把一台成员服务器变DC.docx
《把一台成员服务器变DC.docx》由会员分享,可在线阅读,更多相关《把一台成员服务器变DC.docx(34页珍藏版)》请在冰豆网上搜索。
![把一台成员服务器变DC.docx](https://file1.bdocx.com/fileroot1/2023-6/12/952390da-7733-4d6e-bd6e-82166a2dbf5a/952390da-7733-4d6e-bd6e-82166a2dbf5a1.gif)
把一台成员服务器变DC
把一台成员服务器提升为域控制器
(一)
目前很多公司的网络中的PC数量均超过10台:
依照微软的说法,一般网络中的PC数量低于10台,则建议建议采对等网的工作模式,而若是超过10台,则建议采用域的管理模式,因为域能够提供一种集中式的管理,这相较于对等网的分散管理有超级多的益处,那么如何把一台成员服务器提升为域控?
咱们此刻就动手实践一下:
本篇文章中所有的成员服务器均采用微软的WindowsServer2003,客户端则采用WindowsXP。
第一,固然是在成员服务器上安装上WindowsServer2003,安装成功后进入系统,
咱们要做的第一件事就是给这台成员服务器指定一个固定的IP,就是在本地连接上设置,在这里指定情形如下:
机械名:
KinconServer
IP:
子网掩码:
默许网关:
DNS:
因为我要把这台机械配置成DNS服务器)
由于WindowsServer2003在默许的安装进程中DNS是不被安装的,所以咱们需要手动去添加,添加方式如下:
“开始—设置—控制面板—添加删除程序”,然后再点击“添加/删除Windows组件”,则能够看到如下画面:
向下搬运右边的转动条,找到“网络服务”,选中:
默许情形下所有的网络服务都会被添加,能够点击下面的“详细信息”进行自概念安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再安装:
然后就是点“肯定”,一直点“下一步”就可以够完成整个DNS的安装。
在整个安装进程中请保证WindowsServer2003安装光盘位于光驱中或将安装光盘中的数据进行备份,不然会出现找不到文件的提示,那就需要手动定位了。
安装完DNS以后,就可以够进行DNS到DC提升操作了,先点击“开始—运行”,输入“Dcpromo”,然后回车就可以够看到“ActiveDirectory安装向导”
在这里直接点击“下一步”:
这里是一个兼容性的要求,Windows95及NT4SP3以前的版本无法登岸运行到WindowsServer2003的域控制器,我建议大家尽可能采用Windows2000及以上的操作系统来做为客户端。
然后点击“下一步”:
在这里由于这是第一台域控制器,所以选择第一项:
“新域的域控制器”,然后点“下一步”:
既然是第一台域控,那么固然也是选择“在新林中的域”:
在这里咱们要指定一个域名,我在这里指定的是,
在这里咱们要指定一个域名,我在这里指定的是
这里是指定NetBIOS名,注意万万别和下面的客户端冲突,也就是说整个网络里不能再有一台PC的运算机名叫“kincon”,虽然这里能够修改,但个人建议仍是采用默许的好,免得以后麻烦。
在这里要指定AD数据库和日记的寄存位置,若是不是C盘的空间有问题的话,建议采用默许。
这里是指定SYSVOL文件夹的位置,仍是那句话,没有特殊情形,不建议修改:
第一次部署时总会出现上面那个DNS注册诊断犯错的画面,主如果因为虽然安装了DNS,但由于并无配置它,网络上尚未可用的DNS服务器,所以才会出现响应超时的现像,所以在这里要选择:
“在这台运算机上安装并配置DNS,并将这台DNS服务器设为这台运算机的首选DNS服务器”。
“这是一个权限的选择项,在这里,我选择第二项:
“只与Windows2000或Window2003操作系统兼容的权限”,因为在我做实验的整个环境里,并无Windows2000以前的操作系统存在”
这里是一个重点,还原密码,希望大家设置好以后必然要记住那个密码,万万别忘记了,因为在后面的关于活动目录恢复的文章上要用到那个密码的。
这是确认画面,请仔细检查方才输入的信息是不是有误,尤其是域名书写是不是正确,因为改域名可不是闹着玩的,若是有的话能够点上一步进入重输,若是确认无误的话,那么点“下一步”就正式开安装了:
几分钟后,安装完成:
点完成:
点“当即从头启动”。
然后来看一下安装了AD后和没有安装的时候有些什么区别,第一第一感觉就是关机和开机的速度明显变慢了,再看一下登岸界面:
多出了一个“登岸到”的选择框:
进入系统后,右键点击“我的电脑”选“属性”,点“运算机”
怎么样?
和安装AD以前不一样吧,其它的比如没有本地用户了,在管理工具里多出么多图标什么的,这些将在以后的文章里讲述,这里就再也不详谈了。
把一台成员服务器提升为域控制器
(二)
在我的上一篇文章中,已经把一台名为Server的成员服务器提升为了域控制器,那咱们此刻来看一下如何把下面的工作站加入到域。
由于从网络安全性考虑,尽可能少的利用域管理员帐号,所以先在域控制器上成立一个委派帐号,登岸到域控制器,运行“”,出现“AD用户和运算机”管理控制台:
先来新建一个用户,展开“”,在“Users”上击右键,点“新建”-“用户”:
然后出现一个新建用户的向导,在这里,我新建了一个名为“gaojy”的用户,而且把密码设为“永不过时”。
如此点“下一步”,直到完成,就可以够完成用户的创建。
然后在“”上点击右键,先择“委派控制”:
给用户设置权限
就会出现一个“委派控制向导”:
点击“下一步”:
点击中间的“添加”按钮,并输入方才创建的“gaojy”帐号:
然后点“肯定”:
再点“下一步”:
在上面的画面中,暂时不需要让该用户去“管理组策略链接”,所以在这里,仅仅选择“将运算机加入到域”,然后点“下一步”:
最后是一个信息查对画面,如果没有什么问题的话,直接点“完成”就可以够了。
接下来转到客户端,看看怎么把XP进来,在实验中采用的客户端操作系统是WindowsXP专业版,需要大家注意的是WindowsXP的Home版由于针对的是家庭用户,所以不能加入域,大家别弄错了哟,咱们先来设置一下这台XP的网络:
运算机名:
IP:
子网掩码:
DNS服务器:
,
设置完网络以后,在“我的电脑”上击右键,选“属性”,点“运算机名”。
在这里把“隶属于”改成域,并输入:
“”,并点肯定,这是会出现如下画面:
输入方才在域控上建的那个“gaojy”的帐号,点肯定:
出现上述画面就表示成功加入了,然后点肯定,点重启就算OK了。
来看一下登岸画面有无什么不一样:
看到那个“登岸到”了吧,能够选择域登岸仍是本机登岸了,在这里选择域“DEMO”,如此就可以够用域用户进行登岸了。
进入系统后,在“我的电脑”上击右键,选“属性”,点“运算机名”:
看到用黑框标出来的地方和没有加入到域的时候的区别的吧?
当把下面的客户端加入到域后,若是域控制器处于关闭状态或死机的话,那么,会发觉下面的客户机无法登岸到域,所以再成立一台域控制器,用来避免其中一台出现意外损坏的情形是很有必要的。
后来成立的那台域控制器叫额外域控制器。
来看看额外域控制器的成立进程吧:
固然网络设置永久是在第一步的:
运算机名:
Bserver
IP:
子网掩码:
DNS:
既然是提升为域控制器,那么DNS组件也是要添加的,添加方式和我的第一篇文章中所定的一样,这里就再也不重复了。
添加完成后,一样是点击“开始”-“运行”-“dcpromo”:
出现的向导和操作系统兼容性同安装第一台域控时是一样的,唯一要注意的是下面的那个画面:
安装第一台时选择的是“新域的域控制器”,这里要选择的是“现有域的额外域控制器”,然后点“下一步”:
在这里,输入域的管理员帐号的密码,在“域”里填入相应域的DNS全名或NetBios名,点“下一步”:
在这里必然要填入现有域的DNS全名,然后再点“下一步”,接下去的操作和安装第一台域控制器时是一样的,所以就再也不写下去了,直到完成绩能够了。
至于在两台域控制器的域环境下,其中一台损坏,如何让另一台代替工作,我将在以后的文章一一详解。
若是大家在前面的配置中碰着什么问题,欢迎大家给我发来E-Mail,,我的E-Mail地址是。
若是本人的文章中有什么错误的地方,也请大家来信指正,谢谢!
对于解决若是域控制器处于关闭状态或死机,客户机无法登岸到域的问题,其实还能够如此解决,就是在客户机上成立一个本机的域帐户,如此就算域控制器关闭或死机了,客户机也能够登岸到域。
首先打开控制面板,点击用户帐户,会弹出一个用户帐户的窗口
点击添加
在弹出的添加新用户的窗口中,在用户名一栏中填写已经在域控上成立的帐户,如“swg”,域就填DEMO,然后点击下一步
在这里选择所建帐户的权限,最后点完成,就OK了。
然后注销一下,这时你再用swg那个帐户登岸时,就算域控制器是关闭的,你也是能登岸进去的。
活动目录之用户配置文件
关于域用户的开设在前面的文章中(、)已经涉及过了,所以在这里开设用户的方式就再也不重复了,本篇文章主要向大家介绍一下用户配置文件。
活动目录之用户配置文件
什么是用户配置文件?
按照微软的官方解释:
用户配置文件就是在用户登岸时概念系统加载所需环境的设置和文件和集合,它包括所有效户专用的配置设置。
用户配置文件存在于系统的什么位置呢?
那么用户配置文件包括哪些内容呢?
大家看一副截图:
用户配置文件的保留位置在:
系统盘(一般是C盘)下的“andSettings”文件夹下,有一个和你的登岸用户名相同的文件夹,该用户配置文件就保留在这里,顺便提示一下,若是本机和域上有一个同名用户,而且都登岸过的话,那么就会出此刻同名文件夹后面拖后缀的情形,举个例子:
比如在一个域(里面有一台运算机(testxp),本地有一个swg的帐号,域上也有一个swg的帐号,而且都登岸过这台运算机,那么会发生如下情形:
本地帐号先登岸:
那么本地的swg的用户配置文件夹为swg,而域用户的用户配置文件夹为。
域帐号先登岸:
那么域用户的用户配置文件夹为swg,本地用户的配置文件夹为。
通过上面的截图,咱们可看出,用户配置文件包括桌面设置、我的文档、收藏夹、等一些个性化的配置。
另外需要说明的是在“DocumentsandSettings”文件夹下有一个名为“AllUsers”的文件夹,若是你在那个文件夹下的“桌面”文件夹下新建一个文件的话,你会发觉所有效户在登岸时的桌面上都有那个文件,所以那个文件夹里的配置是对这台运算机的每一个用户均起作用的。
当网络变成域构架后,所有的域用户能够在任意一台域内的运算机登岸,当你在一台运算机上的用户配置文件修改后,你会发觉到另一台运算机上登岸时,所有的设置仍是原来的,并无发生修改,这是因为用户的配置文件是保留在本地的,无论是域用户仍是本地用户,都是保留在那台登岸的运算机上。
咱们能够在“我的电脑”上击“右键”,选“属性”,点“高级”,然后在“用户配置文件”里点“设置”:
请注意“类型”里用红框标出的部份,全数是“本地”,这就说明用户配置文件保留在本地,那么如何才能让用户的配置文件随着帐号走,也就是无论用户在哪台运算机上登岸都能维持用户配置文件一致呢?
为了解决那个问题,就要用到漫游用户配置文件,原理就是把用户配置文件保留在一个网络的公共位置,当用户在运算机上登岸里,会从网络公共位置把用户配置文件下载到本地并加以应用,然后当用户注销时,会把本地的用户配置文件同步到网络公共位置,以保证公共位置用户配置文件的有效性,以便下一次利用。
那么如何来实现那个功能呢?
此刻就来实践一下:
第一,要在一个网络的公共位置开设一个共享文件夹,用来寄存用户配置文件,在个实验里,就在域控制器上开设一个为share的共享文件夹,并开放权限
域控制器如何实现共享文件
一、我在WIN2003域控制器想设共享文件,如何设立及域用户的利用权限?
二、一个共享文件夹内有各部门文件,每一个部门的某一两个人全数控制自己部门的读写修改等全数权限,单只能读取其他部门的文件,不能修改,如何设置权限?
选定文件夹共享选择共享此文件夹点击权限
将everyone权限设置为读取肯定
进入共享文件夹,选定部门文件夹右键属性选择安全
添加该部门的管理员,给予完全控制权限
添加everyone用户给予读取权限就可以够了
然后,点击“开始-设置-控制面板-管理工具”,双击“AD用户和运算机”,并选中相应的用户,这里以“swg”帐号为例:
在“swg”帐号上双击,然后选“配置文件”,在“用户配置文件-配置文件路径”里输入:
\\,“是域控制器的IP地址,如下图所示:
然后点肯定,接下去就到客户端去,用“swg”帐号登岸一下,看看会发生什么转变。
如上图所示,DEMO\swg的状态由方才的“本地”变成了“漫游”,现在注销一下用户,那么就会自动的将该用户的本地用户配置文件同步到网络公共位置,若是再用“swg”到另外的域内运算机上去登岸的话,会发觉所有的用户配置文件和这台运算机上是一样的。
那么服务器上发生了些什么转变呢?
如上图所示,服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹,默许情形下那个文件夹只允许对应的用户打开:
画面很熟悉吧?
目前很多公司的ITPro都有一路的感叹,就是用户喜欢把自己的桌面什么的弄得乱七八糟,虽然通过组策略能够限制掉一部份,但总感觉不是很完善,在这里,向大家推荐利用强制用户配置文件,用户能够对自己个人配置文件任意修改,可是一旦注销后,这些修改将不会被保留,如此用户下次登岸里,用户的配置文件仍是维持和原来一样,那么如何实现那个功能呢?
其实只要将用户配置文件夹下的“”改成“”就可以够了,来看一下修改良程:
第一,在显示隐藏文件和已知文件的扩展名,能够在“工具-文件夹选项-查看”里进行修改:
点“肯定”后,就可以够在看到那个“”文件了,但现在会有一个问题,若是去修改C:
\DocumentsandSettings\swg下的“”,会发觉根本没有办法修改那个文件,因为文件在利用中,无法修改;若是去修改网络公共位置的“”,也就是\\下的“”,修改固然能够修改,可是由于在“swg”用户注销的时候,本地的“”会把网络公共位置的“”覆盖掉,也就是等于没有修改。
很多人都想直接在服务器上更改“swg”文件夹的所有者,然后给管理员帐号添加权限,如此就可以够直接在服务器上把“”改掉,但本人实践过几回,都发觉如此的操作会引发一些权限无法继承,而致使犯错的情形,所以不建议大家利用,这里推荐一种方式:
先把“swg”帐号注销掉,然后用另外一个帐号登岸,比如管理员,固然,若是在登岸成功后直接去访问\\..\share\swg以试图修改的话,那么你将会感到失望,因为仍是拒绝访问的,那么如何访问并修改呢,能够如此操作,“开始-运行-cmd”然后回车,如此就启动了命令行,在命令行下输入:
netuse\\password/user:
swg,显示“命令成功完成”,如此就利用“swg”和服务器成立一个连接,现在就可以够,里进行修改了, 然后再注销管理员帐号,用“swg”登岸,看看有无成功:
看到了吧,类型由“漫游”变成了“强制”,此刻能够在桌面这些地方进行任意的修改,你会发觉注销再登岸,又恢复到了原样。
这种设置在多人利用同一个帐号的情形下超级有效。
最后再请大家注意两个问题:
1、在配置强制用户配置文件时,当用其它用户登岸修改时,请保证被修改的用户处于注销状态,为何?
大家不妨自己想一想!
2、当利用漫游用户配置文件时,请不要在桌面等地方寄存一些大型的程序或文件,因为用户在登岸和注销进程中会下载和上传配置文件,若是文件过大,会影响登岸和注销的速度。