Windows Server 2003网络环境管理大综合

Windows2003server网络环境管理AD安装(1)在Windowsserver2003的配置服务器向导创建域，如图5.1.1所示。图5.1.1创建域（2）使用ActiveDirectory安装向导，配置新建域，域名名：,如图5.1.2所示。图5.1.2填写域名（3）在安装过程中，关于AD数据库和日志文件的存放位置，采取默认路径，也可自定义。（4）在安装向导中应注意dns注册诊断这一步骤，因为AD是离不开DNS服务的，因为客户机加入域和登录域都需要把域名解析为IP地址，这一过程都需要DNS服务器的支持，所以域是离不开DNS的,但反过来是不对的!因为此时DC没有DNS服务器，所以选择第二项让系统在创建DC的同时把DNS服务随之一起安装上。当然你也可以安装DC后自己手动再安装和配置DNS服务器(当时是您给会正确配置DNS服务器)，不过我还是建议和DC一起让系统帮我们创建，因为省事并不会因为手动错误的配置DNS带来的麻烦。如图5.1.3所示。图5.1.3在本DC上创建DNS服务器（5）安装完重起系统后即可使用域中的管理员和密码登录到域，如图5.1.4所示。图5.1.4在DC上登陆域管理用户和计算机账户客户机用户加入域（1）在DC中创建域帐户：DC中没有"本地用户和组",这是因为提升为DC后就没有本地用户和组了,原来的帐户和组都提升为域帐户和域中的组，如图5.2.1所示。图5.2.1DC中的计算机管理没有“本地用户和组”（2）在DC中的"AD用户和组"工具来创建域帐户,在域中创建一个管理单元(OU),OU可以使用部分来划分。新建一个组织单位（比如：“技术部”）,再在该组织单位中新建一个本组织单位的用户,并设置用户名和密码，如图5.2.2所示。图5.2.2创建OU组织单位下的用户（3）将一台windows客户机加入该域，由于是第一次加入域，客户机的IP应该与DC的IP地址在同一个网段,并且注意DNS地址必须指向DC的IP地址。如图5.2.3所示。图5.2.3客户机网卡IP设置（4）选择计算机-属性,修改计算机所属于的域的名字输入刚才创建的域名（本例域名为：），如图5.2.4所示。图5.2.4客户机加入域(5)确定后输入用户名密码即可登录到域，加入域成功后，如图5.2.5所示。图5.2.5确认成功加入域（6）在DC的ActiveDirectory中，可以很方便的管理用户和计算机账户，如图中的计算机称为CLIENT1-XP的客户机已经过AD确认记录并显示。如图5.2.6所示。图5.2.6确认客户机在AD中显示漫游用户配置（1）首先在dc中新建文件夹一个名为profiles的文件夹（名称其实可自定义），然后右键点击文件夹接着点击属性，然后选择共享标签，选“共享此文件夹”选项。然后点击权限按钮，在权限用户everyone勾选“更改允许”的复选框，点击确定，确认更改。如图5.2.7所示。图5.2.7新建文件夹共享并设置权限（2）然后，在DC（主机名为：VPN，版本WinServer2003）中打开ActiveDirectory，选定域用户之后右键选择属性，选中“配置文件”标签，在标签的用户配置文件一栏的“配置文件路径”里填写你的共享文件夹路径，格式为：\\主机名\（文件夹的）共享名\%username%。如图5.2.8所示。图5.2.8用户配置文件路径（3）由于公司员工众多，可使用命令行下的工具dsquery+dsmod

来实现批量设置或修改。如图5.2.9所示。图5.2.9批量修改运行实例和结果（4）要确认用户配置文件漫游设置是否成功，需要在客户机里，右击桌面“我的电脑”点击“属性”，然后选择“高级”标签栏，接着点击用户配置文件里的“设置”按钮，结果如下图显示”两个漫游”，则说明漫游配置成功了。如图5.2.10所示。图5.2.10确认客户机的用户漫游状态使用组策略管理用户环境：为了能够更加方便的管理域的组策略，可以使用微软的自带软件GPMC，可以在百度里搜索下载gpmc.msi，然后在DC中安装该软件包，安装完成后先管理工具里会增加名为“组策略管理”的软件。文件夹重定向（1）打开管理工具中的组策略管理器。（2）右击OU“技术部”(假设所有的漫游配置用户都在此OU中)，选择新建GPO并链接在此处。输入FolderRedirection

为新GPO的名字。如图5.3.1所示。图5.3.1为OU“技术部”新建GPO（3）鼠标右击GPO“

FolderRedirection”进行编辑，如图5.3.2所示。图5.3.2编辑GPO

FolderRedirection（4）依次展开用户配置-策略-windows设置-文件夹重定向，如图5.3.3所示。图5.3.3文件夹重定向（5）在windowsserver2003中只有桌面、我的文档、[开始]菜单、AppData（应用程序目录）这四个可重定向的目录。为了实现重定向，我们需要准备一个共享文件夹：在DC中打开C盘，创建文件夹Documents。同时，将其共享，共享权限设置为Everyone可以修改。如图5.3.4所示。图5.3.4Documents的共享权限（6）回到组策略管理编辑器中，鼠标右击文档选择属性。来设置文件夹重定向，你有基本和高级两种不同的设置方式。a)基本（将每个人的文件夹重定向到一个位置）本例的DC计算机名为Vpn，故设置根路径为：\t"/198455/331208/\\"_blank\\""\\vpn\Documents，具体设置方法可以自己在文本框输入共享路径，也可以点击“浏览”按钮，依次选择：网上邻居——整个网络——Forest(当前域)——Vpn——Documents，然后点击确定。如图5.3.5所示。图5.3.5为文档设置基本的重定向属性[注意：如此一来，每个用户的文档就会被重定向到\\Vpn\Documents\%username%\Documents中，这样就可以将所有用户的文档集中在一起管理。]b)

高级（为不同的用户组指定位置）图5.3.6为文档设置高级重定向属性[注意：如此一来，不同用户组的用户的文件夹会被定向到不同的共享文件夹中做管理，如ITmembers组的成员user1的文档会被重定向到\\WIN-2008FILESRV\IT\user1\Documents目录中]（7）这里以基本的方式来做演示，选择确定。确认对话框中，选择是。如图5.3.7所示。图5.3.7确认对话框验证：我们使用用户WangFeng来做验证，看看用户WangFeng的文档是否已经被重定向。（1）从客户机使用用户WangFeng登录Forest域。如图5.3.8所示。图5.3.8用户WangFeng登录（2）组策略若未生效，需要在客户机WinKey+R运行输入gpupdate/force，确定更新组策略。如图5.3.9所示。图5.3.9客户机更新组策略(3)再次登陆域后，点击开始，右键点击我的文档，然后再右击我的文档点击属性，确认目标文件夹指向的路径正式自己设置的网络路径（本例的网络路径是\\Vpn\Documents\），则说明重定向成功了。如图5.3.10所示。图5.3.10确认我的文档网络路径用户桌面管理（1）打开组策略管理器，新建一个GPO，名称可命名为UserDeskManage。如图5.3.11所示。图5.3.11新建GPO（2）右击UserDeskManage点编辑，在打开的组策略编辑器中一次展开：用户配置——管理模板——桌面——ActiveDeskTop，然后双击右栏中的“ActiveDesktop墙纸”，点击“已启用”，填写路径，本例为网络路径\\Vpn\114\Ripple.jpg。如图5.3.12所示。图5.3.12设置桌面（3）设置完墙纸路径，还需要在右栏中双击“启用ActiveDesktop”，选择“已启用”并确定。如图5.3.13所示。图5.3.13启用ActiveDesktop（4）之后，在你想要的位置，比如本例的组织单位中的“车间1”右键选择“链接现有GPO”，选择UserDesktopManage，建议右击UserDesktopManage选择强制。如图5.3.14所示。图5.3.14链接现有GPO（5）当然还可以继续在GPO里编辑各种桌面的管理配置，如删除我的文档桌面图标、删除网上邻居桌面图标、隐藏选项等等，由于篇幅限制不一一举例各种详尽步骤了。资源访问管理（1）在DC中有很多共享的文件夹，右键点击我的电脑选管理，然后双击左栏的共享文件夹展开共享，会发现当前所有的共享文件夹。如图5.3.15所示。图5.3.15查看共享文件夹（2）右键点击所需要管理用户权限的文件夹，比如：公司的4个车间都不允许更改共享文件夹，即网络路径下的文件只可读取，因此在车间1的用户组织单位均不可有更改权限，故右击114，点击属性，然后点共享权限一栏，添加车间1的用户如王风WF，权限更改的钩去掉即可。如图5.3.16所示。图5.3.16指定用户权限更改（3）在左栏的会话和打开文件两个项目里可以查看当前共享文件夹的访问情况，可根据访问情况进一步完善管理员的用户权限配置方案。如图5.3.17所示。图5.3.17查看共享文件夹访问情况安装和配置软件更新服务（1）软件更新服务的安装需要下载微软的WSUS，本例下载的WSUS版本为3.0（2）配置WSUS，选择“上游服务器”，然后根据向导一步步配置下来。如图5.4.1所示。图5.4.1配置WSUS（3）通过组策略设置客户端更新配置。如图5.4.2所示。图5.4.2组策略设置更新磁盘配额在WindowsServer2003系统中，对于拥有共享文件夹写入权限的用户而言，默认情况下可以无限制地向共享文件夹中写入数据。这种任意性可能导致共享文件夹所在磁盘分区空间紧张，因此为了保证所有用户都能正常使用共享文件夹，建议针对每个用户设置磁盘配额。设置磁盘配额后可以限制用户有权使用的硬盘空间，操作步骤如下所述：（1）在“我的电脑”窗口中右键单击共享文件夹所在的磁盘分区，选择“属性”快捷命令，打开磁盘属性对话框。然后切换到“配额”选项卡，保持“启用配额管理”和“拒绝将磁盘空间给超过配额限制的用户”复选框的选中状态。另外建议选中“用户超出配额限制时记录事件”和“用户超过警告等级时记录事件”两个复选框，以便将配额告警记录到日志中。接着单击“配额项”按钮。如图5.5.1所示。图5.5.1启用配额管理（2）打开“本地磁盘的配额项”窗口，依次单击“配额”→“新建配额项”菜单命令，在打开的“选择用户”对话框中查找并选中目标用户（本例选中“ChenXC”(域的用户)）并单击“确定”按钮。如图5.5.2所示。图5.5.2新建配额项（3）在打开的“添加新配额项”对话框中选中“将磁盘空间限制为”单选框，并设置空间大小为100MB。接着在“将警告等级设置为”编辑框中设置空间大小为95MB。最后单击“确定”按钮使设置生效。如图5.5.3所示。图5.5.3添加新配额项（4）返回“本地磁盘的配额项”窗口，重复上述步骤针对其他用户新建配额项，设置完毕关闭该窗口，返回“本地磁盘属性”对话框后单击“确定”按钮。设置配额项的用户只能使用规定容量以内的磁盘空间。如图5.5.4所示。图5.5.4本地磁盘配额项故障恢复管理（1）打开“运行”对话框，输入X:\i386\winnt32.exe/cmdcons(其中X是你的光驱的盘符)后按回车。如图5.6.1所示。图5.6