域控中管理计算机和用户帐号

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

域控制服务器2003服务器架设和加入域图解教程一、（域控制服务器）2003服务器架设1.首先安装2003企业版原版，真正的微软2003企业版（（（原版））！我给出2003企业版原版的下载地址： cd1迅雷下载地址：thunder://QUFodHRwOi8vZG93bi54bHlsdy5jb20vRG93bmxvYWQuYXNwP0lEPTIyNiZ zSUQ9MFpa (我不喜欢回复才可以下载愿意冒个泡的就回复下）Disc 1光盘镜像文件名：cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_x13-46432.iso文件大小：608 MB (637,917,184 字节)发布日期 (UTC)：4/27/2007 11:06:15 PM上次更新日期 (UTC)：3/28/2008 2:37:04 AMSHA1：D0DD2782E9387328EBFA45D8804B6850ACABF520MD5：1017479075166BA7DD762392F8274FE3至于安装过程我就不详细解释了自己百度百度是我们最好的老师、。

这里服务器域管理 IP 192.168.0.254 子网掩码255.255.0.0 DNS首选服务器192.168.0.254因为是域控制是首选DNS指向服务器客服端也是一样！还有一点我们在域控制上新建一个用户（admin) 然后加入域管理员组里把所有电脑远程控制设置成被连接不准主动连接这样一个公司就你一个人可以用3389端口用你的域管理员账号很爽的你试试就知道了2.架设2003域控制器（1）开始-管理工具-管理我的服务器-添加或删除角色-先安装DNS服务器-再先安装DNS服务器完成重启电脑选择新域控制器额外控制器是备份和主控制器是同步更新的这里不讲了选择新林中的域输入一个域名比如默认就可以了这里提示DNS诊断错误是正常的选择安装DNS服务器此处的密码请牢记以后会用到！这里域控制器就OK了完成后请重启电脑。

A1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员(默认为administrator)身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说"在域中，默认一个普通的域用户(Authenticated Users)即可加10台计算机到域。

〃吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第口台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomaino注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问〃提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1＞手动在ADxx删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域XXX不是AD域，或用于域的AD域控制器无法联系上。

在域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC,只能利用浏览服务、WINS、Imhosts文件来定位DC。

所以加入域时，为了能找到DC,应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?服务器采用Windows2003Server为例，客户端以XP为例（专业版，home版的不支持)域控制器名字：serverIP：192。

168。

1.254;子网掩码：255。

255。

255。

0;网关：192。

168。

1.1;DNS：192。

168。

1.254由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下拖动右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”直接下一步就可以了`这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

域控获取组策略
域控制器（Domain Controller，简称DC）是负责管理域中所有对象和资源的主机。

在域环境中，组策略（Group Policy）是实现集中管理和配置的重要工具，用于配置和管理网络中计算机和用户的各种设置。

在域环境中，组策略是通过组策略对象（Group Policy Object，简称GPO）来配置和应用的。

每个GPO都包含一组组策略设置，这些设置将在域中的计算机或用户应用。

要获取域控制器上的组策略，可以执行以下步骤：
1. 打开组策略管理控制台：在域控制器上，以管理员身份运行“gpmc.msc”命令，打开组策略管理控制台。

2. 找到组策略对象：在控制台左侧的导航窗格中，展开“组策略对象”节点，可以看到所有的组策略对象列表。

3. 查看组策略设置：在右侧窗格中，选择要查看的组策略对象，并查看其组策略设置。

可以查看计算机配置和用户配置中的各种设置，并进行相应的配置和管理。

4. 导出组策略：如果想将组策略导出为文件以便在其他计算机或用户上应用，可以右键单击组策略对象，选择“导出”选项，并按照向导进行操作。

导出的组策略文件通常具有“.pol”扩展名。

5. 应用组策略：要将组策略应用到域中的计算机或用户，可以将组策略文件部署到相应的位置，并使用组策略管理控制台进行配置和链接。

需要注意的是，组策略的配置和管理需要具备一定的网络和系统管理知识。

在进行更改之前，建议先备份当前的组策略配置，并确保对网络环境有足够的了
解。

下发域控组策略域控制器(Group Policy)是指一种在活动目录域中用于自动化和集中管理部分或全部计算机和用户计算机设置的机制。

组策略允许域管理员通过一组策略设置来集中配置域中的计算机和用户的设置，以提高安全性、统一性和可管理性。

下发域控组策略是指将组策略应用到域中的计算机和用户上，以实现所需的设置。

域控组策略的下发方式主要有两种：启用默认组策略和创建自定义组策略：1. 启用默认组策略：当创建域控时，活动目录会自动创建若干个默认组策略对象，默认组策略包含一系列为域中计算机和用户提供基本设置的策略。

管理员可以通过编辑默认组策略，修改其中的设置，然后将其下发到域中的计算机和用户。

默认组策略的设置可以通过组策略管理器(GPMC)进行查看和编辑。

2. 创建自定义组策略：除了使用默认组策略，管理员还可以创建自定义组策略对象。

自定义组策略可以根据特定需求创建，更具灵活性。

管理员可以选择性地将自定义组策略链接到域中的组织单元(OU)或域中的计算机和用户上。

在进行域控组策略的下发时，需要注意以下几点：1. 组织单元(OU)的设计：域中的组织单元是用于进行组策略下发的关键对象。

管理员应该根据组织结构和管理需求，合理划分OU，并将组策略链接到相应的OU上，确保正确的策略应用。

2. 组策略的优先级：在域中，可能存在多个组策略对象，而且某些策略之间可能存在冲突。

在这种情况下，组策略的优先级非常重要。

管理员需要了解组策略的策略处理顺序，确保某个设置不会被较低优先级的策略所覆盖。

3. 组策略的继承和阻止：组策略默认是会继承到子对象的，但可以通过阻止继承来防止某个对象应用某个策略。

管理员需要根据具体情况，合理设置继承和阻止，以确保策略按预期生效。

4. 组策略的更新：组策略是通过域控制器自动推送到域中的计算机和用户上的。

当管理员更新了组策略时，域控制器将自动下发最新的策略设置，然后客户端会在下次进行组策略更新时自动应用新的设置。

向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步"既然是第一台域控，那么当然也是选择“在新林中的域"在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

“这是一个权限的选择项，在这里，我选择第二项:“只与Windows 2000或Window 2003操作系统兼容的权限”，因为在我做实验的整个环境里，并没有Windows 2000以前的操作系统存在”这里是一个重点，还原密码，希望大家设置好以后一定要记住这个密码，千万别忘记了，因为在后面的关于活动目录恢复的文章上要用到这个密码的。