Win2003域服務器的配置配置環(huán)境：服務器端：win2003英文專業(yè)版客戶端：winXP 專業(yè)版(注：家庭版不能做此項設置)配置步驟：服務器端：1. 根據(jù)自己的網(wǎng)絡環(huán)境，先給服務器指定一個固定的IP

Win2003域服務器的配置

配置環(huán)境：

服務器端：win2003英文專業(yè)版

客戶端：winXP 專業(yè)版(注：家庭版不能做此項設置)

配置步驟：

服務器端：1. 根據(jù)自己的網(wǎng)絡環(huán)境，先給服務器指定一個固定的IP 。例如：IP ：192.168.1.4，

子網(wǎng)掩碼：255.255.255.0，網(wǎng)關：192.168.1.1，DNS 服務：192.168.1.4(注：因為要把這臺機器配置成DNS 服務器)

2. 安裝DNS 服務。win2003在默認狀態(tài)下是不安裝DNS 的。所以要手動安裝，方法：點“開始—設置—控制面板—添加刪除程序”，選“添加/刪除Windows 組件”，在窗口中選擇“網(wǎng)絡服務”(Networking Server)，默認情況下所有的網(wǎng)絡服務都會被添加，你也可以只選擇安裝DNS ，點擊下面的“詳細信息”進行自定義安裝（在這里我是全選的，以免發(fā)生意外）。然后點“確定”，一直點“下一步”就可以完成整個DNS 的安裝。（在整個安裝過程中請保證win 2003安裝光盤位于光驅(qū)中）

3. 安裝完DNS 后，就準備安裝配置Active Directory 。在“開始—運行”中，輸入dcpromo ，按回車，就可以進入安裝向?qū)Я?。點next 。

4. 這里是一個兼容性的要求，Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器，我建議大家盡量采用win2000及以上的操作系統(tǒng)來做為客戶端。然后點擊“下一步”。

5. 在這里有2個選項，如果是第一次建第一臺域控制器，請選第一項“新域的域控制器”（Domain controller for a new domain），點next 。

6. 這里有3個選項，因為是第一臺域控制器，所以選第一項“在新林中的域”（Domain in a new forest），點next 。

7. 在這里要指定一個域名，我在這里指定的是demo.com 。點next 。

8. 這里要指定NetBIOS ，注意千萬別和下面的客戶端沖突，也就是說整個網(wǎng)絡里不能再有一臺PC 的計算機名叫“demo”，雖然這里可以修改，但個人建議還是采用默認的好，省得以后麻煩。點next 。

9. 在這里要選擇存儲Active Directory 數(shù)據(jù)庫和日志的存放位置。如果不是C 盤的空間不足，建議采用默認。點next 。

10. 這里是指定SYSVOL 文件夾的位置，建議默認。點next 。

11. 這里也有幾個選項，我選擇的是“在這臺計算機上安裝并配置DNS ，并將這臺DNS 服務器設為這臺計算機的首選DNS 服務器”（Install and configure the DNS server on this computer and set this computer to use this DNS servser as its preferred DNS server）。點next 。

12. 這是一個權限的選擇項，我選擇第二項“只與Windows 2000或Window 2003操作系統(tǒng)兼容的權限”， 因為在我做實驗的環(huán)境里，并沒有Windows 2000以前的操作系統(tǒng)存在。點next 。

13. 這里是還原密碼設置，這是個重點。要記住這個密碼，千萬別忘記，因為在關于活動目錄恢復上要用到這個密碼的。點next 。

14. 這是確認畫面，仔細查看，確認無誤后，點next 開始安裝。

15. 安裝完后，點“完成”(finish)。之后再點“立即重啟電腦”。

16. 建立委派賬號。由于從網(wǎng)絡安全性考慮，盡量少的使用域管理員帳號，所以先

在域控制器上建立一個委派帳號。在“開始——運行”中輸入dsa.msc 出現(xiàn)“AD

用戶和計算機”管理控制臺。

17. 展開“demo.com ”，在“Users ”上單擊鼠標右鍵，點“新建” ——“用戶”。

18. 在新建用戶向?qū)е?，為自己起個用戶名。我的名字是david （注：不要使用系

統(tǒng)中已經(jīng)從在的用戶名）。點next 。

19. 密碼設置。輸完密碼后，在下面的幾個選項中，選擇“永不過期”（password never

expires ）。點next 。完成用戶創(chuàng)建。

20. 在“demo.com”上單擊鼠標右鍵，先擇“委派控制”，彈出“委派控制向?qū)А?。點

next 。

21. 點擊中間的“添加”按鈕，并輸入剛剛創(chuàng)建的“david ”帳號。點“確定”，再

點next 。

22. 在這是出現(xiàn)的窗口中，暫時不需要讓該用戶去“管理組策略鏈接”，所以在這

里，僅僅選擇“將計算機加入到域”（Join a computer to the domain），然后

點next 。

23. 最后是信息核對畫面，要是沒有什么問題的話，直接點“完成”就可以了。

客戶端配置：1. 設置IP:192.168.1.17，子網(wǎng)掩碼：255.255.255.0，網(wǎng)關：192.168.1.1，DNS ： 192.168.1.4．

2. 在“我的電腦”上單擊鼠標右鍵，點“屬性”，選“計算機名”。找到“要

重新命名此計算機或加入域”這項，單擊右邊的“更改”按鈕。

3. 在彈出的窗口中，把“隸屬于”改成“域”，并輸入之前為服務器設置的

DNS 域名“demo.com ”，并點“確定”。這是會彈出一個登錄窗口。

4. 輸入剛剛在域控制器上建的那個“david ”的帳號，點“確定”。

5. 如果出現(xiàn)“歡迎”或“成功”字樣時，表示成功加入了，然后點“確定”，

點重啟就算OK 了。

當客戶端重啟完成后，輸入相應的用戶名和密碼，就可以用域登錄了。

在win2003域中部署軟件

要發(fā)布或分配計算機程序，必須在發(fā)布服務器上創(chuàng)建一個分發(fā)點：

1. 以管理員身份登錄到服務器計算機。

2. 創(chuàng)建一個共享網(wǎng)絡文件夾，將您要分發(fā)的 Microsoft Windows 安裝程序包（.msi 文件）放入此文件夾。

3. 對該共享設置權限以允許訪問此分發(fā)程序包。

4. 將該程序包復制或安裝到分發(fā)點。

要創(chuàng)建一個用以分發(fā)軟件程序包的組策略對象 (GPO)，請執(zhí)行以下操作：

1. 啟動“Active Directory 用戶和計算機”管理單元，方法是：單擊“開始”，指向“管理工具”，然后單擊“Active Directory用戶和計算機”。

2. 在控制臺樹中，右鍵單擊您的域，然后單擊“屬性”。

3.

4.

5.

6. 單擊“組策略”選項卡，然后單擊“新建”。 為此新策略鍵入名稱，然后按 Enter 。 單擊“屬性”，然后單擊“安全”選項卡。 對于您不希望應用該策略的安全組，請單擊以清除與其對應的“應用組策略”復選框。

7. 對于希望應用該策略的組，單擊以選中與它們對應的“應用組策略”復選框。完成后，單擊“確定”。

要將一個程序分配給運行 Windows Server 2003、Windows 2000 或 Microsoft Windows XP Professional 的計算機，或分配給正在登錄到這樣的一個工作站的用戶，請按照下列步驟操作：

1. 啟動“Active Directory 用戶和計算機”管理單元，方法是：單擊“開始”，指向“管理工具”，然后單擊“Active Directory用戶和計算機”。

2. 在控制臺樹中，右鍵單擊您的域，然后單擊“屬性”。

3. 單擊“組策略”選項卡，選擇您想要的組策略對象，然后單擊“編輯”。

4. 在“計算機配置”下，展開“軟件設置”。

5. 右鍵單擊“軟件安裝”，指向“新建”，然后單擊“程序包”。

6. 在“打開”對話框中，鍵入所需共享安裝程序包的完整統(tǒng)一命名約定 (UNC) 路徑。例如 serversharefile name.msi 。重要說明：不要使用瀏覽按鈕訪問該位置。確保使用共享安裝程序包的 UNC 路徑。

7. 單擊“打開”。單擊“分配”，然后單擊“確定”。該程序包將列在“組策略”窗口的右窗格中。

8. 關閉“組策略”管理單元，單擊“確定”，然后退出“Active Directory 用戶和計算機”管理單元。

9. 當客戶端計算機啟動時，這個經(jīng)管理的軟件程序包將自動安裝。

活動目錄之用戶配置文件

首先，什么是用戶配置文件? 根據(jù)微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統(tǒng)加載所需環(huán)境的設置和文件和集合，它包括所有用戶專用的配置設置。用戶配置文件存在于系統(tǒng)的什么位置呢? 那么用戶配置文件包括哪些內(nèi)容呢? 來給大家看一副截圖:

用戶配置文件的保存位置在:系統(tǒng)盤(一般是C 盤) 下的“Documents and Settings”文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，并且都登陸過的話，那么就會出現(xiàn)在同名文件夾后面拖后綴的情況，舉個例子:比如在一個域(demo.com)里面有一臺計算機(testxp)，本地有一個swg 的帳號，域上也有一個swg 的帳號，并且都登陸過這臺計算機，那么會發(fā)生如下情況:

本地帳號先登陸:那么本地的swg 的用戶配置文件夾為swg ，而域用戶的用戶配置文件夾為swg.demo 。

域帳號先登陸:那么域用戶的用戶配置文件夾為swg ，本地用戶的配置文件夾為swg.testxp 。 通過上面的截圖，我們可看出，用戶配置文件包括桌面設置、我的文檔、收藏夾、IE 設置等一些個性化的配置。另外需要說明的是在“Documents and Settings”文件夾下有一個名為

“All Users”的文件夾，如果你在這個文件夾下的“桌面”文件夾下新建一個文件的話，你會發(fā)現(xiàn)所有用戶在登陸時的桌面上都有這個文件，所以這個文件夾里的配置是對這臺計算機的每個用戶均起作用的。

當 網(wǎng)絡變成域構(gòu)架后，所有的域用戶可以在任意一臺域內(nèi)的計算機登陸，當你在一臺計算機上的用戶配置文件修改后，你會發(fā)現(xiàn)到另一臺計算機上登陸時，所有的設置 還是原來的，并沒有發(fā)生修改，這是因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那臺登陸的計算機上。我們可以在“我的電腦”上擊“右鍵”，選“屬性”，點“高級”，然后在“用戶配置文件”里點“設置”:

請注意“類型”里用紅框標出的部分，全部是“本地”，這就說明用戶配置文件保存在本地，那么如何才能讓用戶的配置文件隨著帳號走，也就是不管用戶在哪臺計算機上登陸都能保持用戶配置文件一致呢? 為 了解決這個問題，就要用到漫游用戶配置文件，原理就是把用戶配置文件保存在一個網(wǎng)絡的公共位置，當用戶在計算機上登陸里，會從網(wǎng)絡公共位置把用戶配置文件 下載到本地并加以應用，然后當用戶注銷時，會把本地的用戶配置文件同步到網(wǎng)絡公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那么如何來 實現(xiàn)這個功能呢? 現(xiàn)在就來實踐一下:

首先，要在一個網(wǎng)絡的公共位置開設一個共享文件夾，用來存放用戶配置文件，在個實驗里，就在域控制器上開設一個為share 的共享文件夾，并開放權限:

然后，點擊“開始-設置-控制面板-管理工具”，雙擊“AD用戶和計算機”，并選中相應的用戶，這里以“swg”帳號為例:

在“swg”帳號上雙擊，然后選“配置文件”，在“用戶配置文件-配置文件路徑”里輸入:2.168.5.1shareusername，“192.168.5.1”是域控制器的IP 地址，如下圖所示:

然后點確定，接下去就到客戶端去，用“swg”帳號登陸一下，看看會發(fā)生什么變化。

如上圖所示，DEMOswg的狀態(tài)由剛剛的“本地”變成了“漫游”，此時注銷一下用戶，那么就會自動的將該用戶的本地用戶配置文件同步到網(wǎng)絡公共位置，如果再用“swg”到另外的域內(nèi)計算機上去登陸的話，會發(fā)現(xiàn)所有的用戶配置文件和這臺計算機上是一樣的。那么服務器上發(fā)生了些什么變化呢?

如上圖所示，服務器的“share”文件夾里會自動創(chuàng)建一個和用戶名一樣的“swg”文件夾，默認情況下這個文件夾只允許對應的用戶打開:

畫面很熟悉吧?

目前很多公司的IT Pro都 有共同的感嘆，就是用戶喜歡把自己的桌面什么的搞得亂七八糟，雖然通過組策略可以限制掉一部份，但總覺得不是很完善，在這里，向大家推薦使用強制用戶配置 文件，用戶可以對自己個人配置文件任意修改，但是一旦注銷后，這些修改將不會被保存，這樣用戶下次登陸里，用戶的配置文件還是保持和原來一樣，那么如何實 現(xiàn)這個功能呢? 其實只要將用戶配置文件夾下的“Ntuser.dat”改成“Ntuser.man”就可以了，來看一下修改過程:

首先，在顯示隱藏文件和已知文件的擴展名，可以在“工具-文件夾選項-查看”里進行修改： ~

點“確定”后，就可以在看到那個“Ntuser.dat”文件了，但此時會有一個問題，如果去修改C:Documents and Settingsswg下的“Ntuser.dat”，會發(fā)現(xiàn)根本沒有辦法修改這個文件，因為文件在使用中，無法修改; 如果去修改網(wǎng)絡公共位置的“Ntuser.dat”，也就是2.168.5.1shareswg下的“Ntuser.dat”，修改當然可以修改，但是由于在“swg”用戶注銷的時候，本地的“Ntuser.dat”會把網(wǎng)絡公共位置的“Ntuser.man”覆蓋掉，也就是等于沒有修改。很多人都想直接在服務器上更改 “swg”文件夾的所有者，然后給管理員帳號添加權限，這樣就可以直接在服務器上把“Ntuser.dat”改掉，但本人實踐過幾次，都發(fā)現(xiàn)這樣的操作會引起一些權限無法繼承，而導致出錯的情況，所以不建議大家使用，這里推薦一種方法:

先把“swg”帳號注銷掉，然后用另外一個帳號登陸，比如管理員，當然，如果在登陸成功后直接去訪問2.168..5.1shareswg以試圖修改的話，那么你將會感到失望，因為還是拒絕訪問的，那么如何訪問并修改呢，可以這樣操作，“開始-運行-cmd”然后回車，這樣就啟動了命令行，在命令行下輸入:net use 2.168.5.1 password /user:swg，顯示“命令成功完成”，這樣就利用“swg”和服務器建立一個連接，此時就可以2.168.5.1shareswg，里進行修改了，

然后再注銷管理員帳號，用“swg”登陸，看看有沒有成功:

看到了吧，類型由“漫游”變成了“強制”，現(xiàn)在可以在桌面這些地方進行任意的修改，你會發(fā)現(xiàn)注銷再登陸，又恢復到了原樣。這種設置在多人使用同一個帳號的情況下非常有用。 最后再請大家注意兩個問題:

1、 在配置強制用戶配置文件時，當用其它用戶登陸修改時，請保證被修改的用戶處于注銷狀態(tài)，為什么? 大家不妨自己想一想!

2、 當使用漫游用戶配置文件時，請不要在桌面等地方存放一些大型的程序或文件，因為用戶在登陸和注銷過程中會下載和上傳配置文件，如果文件過大，會影響登陸和注銷的速度。

如何設置域用戶僅登錄到指定的計算機

默認情況下，在AD 中新建立帳號以后，這個帳號可以登錄到任何一臺計算機上，有些不安全，如何限制該帳號僅僅登錄到指定的計算機呢？這里主要是在域帳號的屬性中設置。

打開該帳號的屬性，帳戶頁面，登錄到，如下圖所示：

然后在登錄工作站選擇“下列計算機”；將要登錄到的計算機名字填寫，然后確定，即可。

3. 測試，當使用該帳號沒有登錄到指定的計算機的時候，系統(tǒng)會提示錯誤，如下圖所示：

到此設置完畢。

在Active Directory域中設置用戶登錄時間

在Active Directory域中創(chuàng)建域用戶賬戶以后，該用戶會自動獲得一些默認的權限。在很多情況下，用戶的默認權限可能并不符合網(wǎng)絡管理員的管理需求。在域控制器中可以對用戶的權限進行非常細致的設置，比如用戶登錄Active Directory域的時間、登錄計算機、共享資源使用權限等。

網(wǎng)絡管理員可以在域控制器（DC ）中設置允許用戶登錄到域的時間，從而加強Active Directory域的管理，操作步驟如下所述：

第1步，以系統(tǒng)管理員身份登錄域控制器，并打開“Active Directory用戶和計算機”窗口。在左窗格中單擊Users 容器，然后在右窗格的用戶列表中雙擊準備設置權限的用戶名稱（如ithanjiang ），打開“ithanjiang 屬性”對話框。切換到“賬戶”選項卡，并單擊“登錄時間”按鈕，如圖2008112543所示。

圖2008112543 單擊“登錄時間”按鈕

第2步，打開“ithanjiang 的登錄時間”對話框，在時間軸區(qū)域，橫軸方向每個方塊代表一小時，縱軸方向每個方塊代表一天。藍色方塊表示允許用戶使用的時間，空白方塊則表示禁止用戶使用的時間。默認情況下任何時間都允許用戶使用，例如準備讓用戶ithanjiang 可以在每天的6：00～18：00登錄到域，則先用鼠標左鍵單擊左上方的“全部”按鈕，然后選中“拒絕登錄”單選框。用鼠標選中相應范圍的時間塊，并選中“允許登錄”單選框。單擊“確定”按鈕完成設置，如圖2008112544所示。

圖2008112544 選中“允許登錄”單選框

小提示：當用戶在允許的時間段內(nèi)登錄到域，并且持續(xù)使用到超出允許的時間段時，用戶可以繼續(xù)保持連接并使用。不過，一旦用戶注銷登錄則不允許再進行新的連接。

如何在 windows 2003域中部署軟件？

要發(fā)布或分配計算機程序，必須在發(fā)布服務器上創(chuàng)建一個分發(fā)點：

1. 以管理員身份登錄到服務器計算機。

2. 創(chuàng)建一個共享網(wǎng)絡文件夾，將您要分發(fā)的 Microsoft Windows 安裝程序包（.msi 文件）放入此文件夾。

3. 對該共享設置權限以允許訪問此分發(fā)程序包。

4. 將該程序包復制或安裝到分發(fā)點。

要創(chuàng)建一個用以分發(fā)軟件程序包的組策略對象 (GPO)，請執(zhí)行以下操作：

1. 啟動“Active Directory 用戶和計算機”管理單元，方法是：單擊“開始”，指向“管理工具”，然后單擊“Active Directory

用戶和計算機”。

2. 在控制臺樹中，右鍵單擊您的域，然后單擊“屬性”。

3. 單擊“組策略”選項卡，然后單擊“新建”。

4. 為此新策略鍵入名稱，然后按 Enter 。

5. 單擊“屬性”，然后單擊“安全”選項卡。

6. 對于您不希望應用該策略的安全組，請單擊以清除與其對應的“應用組策略”復選框。

7. 對于希望應用該策略的組，單擊以選中與它們對應的“應用組策略”復選框。完成后，單擊“確定”。

要將一個程序分配給運行 Windows Server 2003、Windows 2000 或 Microsoft Windows XP Professional 的計算機，或分配給正在登錄到這樣的一個工作站的用戶，請按照下列步驟操作：

1. 啟動“Active Directory 用戶和計算機”管理單元，方法是：單擊“開始”，指向“管理工具”，然后單擊“Active Directory

用戶和計算機”。

2. 在控制臺樹中，右鍵單擊您的域，然后單擊“屬性”。

3. 單擊“組策略”選項卡，選擇您想要的組策略對象，然后單擊“編輯”。

4. 在“計算機配置”下，展開“軟件設置”。

5. 右鍵單擊“軟件安裝”，指向“新建”，然后單擊“程序包”。

6. 在“打開”對話框中，鍵入所需共享安裝程序包的完整統(tǒng)一命名約定 (UNC) 路徑。例如 serversharefile

name.msi 。重要說明：不要使用瀏覽按鈕訪問該位置。確保使用共享安裝程序包的 UNC 路徑。

7. 單擊“打開”。單擊“分配”，然后單擊“確定”。該程序包將列在“組策略”窗口的右窗格中。

8. 關閉“組策略”管理單元，單擊“確定”，然后退出“Active Directory 用戶和計算機”管理單元。

9. 當客戶端計算機啟動時，這個經(jīng)管理的軟件程序包將自動安裝。