windows域管理操作手册

实验环境使用VMW虚拟机，客户端为WindowsXPSP2，服务器端为WindowsServerSP2公司版。首先将服务器端安装好活动目录，无需任何设立，默认安装即可，并将客户端加入到域。下面开始具体操作1、首先在服务器端用ActiveDirectory顾客和计算机管理工具建立一种User，我这里以“小五”为顾客名，以下图2、在服务器端建立保存顾客配备文献的共享文献夹，本文在c盘建立了一种user文献夹，用来保存全部顾客配备文献，然后再user文献夹下建立一种“小五”文献夹，用来保存“小五”顾客的配备文献。这里面一定要注意权限的设立，在共享文献夹中的权限去掉everyone，然后找到我们域中的顾客“小五”，给他全部权限。3、进一步权限设立，如图这样权限方面问题已经设立完毕4、在ActiveDirectory顾客和计算机管理工具中为“小五”顾客设立顾客配备文献漫游，如图192.168.1.201为我们的服务器，背面所接的“user/小五”为保存顾客配备文献的共享文献夹主文献夹相称于顾客的“我的文档”，这里面映射到服务器上，更能确保顾客文献安全性与可靠性。现在配备基本完毕，我们从客户端登录一下试试看初次登陆之后，我们注销，这样，本地的配备文献，就会自动保存到服务器上对应的文献夹。回到服务器上我们会看到生成好多文献，刚刚这里面还是空的这些文献就是我们注销的时候下面提示正在保存配备文献的时候，其实就是把文献写入我们服务器里面了。我们再次重新登陆一下打开我的电脑会发现多了一种磁盘映射这就是我们专门为此顾客设计的一种共享文献夹，顾客能够把重要的数据等寄存在这里，其实就是寄存在服务器上，相对来说就更加安全了。至此，漫游顾客配备文献就配备完毕了。小提示：如果配备过程中出现某些问题，那么多数是权限设立问题。这时候需要检查一下权限即可。其它方面普通极少出现问题。另外，如果，服务器上共享的文献夹只予以只读权限，那么，顾客配备文献全部内容在下次登录的时候都会失效，像还原卡同样。由于，在注销时向服务器更新配备文献的时候是没有权限的，而下次登录的时候再次向服务器请求配备文献，自然而然就是旧的了，而不是最新的。

网络环境：网络构造采用VLAN划分部门，服务器单独一种VLAN，通过在核心交换机上配备路由和ACL实现各部门之间不可互访，通过访问服务器进行数据交换。服务器是Win公司版，不记得用什么光盘装的了，反正网上下的，装完后打过SP2补丁，安装的Win域控制器模式（有Win的服务器）。域名：XXX.local主域控制器：192.168.0.6/24

192.168.0.254/24（双网卡）这个网段只有网管部门可访问，原来是调试用的，还没有正式迁移到服务器网段，但是能够和服务器网段建立通信。额外域控制器：192.168.2.254/24

服务器网段DNS：192.168.2.254DHCP

：192.168.2.254

已经通过交换机的UDPHelp把各个VLAN的DHCP网段都做好了，只配备了IP、网关、DNS。局域网计算机有Win2kPro和WinXPPro，W2k是用自己封装的ghost批量安装的，xp是用的YlmF_GhostXP_SP3_Y1.0，固然都是会随机产生SID啦，全部采用自动获取IP地址，安装后默认设立不变，XP自带防火墙启动，配备如图1。（图1）在客户端能够Ping通服务器IP地址以及binhu.local。总之网络层的互联互通是OK的，下面的问题全都不是由网络配备问题造成的，如果您拟定您的网络配备都对的，并且网络构造和我大致相似或比我的还简朴，能够继续往下看.问题1：新计算机在添加到域的过程中，按提示输入了域帐户和密码后，系统提示“找不到网络途径”。答：启动计算机的“TCP/IPNetBIOSHelper”服务。很不幸，我做的w2k镜像和ylmf的xp镜像刚好都把该服务设为了手动。问题2：加入到域的计算机，无法在域控制器上打开“计算机管理”。答：刚把计算机test加入到域，我就迫不及待的登陆到域控制器，想通过AD控制台远程打开该计算机的“计算机管理”，成果又弹出提示“找不到\\test.XXX.local的网络途径”。尝试在域控制器上ping了一下test.XXX.local，居然提示“Pingrequestcouldnotfindhosttest.XXX.local.”，域名解析失败！赶快检查DNS统计，发现test.XXX.local主机统计安然的躺在正向搜索区域中，看来不是DNS服务器的问题。猛然想起本地DNS缓存，赶快关闭“DNSClient”服务，再次尝试问题解决。原来即使是在DNS服务器上进行域名解析，也不是直接查找的DNS数据库啊！总结经验：在局域网布署过程中，网络节点变化比较频繁，建议关掉网络计算机上的本地DNS缓存服务，待局域网正常运作之后，网络节点变化较少，再根据DNS服务器响应DNS请求的负荷来考虑与否有必要打开该服务。问题3：加入到域的计算机，在域控制器上打开“计算机管理”，部分项无法管理。答：打开“计算机管理”后，发现“本地顾客和组”打，除了能够查看“共享文献夹”下的内容外，其它项目都不能正常查看。在经历了上面2道磨难后，又碰到这种问题，是不是倍受打击呢？其实对于稍微“马虎”一点的管理员，普通都不会碰到这个问题。无奈我配备域管理的目的是为了便于分发安全方略，不得不“精细化管理”，从组方略到服务到共享到防火墙统统折腾了一遍......还是很有收获的！在无多次的“gpupdate”之后，探索到某些既不影响“计算机管理”，又能一定程度提高安全性的办法。（1）共享：有IPC$即可，其它默认共享都能够关掉。（2）网络组件：必须安装“Microsoft网络文献和打印机共享”，且必须打钩。（3）内置防火墙：需要允许“文献和打印机共享”，且不限制135、137、138、139、445等端口的监听。（固然您能够用更强大的防火墙进行数据筛选，看个人功力了:）（4）服务：需要启动“Server”、“TCP/IPNetBIOSHelper”、“RemoteRegistry”服务。（5）组方略：为了增强网络访问安全性，我在安全选项中启用了“不允许SAM帐户的匿名枚举”、“不允许SAM帐户和共享的匿名枚举”、“限制对命名管道和共享的匿名访问”等三个选项，事实证明不会影响到“计算机管理”。由于进行了(1)~(4)项配备，只有以其它方式来严禁共享文献夹了。我在“顾客权限分派”中将“从网络访问此计算机”设为仅有“DomainAdmins”组，又把“回绝从网络访问此计算机”设为“DomainUsers、Users、PowerUsers、Guests”，不能从域控制器远程打开“计算机管理”了。通过分析，是由于我登陆到域控制器的管理员帐户默认也是“DomainUsers”组的组员，将它拿出来，再试还是不行，直到我把Users组从“回绝从网络访问此计算机”选项中拿出来后来，又能够正常打开了。因素可能是：1.该管理员帐户同时也是Users构组员，在升级为域控制器之后，没方法从Users组中拿出来了，我没有进一步尝试；2.域管理员帐户通过网络访问客户机，会被自动应用到Users构组员中，纯属猜想，没有具体查资料。总而言之，只得放任Users构组员不管了，好在我禁用了客户机的本地帐户，只能登陆到域，变成DomainUsers就归我管了，嘿嘿，基本解决了严禁文献夹共享的问题了吧，现在即使是在客户机设立了EveryOne完全访问的共享文献夹，普通顾客也回绝访问。固然你也能够完全不理睬与否打得开“计算机管理”，那就得自己测试一下与否能对的分发组方略了。问题4：DomainUsers无法运行AutoCADR14等软件的问题。答：说到域环境下布署应用程序的问题，这涉及到公司软件管理制度、计算机管理制度等方面，可谈的话题十分宽泛，这里仅从不控制软件使用的角度上讲一讲在域环境下布署应用程序的某些思路。（1）在FAT32目录下安装的软件、绿色软件等等，诸多是能够不用布署直接运行的。（不到万不得已不推荐用FAT32）（2）在组方略上启用“软件限制方略”，按默认即可，大部分软件立刻能够正常运行。（3）按（2）设立后，对于Autocadr14这样的老软件，不妨试一试新版本，Autocad就能够正常运行，经我测试的Matlab6.5、Protel99se、SolidWorks等都能够正常运行。（4）还不能运行的软件，用组方略的“软件安装”