win2003域服务器的配置

2017-03-27

30545

Win2003域服务器的配置配置环境：服务器端：win2003英文专业版客户端：winXP 专业版(注：家庭版不能做此项设置)配置步骤：服务器端：1. 根据自己的网络环境，先给服务器指定一个固定的IP

Win2003域服务器的配置

配置环境：

服务器端：win2003英文专业版

客户端：winXP 专业版(注：家庭版不能做此项设置)

配置步骤：

服务器端：1. 根据自己的网络环境，先给服务器指定一个固定的IP 。例如：IP ：192.168.1.4，

子网掩码：255.255.255.0，网关：192.168.1.1，DNS 服务：192.168.1.4(注：因为要把这台机器配置成DNS 服务器)

2. 安装DNS 服务。win2003在默认状态下是不安装DNS 的。所以要手动安装，方法：点“开始—设置—控制面板—添加删除程序”，选“添加/删除Windows 组件”，在窗口中选择“网络服务”(Networking Server)，默认情况下所有的网络服务都会被添加，你也可以只选择安装DNS ，点击下面的“详细信息”进行自定义安装（在这里我是全选的，以免发生意外）。然后点“确定”，一直点“下一步”就可以完成整个DNS 的安装。（在整个安装过程中请保证win 2003安装光盘位于光驱中）

3. 安装完DNS 后，就准备安装配置Active Directory 。在“开始—运行”中，输入dcpromo ，按回车，就可以进入安装向导了。点next 。

4. 这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用win2000及以上的操作系统来做为客户端。然后点击“下一步”。

5. 在这里有2个选项，如果是第一次建第一台域控制器，请选第一项“新域的域控制器”（Domain controller for a new domain），点next 。

6. 这里有3个选项，因为是第一台域控制器，所以选第一项“在新林中的域”（Domain in a new forest），点next 。

7. 在这里要指定一个域名，我在这里指定的是demo.com 。点next 。

8. 这里要指定NetBIOS ，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC 的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。点next 。

9. 在这里要选择存储Active Directory 数据库和日志的存放位置。如果不是C 盘的空间不足，建议采用默认。点next 。

10. 这里是指定SYSVOL 文件夹的位置，建议默认。点next 。

11. 这里也有几个选项，我选择的是“在这台计算机上安装并配置DNS ，并将这台DNS 服务器设为这台计算机的首选DNS 服务器”（Install and configure the DNS server on this computer and set this computer to use this DNS servser as its preferred DNS server）。点next 。

12. 这是一个权限的选择项，我选择第二项“只与Windows 2000或Window 2003操作系统兼容的权限”，因为在我做实验的环境里，并没有Windows 2000以前的操作系统存在。点next 。

13. 这里是还原密码设置，这是个重点。要记住这个密码，千万别忘记，因为在关于活动目录恢复上要用到这个密码的。点next 。

14. 这是确认画面，仔细查看，确认无误后，点next 开始安装。

15. 安装完后，点“完成”(finish)。之后再点“立即重启电脑”。

16. 建立委派账号。由于从网络安全性考虑，尽量少的使用域管理员帐号，所以先

在域控制器上建立一个委派帐号。在“开始——运行”中输入dsa.msc 出现“AD

用户和计算机”管理控制台。

17. 展开“demo.com ”，在“Users ”上单击鼠标右键，点“新建” ——“用户”。

18. 在新建用户向导中，为自己起个用户名。我的名字是david （注：不要使用系

统中已经从在的用户名）。点next 。

19. 密码设置。输完密码后，在下面的几个选项中，选择“永不过期”（password never

expires ）。点next 。完成用户创建。

20. 在“demo.com”上单击鼠标右键，先择“委派控制”，弹出“委派控制向导”。点

next 。

21. 点击中间的“添加”按钮，并输入刚刚创建的“david ”帐号。点“确定”，再

点next 。

22. 在这是出现的窗口中，暂时不需要让该用户去“管理组策略链接”，所以在这

里，仅仅选择“将计算机加入到域”（Join a computer to the domain），然后

点next 。

23. 最后是信息核对画面，要是没有什么问题的话，直接点“完成”就可以了。

客户端配置：1. 设置IP:192.168.1.17，子网掩码：255.255.255.0，网关：192.168.1.1，DNS ： 192.168.1.4．

2. 在“我的电脑”上单击鼠标右键，点“属性”，选“计算机名”。找到“要

重新命名此计算机或加入域”这项，单击右边的“更改”按钮。

3. 在弹出的窗口中，把“隶属于”改成“域”，并输入之前为服务器设置的

DNS 域名“demo.com ”，并点“确定”。这是会弹出一个登录窗口。

4. 输入刚刚在域控制器上建的那个“david ”的帐号，点“确定”。

5. 如果出现“欢迎”或“成功”字样时，表示成功加入了，然后点“确定”，

点重启就算OK 了。

当客户端重启完成后，输入相应的用户名和密码，就可以用域登录了。

在win2003域中部署软件

要发布或分配计算机程序，必须在发布服务器上创建一个分发点：

1. 以管理员身份登录到服务器计算机。

2. 创建一个共享网络文件夹，将您要分发的 Microsoft Windows 安装程序包（.msi 文件）放入此文件夹。

3. 对该共享设置权限以允许访问此分发程序包。

4. 将该程序包复制或安装到分发点。

要创建一个用以分发软件程序包的组策略对象 (GPO)，请执行以下操作：

1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

2. 在控制台树中，右键单击您的域，然后单击“属性”。

6. 单击“组策略”选项卡，然后单击“新建”。为此新策略键入名称，然后按 Enter 。单击“属性”，然后单击“安全”选项卡。对于您不希望应用该策略的安全组，请单击以清除与其对应的“应用组策略”复选框。

7. 对于希望应用该策略的组，单击以选中与它们对应的“应用组策略”复选框。完成后，单击“确定”。

要将一个程序分配给运行 Windows Server 2003、Windows 2000 或 Microsoft Windows XP Professional 的计算机，或分配给正在登录到这样的一个工作站的用户，请按照下列步骤操作：

1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

2. 在控制台树中，右键单击您的域，然后单击“属性”。

3. 单击“组策略”选项卡，选择您想要的组策略对象，然后单击“编辑”。

4. 在“计算机配置”下，展开“软件设置”。

5. 右键单击“软件安装”，指向“新建”，然后单击“程序包”。

6. 在“打开”对话框中，键入所需共享安装程序包的完整统一命名约定 (UNC) 路径。例如 serversharefile name.msi 。重要说明：不要使用浏览按钮访问该位置。确保使用共享安装程序包的 UNC 路径。

7. 单击“打开”。单击“分配”，然后单击“确定”。该程序包将列在“组策略”窗口的右窗格中。

8. 关闭“组策略”管理单元，单击“确定”，然后退出“Active Directory 用户和计算机”管理单元。

9. 当客户端计算机启动时，这个经管理的软件程序包将自动安装。

活动目录之用户配置文件

首先，什么是用户配置文件? 根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合，它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢? 那么用户配置文件包括哪些内容呢? 来给大家看一副截图:

用户配置文件的保存位置在:系统盘(一般是C 盘) 下的“Documents and Settings”文件夹下，有一个和你的登陆用户名相同的文件夹，该用户配置文件就保存在这里，顺便提示一下，如果本机和域上有一个同名用户，并且都登陆过的话，那么就会出现在同名文件夹后面拖后缀的情况，举个例子:比如在一个域(demo.com)里面有一台计算机(testxp)，本地有一个swg 的帐号，域上也有一个swg 的帐号，并且都登陆过这台计算机，那么会发生如下情况:

本地帐号先登陆:那么本地的swg 的用户配置文件夹为swg ，而域用户的用户配置文件夹为swg.demo 。

域帐号先登陆:那么域用户的用户配置文件夹为swg ，本地用户的配置文件夹为swg.testxp 。通过上面的截图，我们可看出，用户配置文件包括桌面设置、我的文档、收藏夹、IE 设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为

“All Users”的文件夹，如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话，你会发现所有用户在登陆时的桌面上都有这个文件，所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。

当网络变成域构架后，所有的域用户可以在任意一台域内的计算机登陆，当你在一台计算机上的用户配置文件修改后，你会发现到另一台计算机上登陆时，所有的设置还是原来的，并没有发生修改，这是因为用户的配置文件是保存在本地的，不管是域用户还是本地用户，都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”，选“属性”，点“高级”，然后在“用户配置文件”里点“设置”:

请注意“类型”里用红框标出的部分，全部是“本地”，这就说明用户配置文件保存在本地，那么如何才能让用户的配置文件随着帐号走，也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢? 为了解决这个问题，就要用到漫游用户配置文件，原理就是把用户配置文件保存在一个网络的公共位置，当用户在计算机上登陆里，会从网络公共位置把用户配置文件下载到本地并加以应用，然后当用户注销时，会把本地的用户配置文件同步到网络公共位置，以保证公共位置用户配置文件的有效性，以便下一次使用。那么如何来实现这个功能呢? 现在就来实践一下:

首先，要在一个网络的公共位置开设一个共享文件夹，用来存放用户配置文件，在个实验里，就在域控制器上开设一个为share 的共享文件夹，并开放权限:

然后，点击“开始-设置-控制面板-管理工具”，双击“AD用户和计算机”，并选中相应的用户，这里以“swg”帐号为例:

在“swg”帐号上双击，然后选“配置文件”，在“用户配置文件-配置文件路径”里输入:2.168.5.1shareusername，“192.168.5.1”是域控制器的IP 地址，如下图所示:

然后点确定，接下去就到客户端去，用“swg”帐号登陆一下，看看会发生什么变化。

如上图所示，DEMOswg的状态由刚刚的“本地”变成了“漫游”，此时注销一下用户，那么就会自动的将该用户的本地用户配置文件同步到网络公共位置，如果再用“swg”到另外的域内计算机上去登陆的话，会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢?

如上图所示，服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹，默认情况下这个文件夹只允许对应的用户打开:

画面很熟悉吧?

目前很多公司的IT Pro都有共同的感叹，就是用户喜欢把自己的桌面什么的搞得乱七八糟，虽然通过组策略可以限制掉一部份，但总觉得不是很完善，在这里，向大家推荐使用强制用户配置文件，用户可以对自己个人配置文件任意修改，但是一旦注销后，这些修改将不会被保存，这样用户下次登陆里，用户的配置文件还是保持和原来一样，那么如何实现这个功能呢? 其实只要将用户配置文件夹下的“Ntuser.dat”改成“Ntuser.man”就可以了，来看一下修改过程:

首先，在显示隐藏文件和已知文件的扩展名，可以在“工具-文件夹选项-查看”里进行修改： ~

点“确定”后，就可以在看到那个“Ntuser.dat”文件了，但此时会有一个问题，如果去修改C:Documents and Settingsswg下的“Ntuser.dat”，会发现根本没有办法修改这个文件，因为文件在使用中，无法修改; 如果去修改网络公共位置的“Ntuser.dat”，也就是2.168.5.1shareswg下的“Ntuser.dat”，修改当然可以修改，但是由于在“swg”用户注销的时候，本地的“Ntuser.dat”会把网络公共位置的“Ntuser.man”覆盖掉，也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者，然后给管理员帐号添加权限，这样就可以直接在服务器上把“Ntuser.dat”改掉，但本人实践过几次，都发现这样的操作会引起一些权限无法继承，而导致出错的情况，所以不建议大家使用，这里推荐一种方法:

先把“swg”帐号注销掉，然后用另外一个帐号登陆，比如管理员，当然，如果在登陆成功后直接去访问2.168..5.1shareswg以试图修改的话，那么你将会感到失望，因为还是拒绝访问的，那么如何访问并修改呢，可以这样操作，“开始-运行-cmd”然后回车，这样就启动了命令行，在命令行下输入:net use 2.168.5.1 password /user:swg，显示“命令成功完成”，这样就利用“swg”和服务器建立一个连接，此时就可以2.168.5.1shareswg，里进行修改了，

然后再注销管理员帐号，用“swg”登陆，看看有没有成功:

看到了吧，类型由“漫游”变成了“强制”，现在可以在桌面这些地方进行任意的修改，你会发现注销再登陆，又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。最后再请大家注意两个问题:

1、在配置强制用户配置文件时，当用其它用户登陆修改时，请保证被修改的用户处于注销状态，为什么? 大家不妨自己想一想!

2、当使用漫游用户配置文件时，请不要在桌面等地方存放一些大型的程序或文件，因为用户在登陆和注销过程中会下载和上传配置文件，如果文件过大，会影响登陆和注销的速度。

如何设置域用户仅登录到指定的计算机

默认情况下，在AD 中新建立帐号以后，这个帐号可以登录到任何一台计算机上，有些不安全，如何限制该帐号仅仅登录到指定的计算机呢？这里主要是在域帐号的属性中设置。

打开该帐号的属性，帐户页面，登录到，如下图所示：

然后在登录工作站选择“下列计算机”；将要登录到的计算机名字填写，然后确定，即可。

3. 测试，当使用该帐号没有登录到指定的计算机的时候，系统会提示错误，如下图所示：

到此设置完毕。

在Active Directory域中设置用户登录时间

在Active Directory域中创建域用户账户以后，该用户会自动获得一些默认的权限。在很多情况下，用户的默认权限可能并不符合网络管理员的管理需求。在域控制器中可以对用户的权限进行非常细致的设置，比如用户登录Active Directory域的时间、登录计算机、共享资源使用权限等。

网络管理员可以在域控制器（DC ）中设置允许用户登录到域的时间，从而加强Active Directory域的管理，操作步骤如下所述：

第1步，以系统管理员身份登录域控制器，并打开“Active Directory用户和计算机”窗口。在左窗格中单击Users 容器，然后在右窗格的用户列表中双击准备设置权限的用户名称（如ithanjiang ），打开“ithanjiang 属性”对话框。切换到“账户”选项卡，并单击“登录时间”按钮，如图2008112543所示。

图2008112543 单击“登录时间”按钮

第2步，打开“ithanjiang 的登录时间”对话框，在时间轴区域，横轴方向每个方块代表一小时，纵轴方向每个方块代表一天。蓝色方块表示允许用户使用的时间，空白方块则表示禁止用户使用的时间。默认情况下任何时间都允许用户使用，例如准备让用户ithanjiang 可以在每天的6：00～18：00登录到域，则先用鼠标左键单击左上方的“全部”按钮，然后选中“拒绝登录”单选框。用鼠标选中相应范围的时间块，并选中“允许登录”单选框。单击“确定”按钮完成设置，如图2008112544所示。

图2008112544 选中“允许登录”单选框

小提示：当用户在允许的时间段内登录到域，并且持续使用到超出允许的时间段时，用户可以继续保持连接并使用。不过，一旦用户注销登录则不允许再进行新的连接。

如何在 windows 2003域中部署软件？

要发布或分配计算机程序，必须在发布服务器上创建一个分发点：

1. 以管理员身份登录到服务器计算机。

2. 创建一个共享网络文件夹，将您要分发的 Microsoft Windows 安装程序包（.msi 文件）放入此文件夹。

3. 对该共享设置权限以允许访问此分发程序包。

4. 将该程序包复制或安装到分发点。

要创建一个用以分发软件程序包的组策略对象 (GPO)，请执行以下操作：

1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory

用户和计算机”。

2. 在控制台树中，右键单击您的域，然后单击“属性”。

3. 单击“组策略”选项卡，然后单击“新建”。

4. 为此新策略键入名称，然后按 Enter 。

5. 单击“属性”，然后单击“安全”选项卡。

6. 对于您不希望应用该策略的安全组，请单击以清除与其对应的“应用组策略”复选框。

7. 对于希望应用该策略的组，单击以选中与它们对应的“应用组策略”复选框。完成后，单击“确定”。

1. 启动“Active Directory 用户和计算机”管理单元，方法是：单击“开始”，指向“管理工具”，然后单击“Active Directory

用户和计算机”。

2. 在控制台树中，右键单击您的域，然后单击“属性”。

3. 单击“组策略”选项卡，选择您想要的组策略对象，然后单击“编辑”。

4. 在“计算机配置”下，展开“软件设置”。

5. 右键单击“软件安装”，指向“新建”，然后单击“程序包”。

6. 在“打开”对话框中，键入所需共享安装程序包的完整统一命名约定 (UNC) 路径。例如 serversharefile

name.msi 。重要说明：不要使用浏览按钮访问该位置。确保使用共享安装程序包的 UNC 路径。

7. 单击“打开”。单击“分配”，然后单击“确定”。该程序包将列在“组策略”窗口的右窗格中。

8. 关闭“组策略”管理单元，单击“确定”，然后退出“Active Directory 用户和计算机”管理单元。

9. 当客户端计算机启动时，这个经管理的软件程序包将自动安装。

相关推荐