實驗環(huán)境使用VMW 虛擬機，客戶端為Windows XP SP2，服務器端為Windows Server 2003 SP2企業(yè)版。首先將服務器端安裝好活動目錄，無需任何設置，默認安裝即可，并將客戶端加

實驗環(huán)境

使用VMW 虛擬機，客戶端為Windows XP SP2，服務器端為Windows Server 2003 SP2企業(yè)版。

首先將服務器端安裝好活動目錄，無需任何設置，默認安裝即可，并將客戶端加入到域。

下面開始具體操作

1、首先在服務器端用Active Directory用戶和計算機管理工具建立一個User ，我這里以“小五”為用戶名，如下圖

2、在服務器端建立保存用戶配置文件的共享文件夾，本文在c 盤建立了一個user 文件夾，用來保存所有用戶配置文件，然后再user 文件夾下建立一個“小五”文件夾，用來保存

“小

五”用戶的配置文件。這里面一定要注意權限的設置，在共享文件夾中的權限去掉everyone ，然后找到我們域中的用戶“小五”，給他所有權限。

3、進一步權限設置，如圖

這樣權限方面問題已經設置完成

4、在Active Directory用戶和計算機管理工具中為“小五”用戶設置用戶配置文件漫游，如圖

192.168.1.201為我們的服務器，后面所接的“user/小五”為保存用戶配置文件的共享文件夾

主文件夾相當于用戶的“我的文檔”，這里面映射到服務器上，更能保證用戶文件安全性與可靠性。

現(xiàn)在配置基本完成，我們從客戶端登錄一下試試看

初次登陸之后，我們注銷，這樣，本地的配置文件，就會自動保存到服務器上對應的文件夾。 回到服務器上我們會看到生成好多文件，剛才這里面還是空的

這些文件就是我們注銷的時候下面提示正在保存配置文件的時候，其實就是把文件寫入我們服務器里面了。

我們再次重新登陸一下

打開我的電腦會發(fā)現(xiàn)多了一個磁盤映射

這就是我們專門為此用戶設計的一個共享文件夾，用戶可以把重要的數(shù)據等存放在這里，其實就是存放在服務器上，相對來說就更加安全了。

至此，漫游用戶配置文件就配置完畢了。

小提示：如果配置過程中出現(xiàn)一些問題，那么多數(shù)是權限設置問題。這時候需要檢查一下權限即可。其他方面一般很少出現(xiàn)問題。另外，如果，服務器上共享的文件夾只給予只讀權限，那么，用戶配置文件所有內容在下次登錄的時候都會失效，像還原卡一樣。因為，

在注銷時

向服務器更新配置文件的時候是沒有權限的，而下次登錄的時候再次向服務器請求配置文件，自然而然就是舊的了，而不是最新的。

網絡環(huán)境：

網絡結構采用VLAN 劃分部門，服務器單獨一個VLAN ，通過在核心交換機上配置路由和ACL 實現(xiàn)各部門之間不可互訪，通過訪問服務器進行數(shù)據交換。服務器是Win2003企業(yè)版，不記得用什么光盤裝的了，反正網上下的，裝完后打過SP2補丁，安裝的Win2000域控制器模式（有Win2000的服務器）。

域名：XXX.local

主域控制器：192.168.0.6/24 192.168.0.254/24（雙網卡）這個網段只有網管部門可訪問，本來是調試用的，還沒有正式遷移到服務器網段，不過可以和服務器網段建立通信。 額外域控制器：192.168.2.254/24 服務器網段

DNS ：192.168.2.254

DHCP ：192.168.2.254 已經通過交換機的UDPHelp 把各個VLAN 的DHCP 網段都做好了，只配置了IP 、網關、DNS 。

局域網計算機有Win2k Pro和WinXP Pro，W2k 是用自己封裝的ghost 批量安裝的，xp 是用的YlmF_GhostXP_SP3_Y1.0，當然都是會隨機產生SID 啦，全部采用自動獲取IP 地址，安裝后默認設置不變，XP 自帶防火墻開啟，配置如圖1。

（圖1）

在客戶端可以Ping 通服務器IP 地址以及binhu.local ?？傊W絡層的互聯(lián)互通是OK 的，下面的問題全都不是由網絡配置問題造成的，如果您確定您的網絡配置都正確，并且網絡結構和我大致相同或比我的還簡單，可以繼續(xù)往下看.

問題1：新計算機在添加到域的過程中，按提示輸入了域帳戶和密碼后，系統(tǒng)提示“找不到網絡路徑”。

答：啟動計算機的“TCP/IP NetBIOS Helper”服務。很不幸，我做的w2k 鏡像和ylmf 的xp 鏡像剛好都把該服務設為了手動。

問題2：加入到域的計算機，無法在域控制器上打開“計算機管理”。

答：剛把計算機test 加入到域，我就迫不及待的登陸到域控制器，想通過AD 控制臺遠程打開該計算機的“計算機管理”，結果又彈出提示“找不到test.XXX .local 的網絡路徑”。嘗試在域控制器上ping 了一下test.XXX.local ，居然提示“Ping request could not find host

test.XXX.local. ”，域名解析失敗！趕緊檢查DNS 記錄，發(fā)現(xiàn)test.XXX.local 主機記錄安然的躺在正向搜索區(qū)域中，看來不是DNS 服務器的問題。猛然想起本地DNS 緩存，趕緊關閉“DNS Client”服務，再次嘗試問題解決。原來即使是在DNS 服務器上進行域名解析，也不是直接查找的DNS 數(shù)據庫啊！總結經驗：在局域網部署過程中，網絡節(jié)點變化比較頻繁，建議關掉網絡計算機上的本地DNS 緩存服務，待局域網正常運作之后，網絡節(jié)點變化較少，再根據DNS 服務器響應DNS 請求的負荷來考慮是否有必要打開該服務。

問題3：加入到域的計算機，在域控制器上打開“計算機管理”，部分項無法管理。

答：打開“計算機管理”后，發(fā)現(xiàn)“本地用戶和組”打，除了可以查看“共享文件夾”下的內容外，其它項目都不能正常查看。在經歷了上面2道磨難后，又遇到這種問題，是不是倍受打擊呢？其實對于稍微“馬虎”一點的管理員，一般都不會碰到這個問題。無奈我配置域管理的目的是為了便于分發(fā)安全策略，不得不“精細化管理”，從組策略到服務到共享到防火墻統(tǒng)統(tǒng)折騰了一遍...... 還是很有收獲的！在無數(shù)次的“gpupdate”之后，摸索到一些既不影響“計算機管理”，又能一定程度提高安全性的方法。

（1）共享：有IPC$即可，其它默認共享都可以關掉。

（2）網絡組件：必須安裝“Microsoft 網絡文件和打印機共享”，且必須打鉤。

（3）內置防火墻：需要允許“文件和打印機共享”，且不限制135、137、138、139、445等端口的監(jiān)聽。（當然您可以用更強大的防火墻進行數(shù)據篩選，看個人功力了:）

（4）服務：需要啟動“Server”、“TCP/IP NetBIOS Helper”、“Remote Registry”服務。

（5）組策略：為了增強網絡訪問安全性，我在安全選項中啟用了“不允許 SAM 帳戶的匿名枚舉”、“不允許 SAM 帳戶和共享的匿名枚舉”、“限制對命名管道和共享的匿名訪問”等三個選項，事實證明不會影響到“計算機管理”。由于進行了(1)~(4)項配置，只有以其它方式來禁止共享文件夾了。我在“用戶權限分配”中將“從網絡訪問此計算機”設為僅有“Domain Admins”組，又把“拒絕從網絡訪問此計算機”設為“Domain Users、Users 、Power Users、Guests”，不能從域控制器遠程打開“計算機管理”了。經過分析，是由于我登陸到域控制器的管理員帳戶默認也是“Domain Users”組的成員，將它拿出來，再試還是不行，直到我把Users 組從“拒絕從網絡訪問此計算機”選項中拿出來以后，又可以正常打開了。原因可能是：

1. 該管理員帳戶同時也是Users 組成員，在升級為域控制器之后，沒辦法從Users 組中拿出來了，我沒有進一步嘗試；2. 域管理員帳戶通過網絡訪問客戶機，會被自動應用到Users 組成員中，純屬猜測，沒有詳細查資料。總而言之，只好放任Users 組成員不管了，好在