非常详细的域控教程5

域控组策略-概述说明以及解释1.引言1.1 概述概述部分的内容可以介绍域控和组策略的基本概念，以及它们在网络管理中的重要性。

概述部分的内容参考如下：概述在网络管理和组织架构中，域控和组策略是两个非常关键的概念。

域控（Domain Controller）是一种服务器，它在Windows域中负责认证用户身份、授权访问和分发安全策略等功能。

而组策略（Group Policy）则是一种集中管理和配置网络中计算机和用户设置的技术。

域控作为网络中的核心设备，建立了一个集中化的用户认证和权限控制的环境。

它可以集中管理用户账号、用户组、计算机对象等，并提供了统一的访问管理、资源分配和权限控制等功能。

通过域控，网络管理员可以更加方便地管理和维护整个网络系统，提高了网络的可管理性和安全性。

组策略则是建立在域控基础上的一种重要管理工具。

通过组策略，管理员可以向域中的计算机和用户应用一系列的设置和配置，如安全策略、账号策略、软件安装、桌面设置等。

组策略可以实现集中管理和自动化配置，大大减少了管理员的负担，提高了网络管理的效率和一致性。

域控和组策略之间存在着密切的关系。

域控提供了组策略的基础环境，并作为组策略的执行者和分发者。

通过域控，组策略可以被应用到特定的用户或计算机上，并实施相关的配置和规则。

域控和组策略的结合，使得网络管理更加便捷和高效。

在现代网络管理中，域控和组策略越发显得重要。

随着网络规模的不断扩大和复杂化，有效的网络管理变得尤为关键。

域控和组策略的实施能够极大地提升网络的安全性、可管理性和灵活性，减少因人为操作而导致的错误和安全风险。

同时，随着技术的不断发展，域控和组策略也在不断创新和进化，以适应新的网络环境和需求。

总之，域控和组策略是网络管理中的重要概念。

它们的结合和有效应用，将为网络管理员提供强大的管理工具，保障网络的正常运行和安全性。

文章结构部分是介绍本篇长文的组织结构和内容安排。

通过明确文章的结构，读者可以更好地理解文章内容的组织和逻辑关系。

域控中组策略基本设置
在Windows域控制器中，组策略是一种非常重要的工具，用于管理网络中的计算机和用户。

组策略允许系统管理员在网络上部署、管理和强制执行特定设置，以确保网络安全性和一致性。

下面将详细介绍域控制器中组策略的基本设置。

1.创建和链接组策略：
-打开“组策略管理”控制台，右键单击“域”节点，选择“创建一个或多个GPO，并将其链接到此处”
-输入策略名称，点击“确定”创建策略
-右键单击域或OU（组织单位），选择“链接已存在的GPO”
-选择需要链接的策略，点击“确定”
2.应用组策略：
-应用到特定的OU：选择需要应用策略的OU，右键单击，选择“应用组策略”
- 更新组策略：使用命令行工具gpupdate /force强制更新策略
3.用户配置：
4.计算机配置：
5.安全设置：
6.软件安装：
7.文件共享：
8.IE设置：
9.桌面配置：
10.AUDIT策略：
值得注意的是，组策略设置在域控制器上只对处于该域中的计算机和用户生效。

通过组策略，管理员可以集中管理网络中的资源和安全策略，并确保网络中的计算机和用户的行为符合组织的政策和要求。

完成以上设置后，管理员需定期检查组策略的运行情况，保证其有效性和及时性。

实验环境使用VMW虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。

首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。

下面开始具体操作1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User，我这里以“小五”为用户名，如下图2、在服务器端建立保存用户配置文件的共享文件夹，本文在c盘建立了一个user文件夹，用来保存所有用户配置文件，然后再user文件夹下建立一个“小五”文件夹，用来保存“小五”用户的配置文件。

这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone，然后找到我们域中的用户“小五”，给他所有权限。

3、进一步权限设置，如图这样权限方面问题已经设置完成4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。

现在配置基本完成，我们从客户端登录一下试试看初次登陆之后，我们注销，这样，本地的配置文件，就会自动保存到服务器上对应的文件夹。

回到服务器上我们会看到生成好多文件，刚才这里面还是空的这些文件就是我们注销的时候下面提示正在保存配置文件的时候，其实就是把文件写入我们服务器里面了。

我们再次重新登陆一下打开我的电脑会发现多了一个磁盘映射这就是我们专门为此用户设计的一个共享文件夹，用户可以把重要的数据等存放在这里，其实就是存放在服务器上，相对来说就更加安全了。

至此，漫游用户配置文件就配置完毕了。

小提示：如果配置过程中出现一些问题，那么多数是权限设置问题。

这时候需要检查一下权限即可。

其他方面一般很少出现问题。

另外，如果，服务器上共享的文件夹只给予只读权限，那么，用户配置文件所有内容在下次登录的时候都会失效，像还原卡一样。

域控制服务器2003服务器架设和加入域图解教程一、（域控制服务器）2003服务器架设1.首先安装2003企业版原版，真正的微软2003企业版（（（原版））！我给出2003企业版原版的下载地址： cd1迅雷下载地址：thunder://QUFodHRwOi8vZG93bi54bHlsdy5jb20vRG93bmxvYWQuYXNwP0lEPTIyNiZ zSUQ9MFpa (我不喜欢回复才可以下载愿意冒个泡的就回复下）Disc 1光盘镜像文件名：cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_x13-46432.iso文件大小：608 MB (637,917,184 字节)发布日期 (UTC)：4/27/2007 11:06:15 PM上次更新日期 (UTC)：3/28/2008 2:37:04 AMSHA1：D0DD2782E9387328EBFA45D8804B6850ACABF520MD5：1017479075166BA7DD762392F8274FE3至于安装过程我就不详细解释了自己百度百度是我们最好的老师、。

这里服务器域管理 IP 192.168.0.254 子网掩码255.255.0.0 DNS首选服务器192.168.0.254因为是域控制是首选DNS指向服务器客服端也是一样！还有一点我们在域控制上新建一个用户（admin) 然后加入域管理员组里把所有电脑远程控制设置成被连接不准主动连接这样一个公司就你一个人可以用3389端口用你的域管理员账号很爽的你试试就知道了2.架设2003域控制器（1）开始-管理工具-管理我的服务器-添加或删除角色-先安装DNS服务器-再先安装DNS服务器完成重启电脑选择新域控制器额外控制器是备份和主控制器是同步更新的这里不讲了选择新林中的域输入一个域名比如默认就可以了这里提示DNS诊断错误是正常的选择安装DNS服务器此处的密码请牢记以后会用到！这里域控制器就OK了完成后请重启电脑。

管理员操作⼿册-AD域控及组策略管理_51CTO下载AD域控及组策略管理⽬录⼀、Active Directory(AD)活动⽬录简介21、⼯作组与域的区别 (2)2、公司采⽤域管理的好处 (2)3、Active Directory(AD)活动⽬录的功能 (4)⼆、AD域控（DC）基本操作 (4)1、登陆AD域控 (4)2、新建组织单位（OU） (6)3、新建⽤户 (8)4、调整⽤户 (9)5、调整计算机 (12)三、AD域控常⽤命令 (13)1、创建组织单位：(dsadd) (13)2、创建域⽤户帐户(dsadd) (13)3、创建计算机帐户(dsadd) (13)4、创建联系⼈(dsadd) (14)5、修改活动⽬录对象（dsmod） (14)6、其他命令（dsquery、dsmove、dsrm） (15)四、组策略管理 (17)1、打开组策略管理器 (17)2、受信任的根证书办法机构组策略设置 (18)3、IE安全及隐私组策略设置 (23)4、注册表项推送 (28)五、设置DNS转发 (31)⼀、Active Directory(AD)活动⽬录简介1、⼯作组与域的区别域管理与⼯作组管理的主要区别在于：1）、⼯作组⽹实现的是分散的管理模式，每⼀台计算机都是独⾃⾃主的，⽤户账户和权限信息保存在本机中，同时借助⼯作组来共享信息，共享信息的权限设置由每台计算机控制。

在⽹上邻居中能够看到的⼯作组机的列表叫浏览列表是通过⼴播查询浏览主控服务器，由浏览主控服务器提供的。

⽽域⽹实现的是主/从管理模式，通过⼀台域控制器来集中管理域内⽤户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统⼀管理。

这就是两者最⼤的不同。

2）、在“域”模式下，资源的访问有较严格的管理,⾄少有⼀台服务器负责每⼀台联⼊⽹络的电脑和⽤户的验证⼯作，相当于⼀个单位的门卫⼀样，称为“域控制器（Domain Controller，简写为DC）”。

第1章主备域控配置（win2003）1.1. 设置主域控：设置IP地址域控服务器的IP地址与首选DNS服务器必须一致，网关可不配置，如图1-1-1、图1-1-2：图1-1-1图1-1-21.2. 安装DNS组件由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以需要手动添加，添加方法为：【开始】—【设置】—【控制面板】—【添加删除程序】，然后再点击【添加/删除Windows组件】，则会显示如图1-2-1：图1-2-1鼠标向下拖动右边的滚动条，找到【网络服务】并选中，如图1-2-2：图1-2-2默认情况下所有的网络服务都会被添加，此时需点击下面的【详细信息】进行自定义安装，由于在这里只需要安装域名系统（DNS）一项，所以把其它的默认安装项全部去掉，以后需要的时候再另行安装，如图1-2-3：图1-2-3点击【确定】，然后一路点击【下一步】就可以完成域名系统（DNS）的安装。

在整个安装过程中务必保证Windows Server 2003的安装光盘位于光驱中，否则会出现找不到文件的提示。

1.3. 配置域控服务安装完域名系统（DNS）以后，需进行相关的配置操作，首先点击【开始】—【运行】，输入【dcpromo】，如图1-3-1：图1-3-1然后回车或点击确定按钮就可以看到Active Directory安装向导，此时直接点击【下一步】即可，如图1-3-2：图1-3-2当显示如图1-3-3，此处为提醒部署人员尽量采用Windows 2000及以上的操作系统来做为客户端，直接点击【下一步】即可：图1-3-3当显示如图1-3-1，如果确认当前是在进行第一台域控制器的配置，保持默认选择项：【新域的域控制器】，然后点击【下一步】即可：图1-3-1当显示如图1-3-5，选择【在新林中的域】，然后点击【下一步】：图1-3-5当显示如图1-3-6，需手动为其指定一个域名，此处以为例，输入完毕点【下一步】：图1-3-6当显示如图1-3-7，需要为新域指定NetBIOS名，此处保持默认，然后点击【下一步】：图1-3-7当显示如图1-3-8，是要进行AD数据库文件夹和AD日志文件夹的存放位置的指定，此处均以放置在D盘为例，指定完毕点击【下一步】：图1-3-8当显示如图1-3-9，是要指定SYSVOL文件夹的存放位置，此处同样以放置在D盘为例，指定完毕点击【下一步】：图1-3-9当操作者第一次部署域控时总会出现如图1-3-10所示的DNS注册诊断失败的画面，主要原因是：虽然刚刚安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以会出现诊断失败的现象，所以此时要选择“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS 服务器”一项，然后点击【下一步】：图1-3-10当显示如图1-3-11，是要进行权限的选择，此处选择第二项“只与Windows 2000或Window 2003操作系统兼容的权限”，然后点击【下一步】：图1-3-11当显示如图1-3-12，是要为目录服务还原模式的管理员进行密码的设置（该密码须妥善保管），设置完毕后点击【下一步】：图1-3-12当显示如图1-3-13，部署人员需仔细检查刚刚执行过的所有步骤中输入的信息是否有误，如果确认有误可以点上一步进行检查和修改，如果确认无误的话，直接点击【下一步】开始AD的正式安装：图1-3-13安装配置过程如图1-3-11：图1-3-11安装配置结束显示如图1-3-15，点击完成按钮：图1-3-15当显示如图1-3-16，点击【立即重新启动】按钮图1-3-161.4. 修订DNS地址域控服务器重新启动后，查看网络配置，会发现首选DNS服务器变成“127.0.0.1”,如图1-1-1：图1-1-1此时，须修改首选DNS服务器地址为“192.168.5.167”。

域控时间服务器设置策略域控时间服务器设置是一项非常重要的任务，能够确保域内所有计算机时间同步、安全可靠、避免时间不一致造成的各种问题。

而通过设置 GPO 策略，能够自动部署时间服务器配置，提高管理效率，减少出错可能性。

本文将介绍域控时间服务器设置的具体步骤以及如何通过 GPO 策略实现自动配置。

1. 打开域控服务器，运行“cmd” 命令，进入命令行模式。

2. 输入以下命令：net stop w32time ：停止 Windows Time 服务w32tm /config /syncfromflags:manual /manualpeerlist: ntp-ServerIPAddress ：配置 Windows Time 服务同步源，将被同步的时间服务器地址替换 ntp-ServerIPAddressw32tm /config /reliable :yes ：使域控时间服务器成为可靠的时间服务器3. 查看时间同步状态：输入命令 w32tm /query /status ，检查时间同步源是否正确，并确认时间同步正常工作。

二、使用 GPO 策略自动部署时间服务器设置1. 打开本地计算机组策略编辑器：在 Windows 操作系统中，可以通过搜索框输入gpedit.msc 打开本地计算机组策略编辑器。

2. 创建新组策略：在本地计算机组策略编辑器中，依次展开路径：计算机配置 --管理模板 -- 系统 -- Windows Time Service。

3. 配置 Windows Time 服务同步源：在 Windows Time Service 中，打开“已启用” 选项，然后将“同步源” 修改为您的域控时间服务器的 IP 地址（多个域控的话，可以逐个添加）。

5. 保存并退出组策略编辑器。

6. 将设置应用于整个域：将组策略对象链接到您的域节点，确保应用于整个域。

7. 强制更新组策略：输入命令 gpupdate /force 使配置生效。

域控配置步骤范文域控配置是指在网络环境中建立和配置域控制器（Domain Controller），用于管理和认证域中的用户和计算机。

下面将详细介绍域控配置的主要步骤。

1.预备工作在开始域控配置之前，需要进行一些预备工作。

首先，需要确定好域名和域控制器的命名规则，包括域名后缀和域控制器的主机名。

其次，需要确保网络环境正常工作，包括IP地址和DNS设置的正确配置。

2.安装操作系统首先，需要在物理机或虚拟机上安装适合的操作系统，建议选择Windows Server系列操作系统，如Windows Server 2024或Windows Server 2024、操作系统的版本和硬件需求可以根据实际情况来选择。

3.添加角色和功能在操作系统安装完成后，需要通过“服务器管理器”添加域控制器角色和相关功能。

打开“服务器管理器”，点击“管理”->“添加角色和功能”，然后按照向导的指导完成添加。

4. 安装Active Directory域服务在添加角色和功能完成后，需要在“服务器管理器”中选择“添加角色和功能”的“选定服务角色”页面，勾选“Active Directory域服务”，安装Active Directory域服务。

5.创建新的林在Active Directory域服务安装完成后，需要配置新的林。

在“Active Directory域服务安装配置向导”中，选择“创建新的域”，并输入根域和域的名称。

然后，选择域功能级别和林功能级别，可以根据实际需求选择适合的级别。

6.设置域控制器选项在设置域控制器选项的页面上，可以选择是否安装DNS服务器和DHCP服务器。

如果网络环境中已经有现有的DNS服务器和DHCP服务器，可以选择不安装。

7.设置目录服务恢复密码在设置了域控制器选项后，需要设置目录服务恢复密码。

这个密码用于恢复目录服务的数据，需要妥善保管。

8.安装在确认配置的页面上，可以查看和确认所做的配置。

如果确认无误，点击“安装”按钮开始安装域控制器。

域控制检查操作步骤：1、检查域控服务器的SYSVOL①检查“SYSVOL”文件夹是否被共享。

可以通过以下两种方法：方法一：我的电脑——右键——计算机管理——共享文件夹——共享——在右边窗口中查看“SYSVOL”是否被共享。

方法二：开始——运行——输入“cmd”——确定——进入命令提示符下——输入“net share”——查看“SYSVOL”是否被共享②检查SYSVOL的共享权限，打开SYSVOL文件夹的属性对话框（文件夹的缺省路径为“C:\WINDOWS\SYSVOL\sysvol”）——共享——权限——检查权限是否和下表的权限设置相同：Administrators：完全控制、更改、读取Authenticated Users：完全控制、更改、读取Everyone：读取③检查SYSVOL的NTFS权限，打开SYSVOL文件夹的属性对话框（文件夹的缺省路径为“C:\WINDOWS\SYSVOL\sysvol”）——安全——高级————检查各个用户的NTFS权限是否和下表中的权限设置相同。

Authenticated Users：遍历文件夹/运行文件、列出文件夹/读取数据，读取属性，读取扩展属性Server Operators：遍历文件夹/运行文件、列出文件夹/读取数据，读取属性，读取扩展属性Administrators：完全控制SYSTEM：完全控制CREATOR OWNER：完全控制注：通常情况下“SYSVOL”文件夹的NTFS权限是从上层文件夹继承下来的，最简单的办法是查看该文件夹的的权限勾选框是否为灰色（及继承权限），如果权限设置有问题，也不要马上进行修改这些权限，应该参阅具体KB再进行适宜操作。

④检查SYSVOL的状态情况。

开始——运行——输入regedit——确定——打开注册表编辑器——查看“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netlogon\Parameters\SysvolRea dy”键值是否为1，如为1则表示“SYSVOL”状态正常。