下去就到客戶端去，用“swg”帳號登陸一下，看看會發(fā)生什么變化。用戶配置文件復(fù)制到（X）取消名稱類型更改時間iBEMOVg.413ML2005-10-2ffTESTHFAdministratsr1.11MI本地本地2005-10-IETESnPViwg1.13ME本地本地：2005-10-2C1儲存在本機上的配置丈件疋）:更改裘型要創(chuàng)建一個新的用尸雑尸，在控制面板中打丑用尸帳戶-確定如上圖所示，DEMOswg的狀態(tài)由剛剛的“本地”變成了“漫游”，此時注銷一下用戶，那么就會自動的將該用戶的本地用戶配置文件同步到網(wǎng)絡(luò)公共位置，如果再用“swg”到另外的域內(nèi)計算機上去登陸的話，會發(fā)現(xiàn)所有的用

14、戶配置文件和這臺計算機上是一樣的。那么服務(wù)器上發(fā)生了些什么變化呢？如上圖所示，服務(wù)器的“share”文件夾里會自動創(chuàng)建一個和用戶名一樣的“swg”文件夾，默認(rèn)情況下這個文件夾只允許對應(yīng)的用戶打開。鬥岡畫面很熟悉吧？目前很多公司的ITPro都有共同的感嘆，就是用戶喜歡把自己的桌面什么的搞得亂七八糟,雖然通過組策略可以限制掉一部份，但總覺得不是很完善，在這里，向大家推薦使用強制用戶配置文件，用戶可以對自己個人配置文件任意修改，但是一旦注銷后，這些修改將不會被保存，這樣用戶下次登陸里,用戶的配置文件還是保持和原來一樣，那么如何實現(xiàn)這個功能呢?其實只要將用戶配置文件夾下的“Ntuser.dat”改成“

15、Ntuser.man”就可以了，來看一下修改過程：首先，在顯示隱藏文件和已知文件的擴展名，可以在“工具-文件夾選項-查看”里進(jìn)行修改:文杵夾選頂常規(guī)查看文件類型II脫機丈件I器瞬鼠讒曹常觀疑規(guī)團例如詳細(xì)文件夾視闕重置所有文f牛夾遲）Illf應(yīng)用到所育選電黠顯示系統(tǒng)文件夾的內(nèi)容隠疆受保護(hù)的操作系統(tǒng)文件的薦）:巴隠疆文件和文件北:;朮顯禾隠彌的文件和文件夾顯示所有文件扣文件夾隠疆已知文件類型的擴展名0用霽色顯示加密或壓縮的近昨文件在標(biāo)題欄顯不完整路徑在單獨的進(jìn)程中打開文件夾窗口1在登錄時還原上一亍文件夾窗口0在地址欄中顯示完整躋徑-還晾盅戢認(rèn)值點“確定”后，就可以在看到那個“Ntuser.dat”

16、文件了，但此時會有一個問題，如果去修改C:DocumentsandSettingsswg下的“Ntuser.dat”，會發(fā)現(xiàn)根本沒有辦法修改這個文件，因為文件在使用中，無法修改;如果去修改網(wǎng)絡(luò)公共位置的“Ntuser.dat”，也就是shareswg下的“Ntuser.dat”，修改當(dāng)然可以修改，但是由于在“swg”用戶注銷的時候，本地的“Ntuser.dat”會把網(wǎng)絡(luò)公共位置的“Ntuser.man”覆蓋掉，也就是等于沒有修改。很多人都想直接在服務(wù)器上更改“swg”文件夾的所有者，然后給管理員帳號添加權(quán)限，這樣就可以直接在服務(wù)器上把“Ntuser.dat”改掉，但本人實踐過幾次，都發(fā)現(xiàn)這樣的

17、操作會引起一些權(quán)限無法繼承，而導(dǎo)致出錯的情況，所以不建議大家使用，這里推薦一種方法：先把“swg”帳號注銷掉，然后用另外一個帳號登陸，比如管理員，當(dāng)然，如果在登陸成功后直接去訪問192.168.5.1shareswg以試圖修改的話，那么你將會感到失望，因為還是拒絕訪問的，那么如何訪問并修改呢，可以這樣操作，“開始-運行-cmd”然后回車，這樣就啟動了命令行，在命令行下輸入:netusepassword/user:swg，顯示“命令成功完成”，這樣就利用“swg”和服務(wù)器建立一個連接，此時就可以shareswg，里進(jìn)行修改了，然后再注銷管理員帳號，用“swg”登陸，看看有沒有成功：用戸配置文件儲存在本機上的配査文件C):大小類型伏態(tài)更DEMOAdministrator&35EB本地2.iDEMOVswg：1.1.mginjirr匸iTESTaPIjVdniitlistr：=l+or1.1.本地本地2.TESTX