AD域控制服务器教程.docx
《AD域控制服务器教程.docx》由会员分享,可在线阅读,更多相关《AD域控制服务器教程.docx(54页珍藏版)》请在冰豆网上搜索。
AD域控制服务器教程
AD域控制服务器教程
把一台成员服务器提升为域控制器
(一)
目前很多公司的网络中的PC数量均超过10台:
按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服务器提升为域控?
:
服务器采用Windows2003Server为例,客户端以XP为例(专业版,home版的不支持)。
域控制器名字:
server
IP:
192。
168。
88。
119
子网掩码:
255。
255。
255。
0
网关:
192。
168。
88。
159(当然,这些可以根据具体需要设置)
DNS:
192。
168。
88。
119(因为我要把这台机器配置成DNS服务器,升级成DC以后首选DNS变成127。
0。
0。
1不用怕这是正常的
由于WindowsServer2003在默认的安装过程中DNS是不被安装的,所以我们需要手动去添加,添加方法如下:
“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:
向下拖动右边的滚动条,找到“网络服务”,选中:
默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。
在整个安装过程中请保证WindowsServer2003安装光盘位于光驱中,否则会出现找不到文件的提示,那就需要手动定位了。
安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以看到“ActiveDirectory安装向导”直接下一步就可以了`
这里是一个兼容性的要求,Windows95及NT4SP3以前的版本无法登陆运行到WindowsServer2003的域控制器,我建议大家尽量采用Windows2000及以上的操作系统来做为客户端。
然后点击“下一步”:
在这里由于这是第一台域控制器,所以选择第一项:
“新域的域控制器”,然后点“下一步”:
既然是第一台域控,那么当然也是选择“在新林中的域”:
在这里我们要指定一个域名,我在这里指定的是,
这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是采用默认的好,省得以后麻烦。
在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,建议采用默认。
这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:
第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装了DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:
“在这台计算机上安装并配置DNS,并将这台DNS服务器设为这台计算机的首选DNS服务器”。
“这是一个权限的选择项,在这里,我选择第二项:
“只与Windows2000或Window2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有Windows2000以前的操作系统存在”(可根据需要)
这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。
这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误的话,那么点“下一步”就正式开安装了:
几分钟后,安装完成,有时可能要久一点`特别是DNS服务时可能会慢点`给点耐心``
点完成
点“立即重新启动”。
然后来看一下安装了AD后和没有安装的时候有些什么区别,首先第一感觉就是关机和开机的速度明显变慢了,再看一下登陆界面:
哈哈`是不是不一样了`?
多出了一个“登陆到”的选择框,进入系统后,右键点击“我的电脑”选“属性”,点“计算机”
哈哈`是不是好简单啊``这样就把普通一台2003Server升级成DC(主域控制器啦)
不过后面的配置还多着呢`
建议升级之前把补丁打好`最好打SP2的补丁``如果你的2003是盗版的话有可能会打不进补丁`
不怕`现在的“高人”多的是`只要导入这个注册表文件就可以导入啦`
aa.rar
是一个打包WinRAR文件``
前面讲了把2003Server提升成DC(主域控制器)接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是WindowsXP专业版,需要大家注意的是WindowsXP的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了哟,我们先来设置一下这台XP的网络:
计算机名:
TestXP
IP:
192.168.88.100
网关:
192。
168。
88。
159
子网掩码:
255.255.225.0
DNS服务器:
192.168.5.119(这里要特别注意要把客户端的首选DNS指向DC的IP地址,否则加入DC时会慢到你晕`
又或者说勉强加进去了`但是登陆也是慢到晕`而且问题会多多)
设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。
在这里把“隶属于”改成域,并输入:
“”,并点确定,这是会出现如下画面:
输入在域控上建的那个“swg”的帐号,点确定:
出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。
来看一下登陆画面有没有什么不一样:
看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域“DEMO”,这样就可以用域用户进行登陆了。
进入系统后,在“我的电脑”上击右键,选“属性”,点“计算机名”:
看到用黑框标出来的地方和没有加入到域的时候的区别的吧?
活动目录之用户配置文件
什么是用户配置文件?
根据微软的官方解释:
用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合,它包括所有用户专用的配置设置。
用户配置文件存在于系统的什么位置呢?
那么用户配置文件包括哪些内容呢?
大家看一副截图:
用户配置文件的保存位置在:
系统盘(一般是C盘)下的“DocumentsandSettings”文件夹下,有一个和你的登陆用户名相同的文件夹,该用户配置文件就保存在这里,顺便提示一下,如果本机和域上有一个同名用户,并且都登陆过的话,那么就会出现在同名文件夹后面拖后缀的情况,举个例子:
比如在一个域()里面有一台计算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,并且都登陆过这台计算机,那么会发生如下情况:
本地帐号先登陆:
那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为swg.demo。
域帐号先登陆:
那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为swg.testxp。
通过上面的截图,我们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。
另外需要说明的是在“DocumentsandSettings”文件夹下有一个名为“AllUsers”的文件夹,如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话,你会发现所有用户在登陆时的桌面上都有这个文件,所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。
当网络变成域构架后,所有的域用户可以在任意一台域内的计算机登陆,当你在一台计算机上的用户配置文件修改后,你会发现到另一台计算机上登陆时,所有的设置还是原来的,并没有发生修改,这是因为用户的配置文件是保存在本地的,不管是域用户还是本地用户,都是保存在那台登陆的计算机上。
我们可以在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:
请注意“类型”里用红框标出的部分,全部是“本地”,这就说明用户配置文件保存在本地,那么如何才能让用户的配置文件随着帐号走,也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢?
为了解决这个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保存在一个网络的公共位置,当用户在计算机上登陆里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次使用。
那么如何来实现这个功能呢?
现在就来实践一下:
首先,要在一个网络的公共位置开设一个共享文件夹,用来存放用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限
然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和计算机”,并选中相应的用户,这里以“swg”帐号为例:
在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输入:
\\192.168.5.1\share\%username%,“192.168.5.1”是域控制器的IP地址,如下图所示:
然后点确定,接下去就到客户端去,用“swg”帐号登陆一下,看看会发生什么变化。
如上图所示,DEMO\swg的状态由刚刚的“本地”变成了“漫游”,此时注销一下用户,那么就会自动的将该用户的本地用户配置文件同步到网络公共位置,如果再用“swg”到另外的域内计算机上去登陆的话,会发现所有的用户配置文件和这台计算机上是一样的。
那么服务器上发生了些什么变化呢?
如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默认情况下这个文件夹只允许对应的用户打开:
画面很熟悉吧?
目前很多公司的ITPro都有共同的感叹,就是用户喜欢把自己的桌面什么的搞得乱七八糟,虽然通过组策略可以限制掉一部份,但总觉得不是很完善,在这里,向大家推荐使用强制用户配置文件,用户可以对自己个人配置文件任意修改,但是一旦注销后,这些修改将不会被保存,这样用户下次登陆里,用户的配置文件还是保持和原来一样,那么如何实现这个功能呢?
其实只要将用户配置文件夹下的“Ntuser.dat”改成“Ntuser.man”就可以了,来看一下修改过程:
首先,在显示隐藏文件和已知文件的扩展名,可以在“工具-文件夹选项-查看”里进行修改:
点“确定”后,就可以在看到那个“Ntuser.dat”文件了,但此时会有一个问题,如果去修改C:
\DocumentsandSettings\swg下的“Ntuser.dat”,会发现根本没有办法修改这个文件,因为文件在使用中,无法修改;如果去修改网络公共位置的“Ntuser.dat”,也就是\\192.168.5.1\share\swg下的“Ntuser.dat”,修改当然可以修改,但是由于在“swg”用户注销的时候,本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉,也就是等于没有修改。
很多人都想直接在服务器上更改“swg”文件夹的所有者,然后给管理员帐号添加权限,这样就可以直接在服务器上把“Ntuser.dat”改掉,但本人实践过几次,都发现这样的操作会引起一些权限无法继承,而导致出错的情况,所以不建议大家使用,这里推荐一种方法:
先把“swg”帐号注销掉,然后用另外一个帐号登陆,比如管理员,当然,如果在登陆成功后直接去访问\\192.168..5.1\share\swg以试图修改的话,那么你将会感到失望,因为还是拒绝访问的,那么如何访问并修改呢,可以这样操作,“开始-运行-cmd”然后回车,这样就启动了命令行,在命令行下输入:
netuse\\192.168.5.1password/user:
swg,显示“命令成功完成”,这样就利用“swg”和服务器建立一个连接,此时就可以\\192.168.5.1\share\swg,里进行修改了, 然后再注销管理员帐号,用“swg”登陆,看看有没有成功:
看到了吧,类型由“漫游”变成了“强制”,现在可以在桌面这些地方进行任意的修改,你会发现注销再登陆,又恢复到了原样。
这种设置在多人使用同一个帐号的情况下非常有用。
最后再请大家注意两个问题:
1、在配置强制用户配置文件时,当用其它用户登陆修改时,请保证被修改的用户处于注销状态,为什么?
大家不妨自己想一想!
2、当使用漫游用户配置文件时,请不要在桌面等地方存放一些大型的程序或文件,因为用户在登陆和注销过程中会下载和上传配置文件,如果文件过大,会影响登陆和注销的速度。
win2003:
简化Windows2003域控制器密码
笔者最近将公司的Windows2003服务器升级到域控制器后,遇到了一个问题,公司领导不喜欢在每次进行登录时,输入复杂的密码(既有大写字母,还有小写字母,同时还要输入数字)。
笔者在为他们创建账户并设置简单密码时,提示无法设置密码。
笔者本以为只要点击“开始→运行”,在“运行”对话框中键入“gpedit.msc”进入“组策略编辑器”就能进行修改,没想到在“组策略编辑器”中根本不能修改。
在经过多次尝试后,笔者找到了解决此问题的方法,依次点击“开始→设置→控制面板→管理工具→域安全策略”,进入“默认域安全设置”后,点击“Windows设置→安全设置→密码策略”,双击右侧窗口中的“密码必须符合复杂性要求”项,会弹出一个窗口,选中“已禁用”选项并点击“确定”后,重新启动电脑即可。
同时密码长度也是在此设置。
组策略
一、什么是组策略?
组策略有什么用?
组策略是将系统重要的配置功能汇集成各种配置模块,供管理员直接使用,从而达到方便管理计算机的目的。
简单说,组策略就是修改注册表中的配置。
对各种对象中的设置进行管理和配置,比手工修改注册表方便、灵活,功能也更加强大。
二、Windowsxp组策略控制台
在“开始--运行”中,输入gpedit.msc并确定,即可运行程序。
1、打开Microsoft管理控制台(开始-运行,输入MMC,运行控制台程序。
)
2、在“文件”菜单上,单击“添加/删除管理单元”。
3、在“独立”选项卡中,单击“添加”。
4、在“可用的独立管理单元”对话框中,单击“组策略”,然后单击“添加”。
5、在“选择组策略对象”对话框中,单击“本地计算机”编辑本地计算机对象,或单击“浏览”查找所需的组策略对象。
6、单击“完成”、“关闭”,然后点“确定”。
组策略管理单元即打开要编辑的组策略对象。
组策略应用实例
一、“桌面”设置:
位置“组策略控制台--用户配置--管理模板”。
二、轻松实现windows高级功能
1、设置并锁定windowsmediaplayer外观。
打开“组策略控制台--用户配置--管理模板--windows组件--windowsmediaplayer--用户界面中的设置并锁定外观”启用此策略台。
2、禁止windowsmediaplayer播放时运行屏保。
打开“组策略控制台--用户配置--管理模板--windows组件--windowsmediaplayer--播放中的允许运行屏幕保护程序”并将期设置为“已禁用”状态。
3、优化配置windowsmediaplayer网络缓冲。
打开“组策略控制台--用户配置--管理模板--windows组件--windowsmediaplayer--网络中的配置网络缓冲”并设置为启用状态。
在出现的缓冲时间(秒数)配置选项中,根据网络的带宽情况进行自定义(最多60秒)。
(提示:
如果此策略已启用,windowsmediaplayer“性能”选项卡上的缓存选项将不能再配。
)
4、屏蔽使用所有windowsupdate功能的访问。
打开“组策略控制台--用户配置--管理模板--windows组件--windowsupdate”中的“删除使用所有windowsupdate功能的访问”组策略并启用上策略。
5、在windowsxp/2003中实现远程关机。
在windowsxp/2003中,用“shutdown”实现定时远程关机。
该命令的语法格式如下:
shutdown[-i│-l│-s│-r│-a][-f][-m\\computerName]][-txx][-c"comment"][-d[p]:
xx:
yy]
该命令的一些基本用法:
点“开始-运行”,在“打开”中输入以下命令:
1)注销本机用户。
shutdown-1只对本机用户。
2)-m\\computerName远程关机/重启/放弃
3)关闭本地计算机。
shutdown-s
4)重启本地计算机。
shutdown-r
5)定时关机。
shutdown-s-t30
6)中止计算机的关闭。
用shutdown-a
三、用组策略提升系统性能。
1、让windows的上网速度提升20%(windowsxp/2003)。
默认情况下,windows网络连接数据包高度程序将系统限制在80%带宽之内,可以用组策略设置来代替默认值,中网速率提高20%。
打开“组策略控制台--用户配置--管理模板--网络中的“Qos数据包高度程序”并启用此策略,然后使用“带宽限制”将它设置为0%却可,然后按确定奶出,就可以使用另外20%的带宽了。
2、关闭缩略图的缓存(windowsxp/2003)。
windowsxp/2003系统具有缩略图视图功能,为了加快那些被频繁浏览的缩略图显示速度,系统将这些被除数显示过的图片进行缓存,以便下次打开时直接读取缓存中的信息,从而达到快速显示目的。
但如不不希望系统缓冲的话(如只浏览一次的图片),则可利用组策略关闭缩略图缓存的功能,这样和一次浏览速度反而会大大加快(因为不进行缓存处理)。
打开“组策略控制台--用户配置--管理模板--windows组件--windows资源管理器”中的“关闭缩略图的缓存”并启用此策略。
3、屏蔽系统自带的CD记录功能(windowsxp/2003)。
windowsxp/2003系统自带CD记录功能,如果有CD记录机接在计算机上,windows资源管理器允许你制作并修改诃重写式CD,但会影响系统性能和资源管理器的执行速度。
回此可利用组策略来屏蔽此功能(大部分用户都使用专用的CD记录软件)。
打开“组策略控制台--用户配置--管理模板--网络”中的“删除CD记录功能”并启用组策略。
4、关闭系统还原功能(windowsxp/2003)。
系统还原是windowsxp/2003中集成的强大功能,它在系统运行的同时,备份那些被更改的文件和数据,如果出现问题,系统还原使用户能够在不丢失个人数据文件的情况下,将其计算机还原到以前的状态。
默认情况下,系统还原处于打开状态。
但为这一功能付出的代价也是相当大的。
系统性能会明显下降,磁盘空间也会被占用很多。
对于配置不高的计算机来说,强烈建议关闭此功能。
打开“组策略控制台--计算机配置--管理模板--系统--系统系统还原”中的“关闭系统还原”并启用此策略。
启用此设置后即可关闭系统还原功能,并且不能访问“系统还原向导”和“配置界面”。
5、禁止windowsmessenger自动运行(windowsxp/2003)。
在windows系统中集成的优秀应用软件越来越多,但这此系统内置的软件都没有卸载选项,比如windowsxp自带的windowsmessenger,不但卸载不方便且还随系统一起自动运行。
对于不上网的计算机用户或者根本就不用windowsmessenger的用记,当然要屏蔽此软件的自动运行功能。
打开“组策略控制台--计算机配置--管理模板--windows组件--windowsmessenger”中的“不允许运行windowsmessenger”并启用此策略。
提示:
这个设置出现在“计算机配置”和“用户配置”文件夹中。
如果两个设置都配置,前者设置优先。
用组策略打造系统铜墙铁壁
1、隐藏“我的电脑”中指定的驱动器(windowsxp/2003)。
打开“组策略控制台--用户配置--管理模板--windows组件--windows资源管理器”中的“隐藏‘我的电脑’访问驱动器”并启用此策略。
2、防止从“我的电脑”访问驱动器(windowsxp/2003)。
打开“组策略控制台--用户配置--管理模板--windows组件--windows资源管理器”中的“防止从‘我的电脑’访问驱动器”并启用此策略。
3、禁止使用命令提示符。
4、禁止更改显示属性。
5、禁用注册表编辑器。
6、彻底禁止访问“控制面板”。
7、禁止建立新的拨号连接。
8、禁用“添加/删除程序”。
9、限制使用应用程序。
筹帷幄之中,决胜千里之外。
这大概就是用兵的最高境界了吧!
作为一个生于和平年代的网络管理人员,这辈子带兵是没戏了。
不过在域环境的帮助下,这个决胜千里的最高境界努力一下倒是可以体会体会的。
所借助的神兵利器就是——组策略。
实际上组策略的设置工具在我们常用的XP系统上一直存在,通过在运行栏中输入gpedit.msc就可以启动本地计算机的组策略编辑器。
截图如下:
马马虎虎的讲我们可以把组策略编辑器看作是微软提供的一个图形化的注册表编辑器,所见即所得一直都是微软的看家本领啊。
有了域环境之后,通过使用相关管理工具在域控制器上设置组策略就可以实现对所有加入域中的用户和计算机的管理与控制。
在实际使用中,我感觉这种管理与控制几乎覆盖了使用中的方方面面,反正现在我只要在域控制器上动动手指头,就可以让全校的网络环境产生天翻地覆的变化——比如让所有人都无法使用计算机。
理论上这是完全可以实现的,有兴趣的可以在看完本文后自己实践一下(后果自负哈)。
闲话少说,书归正传。
按前文所讲我们已经具备了使用组策略统一管控用户和计算机的域环境。
现在在域控制器上打开组策略编辑器,注意这里不能使用gpedit.msc(那是编辑本机策略的),而要打开“开始——程序——管理工具——ActiveDirectory用户和计算机”。
截图如下:
在打开的窗口中选择你的域名,并在其上右击选择属性,然后在弹出的属性对话框中选择组策略。
现在你就会看到默认域策略——DefaultDomainPolicy,截图如下:
单击编辑按钮就可以打开组策略编辑器。
更改其中的选项就会对所有加入域中的用户和计算机产生影响。
这是因为计算机启动以及用户登录时都会查询域控制器并使用这里的组策略设置。
不过建议大家一般不要改动默认域策略——DefaultDomainPolicy,这样便于我们随时恢复到系统默认的设置。
呵呵,留条出迷宫的路,是所有操作前的必修课。
默认的不让动,那我们怎么编辑组策略呢?
答案就是通过组织单位上次我们在建立用户和计算机时就已经新建了两个组织单位——全部用户和全部计算机,注意组织单位将是一个我们经常使用的划分方式,组策略可以按层次模式很好的在其上运行,这样也便于对今后一定会日趋复杂的组策略进行有效的管理。
注意这里我提到了层次模式,组策略是可以按层次逐级继承的。
这不但可
升级会员 