公司域管理建设18236.docx
(二)在我的上一篇文章中,已经把一台名为Server的成员服务器提升为了域控制器,那我们现在来看一下如何把下面的工作站加入到域.由于从网络安全性考虑,尽量少的.把一台成员服务器提升为域控制器把一台成员服务器提升为域控制器目前公司的的网络中中的PCC数量均均超过110台:按照微微软的说说法,一一般网络络中的PPC数目目低于110台,则则建议采采对等网网的工作作模式,而而如果超超过100台,则则建议采采用域的的管理模模式,因因为域可可以提供供一种集集中式的的管理,这这相比于于对等网网的分散散管理有有非常多多的好处处,那么么如何把把一台成成员服务务器提升升为域控控?我们们现在就就动手实实践一下下:所有的的成员服服务器均均采用微微软的WWinddowss Seerveer 220033,客户户端则采采用Wiindoows XP。首先,当当然是在在成员服服务器上上安装上上Winndowws SServver 20003,安安装成功功后进入入系统,我们要要做的第第一件事事就是给给这台成成员服务务器指定定一个固固定的IIP,在在这里指指定情况况如下:机器名名:SeerveerIP:1922.1668.55.1子网掩掩码:2255.2555.2555.00DNSS:1992.1168.5.11(因为为我们要把这这台机器器配置成成DNSS服务器器)由于WWinddowss Seerveer 220033在默认认的安装装过程中中DNSS是不被被安装的的,所以以我们需需要手动动去添加加,添加加方法如如下:“开开始设设置控控制面板板添加加删除程程序”,然然后再点点击“添添加/删删除Wiindoows组组件”,则则可以看看到如下下画面:向下搬搬运右边边的滚动动条,找找到“网网络服务务”,选选中:默认情情况下所所有的网网络服务务都会被被添加,可可以点击击下面的的“详细细信息”进进行自定定义安装装,由于于在这里里只需要要DNSS,所以以把其它它的全都都去掉了了,以后后需要的的时候再再安装:然后就就是点“确确定”,一一直点“下下一步”就就可以完完成整个个DNSS的安装装。在整整个安装装过程中中请保证证Winndowws SServver 20003安装装光盘位位于光驱驱中,否否则会出出现找不不到文件件的提示示,那就就需要手手动定位位了。安装完完DNSS以后,就就可以进进行提升升操作了了,先点点击“开开始运运行”,输输入“DDcprromoo”,然然后回车车就可以以看到“AActiive Dirrecttoryy安装向向导”在这里里直接点点击“下下一步”:这里是一一个兼容容性的要要求,WWinddowss 955及NTT 4 SP33以前的的版本无无法登陆陆运行到到Winndowws SServver 20003的域域控制器器,我建建议大家家尽量采采用Wiindoows 20000及以以上的操操作系统统来做为为客户端端。然后后点击“下下一步”:在这里里由于这这是第一一台域控控制器,所所以选择择第一项项:“新新域的域域控制器器”,然然后点“下下一步”:既然是是第一台台域控,那那么当然然也是选选择“在在新林中中的域”:在这里里我们要要指定一一个域名名,我在在这里指指定的是是demmo.ccom,这里是指定定NettBIOOS名,注注意千万万别和下下面的客客户端冲冲突,也也就是说说整个网网络里不不能再有有一台PPC的计计算机名名叫“ddemoo”,虽虽然这里里可以修修改,但但个人建建议还是是采用默默认的好好,省得得以后麻麻烦。在这里里要指定定AD数数据库和和日志的的存放位位置,如如果不是是C盘的的空间有有问题的的话,建建议采用用默认。这里是是指定SSYSVVOL文文件夹的的位置,还还是那句句话,没没有特殊殊情况,不不建议修修改:第一次部署署时总会会出现上上面那个个DNSS注册诊诊断出错错的画面面,主要要是因为为虽然安安装了DDNS,但但由于并并没有配配置它,网网络上还还没有可可用的DDNS服服务器,所所以才会会出现响响应超时时的现像像,所以以在这里里要选择择:“在在这台计计算机上上安装并并配置DDNS,并并将这台台DNSS服务器器设为这这台计算算机的首首选DNNS服务务器”。“这是是一个权权限的选选择项,在在这里,我我选择第第二项:“只与与Winndowws 220000或Winndoww 20003操操作系统统兼容的的权限”,因为为在我做做实验的的整个环环境里,并并没有WWinddowss 20000以以前的操操作系统统存在”这里是是一个重重点,还还原密码码,希望望大家设设置好以以后一定定要记住住这个密密码,千千万别忘忘记了,因因为在后后面的关关于活动动目录恢恢复的文文章上要要用到这这个密码码的。这是确确认画面面,请仔仔细检查查刚刚输输入的信信息是否否有误,尤尤其是域域名书写写是否正正确,因因为改域域名可不不是闹着着玩的,如如果有的的话可以以点上一一步进入入重输,如如果确认认无误的的话,那那么点“下下一步”就就正式开开安装了了:几分钟钟后,安安装完成成:点完成成:点“立立即重新新启动”。然后来来看一下下安装了了AD后后和没有有安装的的时候有有些什么么区别,首首先第一一感觉就就是关机机和开机机的速度度明显变变慢了,再再看一下下登陆界界面:多出了了一个“登登陆到”的的选择框框:进入系系统后,右右键点击击“我的的电脑”选选“属性性”,点点“计算算机”怎么样样?和安安装ADD以前不不一样吧吧,其它它的比如如没有本本地用户户了,在在管理工工具里多多出么多多图标什什么的,这这些将在在以后的的文章里里讲述,这这里就不不再详谈谈了。把一台成员员服务器器提升为为域控制制器(二二)我们已经把把一台名名为Seerveer的成成员服务务器提升升为了域域控制器器,那我我们现在在来看一一下如何何把下面面的工作作站加入入到域。由于从网络络安全性性考虑,尽尽量少的的使用域域管理员员帐号,所所以先在在域控制制器上建建立一个个委派帐帐号,登登陆到域域控制器器,运行行“dssa.mmsc”,出出现“AAD用户户和计算算机”管管理控制制台:先来新新建一个个用户,展展开“ddemoo.coom”,在在“Usserss”上击击右键,点点“新建建”-“用用户”:然后出出现一个个新建用用户的向向导,在在这里,我我新建了了一个名名为“sswg”的的用户,并并且把密密码设为为“永不不过期”。这样点点“下一一步”,直直到完成成,就可可以完成成用户的的创建。然然后在“ddemoo.coom”上上点击右右键,先先择“委委派控制制”:就会出出现一个个“委派派控制向向导”:点击“下下一步”:点击中间的的“添加加”按钮钮,并输输入刚刚刚创建的的“swwg”帐帐号:然后点点“确定定”:再点“下下一步”:在上面面的画面面中,暂暂时不需需要让该该用户去去“管理理组策略略链接”,所所以在这这里,仅仅仅选择择“将计计算机加加入到域域”,然然后点“下下一步”:最后是是一个信信息核对对画面,要要是没有有什么问问题的话话,直接接点“完完成”就就可以了了。接下来转到到客户端端,看看看怎么把把XP进进来,在在实验中中采用的的客户端端操作系系统是WWinddowss XPP专业版版,需要要大家注注意的是是Winndowws XXP 的的Homme版由由于针对对的是家家庭用户户,所以以不能加加入域,大大家别弄弄错了哟哟,我们们先来设设置一下下这台XXP的网网络:计算机机名:TTesttXPIP:1922.1668.55.5子网掩掩码:2255.2555.2225.00DNSS服务器器:1992.1168.5.11,设置完完网络以以后,在在“我的的电脑”上上击右键键,选“属属性”,点点“计算算机名”。在这里里把“隶隶属于”改改成域,并并输入:“m”,并并点确定定,这是是会出现现如下画画面:输入刚刚刚在域域控上建建的那个个“swwg”的的帐号,点点确定:出现上上述画面面就表示示成功加加入了,然然后点确确定,点点重启就就算OKK了。来来看一下下登陆画画面有没没有什么么不一样样:看到那那个“登登陆到”了了吧,可可以选择择域登陆陆还是本本机登陆陆了,在在这里选选择域“DDEMOO”,这这样就可可以用域域用户进进行登陆陆了。进进入系统统后,在在“我的的电脑”上上击右键键,选“属属性”,点点“计算算机名”:看到用黑黑框标出出来的地地方和没没有加入入到域的的时候的的区别的的吧?当把下下面的客客户端加加入到域域后,如如果域控控制器处处于关闭闭状态或或者死机机的话,那那么,会会发现下下面的客客户机无无法登陆陆到域,所所以再建建立一台台域控制制器,用用来防止止其中一一台出现现意外损损坏的情情况是很很有必要要的。后后来建立立的那台台域控制制器叫额额外域控控制器。来来看看额额外域控控制器的的建立过过程吧:当然网网络设置置永远是是在第一一步的:计算机机名:BBserrverrIP:1922.1668.55.2子网掩掩码:2255.2555.2555.00DNSS:1992.1168.5.11既然是是提升为为域控制制器,那那么DNNS组件件也是要要添加的的,添加加方法和和我的第第一篇文文章中所所定的一一样,这这里就不不再重复复了。添添加完成成后,同同样是点点击“开开始”-“运行行”-“ddcprromoo”:出现的的向导和和操作系系统兼容容性同安安装第一一台域控控时是一一样的,唯唯一要注注意的是是下面的的那个画画面:安装第第一台时时选择的的是“新新域的域域控制器器”,这这里要选选择的是是“现有有域的额额外域控控制器”,然然后点“下下一步”:在这里里,输入入域的管管理员帐帐号的密密码,在在“域”里里填入相相应域的的DNSS全名或或NettBioos名,点点“下一一步”:在这里一定定要填入入现有域域的DNNS全名名,然后后再点“下下一步”,接接下去的的操作和和安装第第一台域域控制器器时是一一样的,所所以就不不再写下下去了,直直到完成成就可以以了。活动目录之之用户配配置文件件关于域用户户的开设设在前面面的文章章中(如何把把一台成成员服务务器提升升为域控控制器(一)、(二)已经涉涉及过了了,所以以在这里里开设用用户的方方法就不不再重复复了,本本篇文章章主要向向大家介介绍一下下用户配配置文件件。首先,什什么是用用户配置置文件?根据微微软的官官方解释释:用户户配置文文件就是是在用户户登陆时时定义系系统加载载所需环环境的设设置和文文件和集集合,它它包括所所有用户户专用的的配置设设置。用用户配置置文件存存在于系系统的什什么位置置呢?那那么用户户配置文文件包括括哪些内内容呢?来给大大家看一一副截图图:用户配配置文件件的保存存位置在在:系统统盘(一一般是CC盘)下下的“DDocuumennts andd Seettiingss”文件件夹下,有有一个和和你的登登陆用户户名相同同的文件件夹,该该用户配配置文件件就保存存在这里里,顺便便提示一一下,如如果本机机和域上上有一个个同名用用户,并并且都登登陆过的的话,那那么就会会出现在在同名文文件夹后后面拖后后缀的情情况,举举个例子子:比如如在一个个域(ddemoo.coom)里里面有一一台计算算机(ttesttxp),本地地有一个个swgg的帐号号,域上上也有一一个swwg的帐帐号,并并且都登登陆过这这台计算算机,那那么会发发生如下下情况:本地帐帐号先登登陆:那那么本地地的swwg的用用户配置置文件夹夹为swwg,而而域用户户的用户户配置文文件夹为为swgg.deemo。域帐号号先登陆陆:那么么域用户户的用户户配置文文件夹为为swgg,本地地用户的的配置文文件夹为为swgg.teestxxp。通过上上面的截截图,我我们可看看出,用用户配置置文件包包括桌面面设置、我我的文档档、收藏藏夹、IIE设置置等一些些个性化化的配置置。另外外需要说说明的是是在“DDocuumennts andd Seettiingss”文件件夹下有有一个名名为“AAll Useers”的的文件夹夹,如果果你在这这个文件件夹下的的“桌面面”文件件夹下新新建一个个文件的的话,你你会发现现所有用用户在登登陆时的的桌面上上都有这这个文件件,所以以这个文文件夹里里的配置置是对这这台计算算机的每每个用户户均起作作用的。当网络变成成域构架架后,所所有的域域用户可可以在任任意一台台域内的的计算机机登陆,当当你在一一台计算算机上的的用户配配置文件件修改后后,你会会发现到到另一台台计算机机上登陆陆时,所所有的设设置还是是原来的的,并没没有发生生修改,这这是因为为用户的的配置文文件是保保存在本本地的,不不管是域域用户还还是本地地用户,都都是保存存在那台台登陆的的计算机机上。我我们可以以在“我我的电脑脑”上击击“右键键”,选选“属性性”,点点“高级级”,然然后在“用用户配置置文件”里里点“设设置”:请注意意“类型型”里用用红框标标出的部部分,全全部是“本本地”,这这就说明明用户配配置文件件保存在在本地,那那么如何何才能让让用户的的配置文文件随着着帐号走走,也就就是不管管用户在在哪台计计算机上上登陆都都能保持持用户配配置文件件一致呢呢?为了了解决这这个问题题,就要要用到漫漫游用户户配置文文件,原原理就是是把用户户配置文文件保存存在一个个网络的的公共位位置,当当用户在在计算机机上登陆陆里,会会从网络络公共位位置把用用户配置置文件下下载到本本地并加加以应用用,然后后当用户户注销时时,会把把本地的的用户配配置文件件同步到到网络公公共位置置,以保保证公共共位置用用户配置置文件的的有效性性,以便便下一次次使用。那那么如何何来实现现这个功功能呢?现在就就来实践践一下:首先,要要在一个个网络的的公共位位置开设设一个共共享文件件夹,用用来存放放用户配配置文件件,在个个实验里里,就在在域控制制器上开开设一个个为shharee的共享享文件夹夹,并开开放权限限:然后,点点击“开开始-设设置-控控制面板板-管理理工具”,双双击“AAD用户户和计算算机”,并并选中相相应的用用户,这这里以“sswg”帐帐号为例例:在“swgg”帐号号上双击击,然后后选“配配置文件件”,在在“用户户配置文文件-配配置文件件路径”里里输入:1192.1688.5.1ssharre%useernaame%,“1192.1688.5.1”是是域控制制器的IIP地址址,如下下图所示示:然后点点确定,接接下去就就到客户户端去,用用“swwg”帐帐号登陆陆一下,看看看会发发生什么么变化。如上图图所示,DDEMOOswwg的状状态由刚刚刚的“本本地”变变成了“漫漫游”,此此时注销销一下用用户,那那么就会会自动的的将该用用户的本本地用户户配置文文件同步步到网络络公共位位置,如如果再用用“swwg”到到另外的的域内计计算机上上去登陆陆的话,会会发现所所有的用用户配置置文件和和这台计计算机上上是一样样的。那那么服务务器上发发生了些些什么变变化呢?如上图图所示,服服务器的的“shharee”文件件夹里会会自动创创建一个个和用户户名一样样的“sswg”文文件夹,默默认情况况下这个个文件夹夹只允许许对应的的用户打打开:画面很很熟悉吧吧?目前很多公公司的IIT PPro都都有共同同的感叹叹,就是是用户喜喜欢把自自己的桌桌面什么么的搞得得乱七八八糟,虽虽然通过过组策略略可以限限制掉一一部份,但但总觉得得不是很很完善,在在这里,向向大家推推荐使用用强制用用户配置置文件,用用户可以以对自己己个人配配置文件件任意修修改,但但是一旦旦注销后后,这些些修改将将不会被被保存,这这样用户户下次登登陆里,用用户的配配置文件件还是保保持和原原来一样样,那么么如何实实现这个个功能呢呢?其实实只要将将用户配配置文件件夹下的的“Nttuseer.ddat”改改成“NNtusser.mann”就可可以了,来来看一下下修改过过程:首先,在在显示隐隐藏文件件和已知知文件的的扩展名名,可以以在“工工具-文文件夹选选项-查查看”里里进行修修改:点“确确定”后后,就可可以在看看到那个个“Nttuseer.ddat”文文件了,但但此时会会有一个个问题,如如果去修修改C:Doocummentts aand Setttinngsswgg下的“NNtusser.datt”,会会发现根根本没有有办法修修改这个个文件,因因为文件件在使用用中,无无法修改改;如果果去修改改网络公公共位置置的“NNtusser.datt”,也也就是1992.1168.5.11shhareeswwg下的的“Nttuseer.ddat”,修修改当然然可以修修改,但但是由于于在“sswg”用用户注销销的时候候,本地地的“NNtusser.datt”会把把网络公公共位置置的“NNtusser.mann”覆盖盖掉,也也就是等等于没有有修改。很很多人都都想直接接在服务务器上更更改 “sswg”文文件夹的的所有者者,然后后给管理理员帐号号添加权权限,这这样就可可以直接接在服务务器上把把“Nttuseer.ddat”改改掉,但但本人实实践过几几次,都都发现这这样的操操作会引引起一些些权限无无法继承承,而导导致出错错的情况况,所以以不建议议大家使使用,这这里推荐荐一种方方法:先把“sswg”帐帐号注销销掉,然然后用另另外一个个帐号登登陆,比比如管理理员,当当然,如如果在登登陆成功功后直接接去访问问1192.1688.55.1shaareswgg以试图图修改的的话,那那么你将将会感到到失望,因因为还是是拒绝访访问的,那那么如何何访问并并修改呢呢,可以以这样操操作,“开开始-运运行-ccmd”然然后回车车,这样样就启动动了命令令行,在在命令行行下输入入:neet uuse 1192.1688.5.1 ppasssworrd /useer:sswg,显显示“命命令成功功完成”,这这样就利利用“sswg”和和服务器器建立一一个连接接,此时时就可以以1192.1688.5.1ssharresswg,里里进行修修改了,然后再再注销管管理员帐帐号,用用“swwg”登登陆,看看看有没没有成功功:看到了了吧,类类型由“漫漫游”变变成了“强强制”,现现在可以以在桌面面这些地地方进行行任意的的修改,你你会发现现注销再再登陆,又又恢复到到了原样样。这种种设置在在多人使使用同一一个帐号号的情况况下非常常有用。最后再再请大家家注意两两个问题题:1、 在配置置强制用用户配置置文件时时,当用用其它用用户登陆陆修改时时,请保保证被修修改的用用户处于于注销状状态,为为什么?大家不不妨自己己想一想想!2、 当使用用漫游用用户配置置文件时时,请不不要在桌桌面等地地方存放放一些大大型的程程序或文文件,因因为用户户在登陆陆和注销销过程中中会下载载和上传传配置文文件,如如果文件件过大,会会影响登登陆和注注销的速速度。