计算机域讲座

什么叫域?

域系windowsNT/2000活动目录的核心单元，系计算机、用户等对象的容

器，而域内的对象有相同的安全需求、复制过程和管理。如果想有建立一个域,

首先要有一台机安装活动目录，成为域控主机。

我理解为域与工作组差不多，只不过域比工作组高级好多，管理的单元要

多、复杂（包括共享内容、用户管理、安全策略管理、文件分派。。。。。）

域用户就系计算机用户，不过加入域后的用户权限由域控主机的管理员重新

分配，所以不确定。但当用域用户身份登陆入域后，就可以共享域里的共享！

下面是一篇是如何建立域，如何加入域的分配域成员

的教程，希望对大家有所帮助。

本贴中所有的成员服务器均采用微软的WindowsServer2003,客户端则采用

WindowsXP。

首先，当然是在成员服务器上安装上WindowsServer2003,安装成功后进入系

统，

由于•WindowsServer2003在默认的安装过程中DNS是不被安装的，所以我

们需要手动去添加，

添加方法如下：“开始一设置一控制面板一添加删除程序”，然后再点击“添加/

删除Windows组件”，则可以看到如下画面：

indovs组件向导

Yindovs组件

可以添加或删除Windows的蛆件.

要添加或弱除某个组件“清单声旁边电复选捱,灰色框表示只会安装该组件的

一部分,要查看宏件内容，请军击“海田信息”・

组件©:河边一只鸭

画^InternetExplorer增强的安全配置0.0MB0

□华也加:服务4.9MB二

冬

IWindowsMediaServices15.3MB

」南使真服务21.7MB

1.1MBZJ

ni-i申子邮件服务

描述.包含各种专门的、网络相关的服务和协议.

所需磁盘空间140MB

详细信息①)

可用磁盘空间14309,4MB

<上一步@)|下一步理)>|取消|帮助

向下搬运右边的滚动条，找到“网络服务”，选中:

默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定

义安装，由于在这里只需要DNS,所以把其它的全都去掉了，以后需要的时候再

安装，然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。在

整个安装过程中请保证WindowsServer2003安装光盘位于光驱中，否则会出现

找不到文件的提示，那就需要手动定位了

网络服务

要添加或删除某个组件，话单击旁边的复选框.灰色框表示只会安装该组件的一

部分.要查看殂件内容，请单击“详细信息”.

网络服务的子组件位）

描述，允许BFC/DC0M通过Internet信息服务器皿）的KTTP进行通讯.

所需磁盘空间.15.5MB帑田信©如

可用感盘空间14305.9MB

确定取消

安装完DNS以后，就可以进行提升操作了，先点击“开始一运行”，输入

“Dcpromo”,然后回车就可以看到“ActiveDirectory安装向导”

这里是一个兼容性的要求，Windows95及NT4SP3以前的版本无法登陆运行到

WindowsServer2003的域控制器，我建议大家尽量采用Windows2000及以上

的操作系统来做为客户端。然后点击“下一步”：

在这里由于这是第台域控制器，所以选择第一项：“新域的域控制器”，然后

点“下一步”

既然是第一台域控，那么当然也是选择“在新林中的域”：

|Aet“eDirectory安装向导

创建一个新域

谙选择要创建的域的类型.

创建一个新的：

廿连新拄里的复始:，可边一只鹃

如果这是您单位的第一个域或您想让新城完全独立于您当前的林，诸选择

透个僦.

r在现有城树中的子域位）

如果惠想让新城成为现有域的子域，语选择此选项.例如，华可创建一个

名为headquartersexample,microsoft.com的新域作为

examplemicrosoftcom域的子域.

r在现有的林中的域树出）

如果您不想使新城成为现有域的子域，谙选择此选项.这珞创建一个与现

有树分开的.即的域树.

＜上一步也）I下一步国）＞1取消I

在这里我们要指定一个域名，我在这里指定的是demo.com

这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里

不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是

采用默认的好，省得以后麻烦。

[ActiveDireetory安装向导

NetBIOS域名

话指定新域的NetBIOS名称.

这个行称是早期Windows版本的用尸用采识别新域的.单击“下一步”接受

显示的名称，或输入新名称.

域NetBIOS名也）：DEMO

，可.也一只鸭

〈上一步也）|下一步国）》|取消

在这里要指定AD数据库和日志的存放位置，建议采用默认。

|AetinDirectorjr安

数餐库和日志文件文件夹

请指定赢ActiveDirectory数据库和日志文件的文件夹。

基于最佳性能和可恢复性的考虑，清将数据库和日志存放在不同的硬盘上.

您希望在哪里保存ActiveDirectory数据库？

数据库文件夹（2）：

:\WINDOWS\HTDS|浏览®一|

〜河也一*只甲鸟

您希望在哪里保存ActiveDirectory日志？

日志文件夹_________________________________

|C：\WINDOWS\HTDS浏览地）.|

＜上一步也）|下一步国）＞|取消|

这里是指定SYSVOL文件夹的位置，建议采用默认。

第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装

TDNS,但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现

响应超时的现像，所以在这里要选择：“在这台计算机上安装并配置DNS,并将

这台DNS服务器设为这台计算机的首选DNS服务器”。

这是一个权限的选择项，在这里，我选择第二项：“只与Windows2000或Window

2003操作系统兼容的权限”，因为在我做实验的整个环境里，并没有Windows

2000以前的操作系统存在”

LKetiveDirectory

权限

请选择用尸和蛆对象的默认权限.

____________

一些服务器程序，如WindowsFT远程访问服务，可读取域控制器储存的信

息.

C与Windows2000之前的服务器操作系统兼容的权限国）

如果在Windows2000之前的服务器操作系统上运行服务器程序，或在

Windows2000或WindowsServer2003像作系统上运行般务器程序，该服

务器又是Windows2000之前城的成员，请选此选项.

JS匿名用户可读取这个域的信息.

如果仅在Windows2000或WindowsServer2003操作系筑上运行服务器

程序，该服务露又是ActiveDirectory域的成员，话选此选成只有经

过盛怔的用户才能读取这个城的信息..

＜上一步@）|下一步也）＞|取捎

设置密码，希望大家设置好以后一定要记住这个密码。

这是确认画面,请仔细检查刚刚输入的信息是否有误，尤其是域名书写是否正确,

因为改域名可不是闹着玩的，如果有的话可以点上一步进入重输，如果确认无误

的话，那么点“下一步”就正式开安装了：

Directory安装向导

技要.

话复查并确认选定的选项.

____________"

您选择a).

将这个服务器配置成新域林中的第一个域控制器.三

新域名将为demo.com.这也是新林的名称.

域的NetBIOS名将为DEHO

数据库文件夹.c:\wnroows\irrDs

日志文件文件夹，C\mDOWS\NTDS

SYSVDL文件笑C：WIKD0»S\SYSV0L

篇翳觑鹊嘉邦蠹产服务.将逅这台计算机使用此晒_

要更改选项，单击“上一步”.要开始操作，单击“下一步”.

〈上T下一步国)取消\

儿分钟后，安装完成:

Directory安装向导

ActiveDirectory.根据您所选的选项，此过程可能要花几分

何边一只鸭

单

开始...

点完成:

ActiveBirectory安装向导

正在完成ActiveDirectory安装向

导

E在这台计苴机上为demo,com域安装了Active句

Directory.

已将此域控制器分配给Default-First-Site-Name

站点•ActiveDirectory站点和版务管理工具合

管理所有站点。

河边一只甲鸟

二J

要关闭此向导，语单击“完成”.

二一+侬］完成I取消

点”立即重新启动”。

ActiveDirectory向导

必须重新启动WindowsJActiveDirectory安装向导所做的改

动才能生效.

河边一只甲鸟

二一即重与总动：砥口|不立即重新启动@)|

然后来看一下安装了AD后和没有安装的时候有些什么区别，首先第一感觉就是

关机和开机的速度明显变慢了，再看一下登陆界面，多出了一个“登陆到”的选

择框：

用户名QD；

密码g：

登录到&）：

选项也）«

进入系统后，右键点击“我的电脑”选“属性”，点“计算机”怎么样?和安装

AD以前不一样吧，其它的比如没有本地用户了，在管理工具里多出么多图标什

么的。

把一台成员服务器提升为域控制器（二）

在楼上的帖子中，已经把一台名为Server的成员服务器提升为了域控制器，那

我们现在来看一下如何把下面的工作站加入到域。

由于从网络安全性考虑，尽量少的使用域管理员帐号，所以先在域控制器上建立

一个委派帐号，登陆到域控制器，运行"dsa.msc"，出现“AD用户和计算机”

管理控制台:

先来新建一个用户，展开“”，在“Users”上击右键，点“新建”-“用

户”：

ActiveDir«el«ry3j

W文件qy常作⑷查看⑦封口3**)«)

8T勾国e)•旨［3贷仅右邺二▽4，

OMQasDirwctory用户和l十置机U“r»20福霰2

；♦4仰存的直博病Isai»ti3

"号d<*ocoaCAdwiMitrator用户管理计衽引(域।的内置

>1二Builtitk£1C«rCFubli安全超-本此蛆的成员被允许发行

♦」

Coppt«r%£]DnsAdains安例・本DIG苫理受组

/刘g，inCoatr«ll«ri

安生组•全局允虏臂KWS户*00

♦_JFor・865xuri《yFrincip7

C2Dom«i»Athinx安全组-全局指定的畋省理员

幺】Doe3nCo*安全铜-全局加入到喊中的所有工作

要源控制（1）

班⑴W/DoflionC©n安例•全局域中所有域控和器

vvTI<w««virtn.r・・移籍-全局强的所有东真

Kttqp计复机金IB-x«所。圾用户

所IT任务qp全姻・全局£业的指定多统苫理员

tfi金姐-全局这个烟中的成员可以修

3M9»

P供东表5日计豌凯核C5

从>Z星创建W口(V书明衿克豆中心组

7可只鸭MSSQ队列别名金指-李

打印机全姐-本ns工作近程蛆

导出州费03用尸■PEE名访问lAl<rn«L信

共享文怦提用于总动迸程外应用程

本这个姐中的II务8S可以

MMa安全组-全局装构的指定，壬长苫理员

<11ysfmc»■Xvisnuav^«x«p

创建一个新而

然后出现一个新建用户的向导，在这里，我新建了一个名为“swg”的用户，并

且把密码设为“永不过期”。

I新建对掣-用户

创建在democom/Users

卜丘茏®国取消

这样点“下一步”，直到完成，就可以完成用户的创建。然后在"”上

点击右键，先择“委派控制”：

^IctiveBir«el«ry用尸宣

匕女件任)彼作⑷£*IX)・口(X)帮助如

：

g-区।画®倒也略目tia&vc

gActiveBireelwy用尸和计跳机d«ieC95小刷费

♦」保存的查倒SW1条致1踊逑1

♦岁HT

雯源及和学)JouiilinboUaD83n

jco«put«rs石0centM>b«rf。

939.(1)

JD83nCgD«f«ultcontaintrfo

SS5JMQ)

JForti(nS«e答SUDtfaoltcanl&inerfo

连搜到殿校制翩&)

JUi«ri容器D«f4ulteoht<in«rfo

想升级功崎逅别®

推住主机出

*QP»河池一只甲鸟

所UT任务QP•

«<QD

从这里创建厘口8

导出那03

格助QP

砂g件兴的密施对象控制网中力。，飞u

就会出现一个“委派控制向导”：

欢迎使用控制委流向导

此向导帮助您委派ActiveDirectory对象的控制。您

可给予用户权限来管理用户，狙，计直机，部门，和其

他存储在ActiveDirectory中的对象。

要继续，请单击“下一步”.

河也一只甲鸟

玲

・：一步小卜工三步◎匚》|取消

用尸和组

选定一个或多个您想委派控制的用户或组.

选定的用尸和组（S）

河边一只甲鸟

添加®.|眯屿n|

:上一步⑴1一一彳出」取消

点击中间的“添加”按钮，并输入刚刚创建的“swg”帐号:

用户和组

选定一个或多个您想委派控制的用户或蛆。

选定的用户和组母）

5swg(swgQdemo.com)

何也一只甲鸟

〈上一步®|下一步第M取消|

在下面的画面中，暂时不需要让该用户去“管理组策略链接”，所以在这里,

仅仅选择“将计算机加入到域”，然后点“下一步”：

最后是一个信息核对画面，要是没有什么问题的话，直接点“完成”就可以了。

接下来转到客户端，看看怎么把XP进来，在实验中采用的客户端操作系统是

WindowsXP专业版，需要大家注意的是WindowsXP的Home版由于针对的是家

庭用户，所以不能加入域大家别弄错了，我们先来设置一下这台XP的网络：

计算机名：TestXP

IP:192.168.5.5

子网掩码:255.255.225.0

DNS服务器：192.168.5.1,

设置完网络以后，在“我的电脑”上击右键，选“属性”，点“计算机名”把“隶

属于"改成域，并输入：“”

计算机名称更改

踹盛赢需学名称和成员身份.更则能会影响

隶属于

点确定，这是会出现如下画面:

输入刚刚在域控上建的那个“swg”的帐号，点确定，重启动计算机

启动机器后看到那个“登陆到”了吧，可以选择域登陆还是本机登陆了，在这里

选择域“DEMO"，这样就可以用域用户进行登陆了。

进入系统后，在“我的电脑”上击右键，选“属性”，点“计算机名”：看到用

黑框标出来的地方和没有加入到域的时候的区别的吧？

系统属性(7]

窜觐计复机名发件i酗系妩还原自动更新istt

Kinds,使用以下信息在网络中标识＞36计苴机.

看完这些相信大家明白如何建立域，如何加入域和分

配域成员了吧

1、在''添加/删除程序“里面找到''添加删除组件''找到“网络服务”安装上DNS

2、配置DNS前的准备。如果你以本地计算机作DNS服务器的话，请把你的TCP/IP

设置中的DNS地址与你当前的IP设置相同。外网地址不可以配置非法域名

3、具体配置.在计算机的“管理工具”找到“DNS”打开。

4、DNS中有两个区域：正向查找区域和方向查找区域。我们只需要配置正向就

可以了

5、右击“正向查找区域"选择“新建区域”然后点“下一•步”再选择“主要区

域”下一步，采用默认值，再下一步，在区域名称中输入：

。点下一步。再用默认值，点完成。

6^右击“xuefagen.anltech.com”选择新建主机;主机名称随便写。IP地址是

你计算机当前地址不能写错。完成后点“添加主机”，点“确定”.再点“完

成”。

7、右击“”选择新建别名.别名写入:www主要是为了在

浏览器打开的时候以：www.xuefagen.anltech.com形式打开;点击"浏览"按钮，

在名称栏中用鼠标选中对象,一直点到最后,然后再点'‘确定

8.最后是检墓你所配置的DNS是不是正确的,在“开始〃菜单中“运行”里面输入

"CMD"在提示符下输入:pingwww.xuefagen.anltech.com如过能ping通则表

示DNS成功.

9、配置说明：以上配置所需要的环境：操作系统要在服务器操作系统中才可以，

用户要Administrators组中的成员，或是Powerusers组中的成员。并且你的

计算机没有安装集成在AD中的DNS也就是说你的计算机不是DC

域操作命令net

大家在操作Windows9X/NT/2000/XP/2003系统的过程中，都会或多或少会遇到

这样或那样的问题；特别是网管员在维护单位的局域网或广域网时候，如果能掌

握一些Windows系统的网络命令使用技巧，常常会给工作带来极大的方便，有

时能起到事倍功半的效果；本文就Net网络命令在实际操作中使用技巧，供大

家参考。

我们知道NET命令是一个命令行命令，Net命令有很多函数用于实用和核查计算

机之间的NetBIOS连接，可以查看我们的管理网络环境、服务、用户、登陆等信

息内容；要想获得Net的HELP可以⑴在Windows下可以用图形的方式，开始

-〉帮助-〉索引-〉输入NET；(2)在COMMAND下可以用字符方式：NET/?或NET或

NETHELP取得相应的方法的帮助。所有Net命令接受选项/yes和/no(可缩写为

/y和/n)。

下面对NET命令的不同参数的使用技巧介绍如下：

1、NetView

作用：显示域列表、计算机列表或指定计算机的共享资源列表。

命令格式：Netview[\\computername)/domain[:domainname]]

有关参数说明:

•键入不带参数的Netview显示当前域的计算机列表

,\\computername指定要查看其共享资源的计算机

•/domain[:domainname]指定要查看其可用计算机的域

例如：Netview\\GHQ查看GHQ计算机的共享资源列表。

Netview/domain:XYZ查看XYZ域中的机器列表。

2、NetUser

作用：添加或更改用户帐号或显示用户帐号信息。

命令格式：Netuser[username[password1*][options]][/domain]

有关参数说明：

•键入不带参数的Netuser查看计算机上的用户帐号列表

•username添加、删除、更改或查看用户帐号名

,password为用户帐号分配或更改密码

•提示输入密码

•/domain在计算机主域的主域控制器中执行操作。该参数仅在WindowsNT

Server域成员的WindowsNTWorkstation计算机上可用。默认情况下，Windows

NTServer计算机在主域控制器中执行操作。注意：在计算机主域的主域控制器

发生该动作。它可能不是登录域。

例如：Netuserghql23查看用户GHQ123的信息。

3、NetUse

作用：连接计算机或断开计算机与共享资源的连接，或显示计算机的连接信息。

命令格式：Netuse[devicename|*][\\computername\sharename[\volume]]

[password*]][/user:[domainname\]username][[/delete]|

[/persistent:{yes|no}]]

有关参数说明：

•键入不带参数的Netuse列出网络连接

•devicename指定要连接到的资源名称或要断开的设备名称

,\\computername\sharename服务器及共享资源的名称

,password访问共享资源的密码

•*提示键入密码

•/user指定进行连接的另外一个用户

,domainname指定另一个域

,username指定登录的用户名

•/home将用户连接到其宿主目录

•/delete取消指定网络连接

•/persistent控制永久网络连接的使用。

例如：Netusef:\\GHQ\TEMP将\\GHQ\TEMP目录建立为F盘

Netusef:\GHQ\TEMP/delete断开连接。

4、NetTime

作用：使计算机的时钟与另一台计算机或域的时间同步。

命令格式：Nettime[\\computername|/domain[:name]][/set]

有关参数说明：

,\\computername要检查或同步的服务器名

,/domain[:name]指定要与其时间同步的域

•/set使本计算机时钟与指定计算机或域的时钟同步。

5、NetStart

作用：启动服务，或显示已启动服务的列表。

命令格式：Netstartservice

6^NetPause

作用：暂停正在运行的服务。

命令格式：Netpauseservice

7、NetContinue

作用：重新激活挂起的服务。

命令格式:Netcontinueservice

8、NetStop

作用：停止WindowsNT/2000/2003网络服务。

命令格式：Netstopservice

下面我们来看看上面四条命令里服务包含哪些服务：

(l)alerter(警报)；

(2)clientserviceforNetware(Netware客户端服务)

(3)clipbookserver(剪贴簿服务器)

(4)computerbrowser(计算机浏览器)

(5)directoryreplicator(目录复制器)

(6)ftppublishingservice(ftp)(ftp发行服务)

(7)Ipdsvc

(8)Netlogon(网络登录)

(9)Networkdde(网络dde)

(10)Networkddedsdm(网络ddedsdm)

(11)Networkmonitoragent(网络监控代理)

(12)ole(对象链接与嵌入)

(13)remoteaccessconnectionmanager(远程访问连接管理器)

(14)remoteacce