windows域管理操作手册

实验环境使用VMW 虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加

实验环境

使用VMW 虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。

首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。

下面开始具体操作

1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User ，我这里以“小五”为用户名，如下图

2、在服务器端建立保存用户配置文件的共享文件夹，本文在c 盘建立了一个user 文件夹，用来保存所有用户配置文件，然后再user 文件夹下建立一个“小五”文件夹，用来保存

“小

五”用户的配置文件。这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone ，然后找到我们域中的用户“小五”，给他所有权限。

3、进一步权限设置，如图

这样权限方面问题已经设置完成

4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图

192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹

主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。

现在配置基本完成，我们从客户端登录一下试试看

初次登陆之后，我们注销，这样，本地的配置文件，就会自动保存到服务器上对应的文件夹。 回到服务器上我们会看到生成好多文件，刚才这里面还是空的

这些文件就是我们注销的时候下面提示正在保存配置文件的时候，其实就是把文件写入我们服务器里面了。

我们再次重新登陆一下

打开我的电脑会发现多了一个磁盘映射

这就是我们专门为此用户设计的一个共享文件夹，用户可以把重要的数据等存放在这里，其实就是存放在服务器上，相对来说就更加安全了。

至此，漫游用户配置文件就配置完毕了。

小提示：如果配置过程中出现一些问题，那么多数是权限设置问题。这时候需要检查一下权限即可。其他方面一般很少出现问题。另外，如果，服务器上共享的文件夹只给予只读权限，那么，用户配置文件所有内容在下次登录的时候都会失效，像还原卡一样。因为，

在注销时

向服务器更新配置文件的时候是没有权限的，而下次登录的时候再次向服务器请求配置文件，自然而然就是旧的了，而不是最新的。

网络环境：

网络结构采用VLAN 划分部门，服务器单独一个VLAN ，通过在核心交换机上配置路由和ACL 实现各部门之间不可互访，通过访问服务器进行数据交换。服务器是Win2003企业版，不记得用什么光盘装的了，反正网上下的，装完后打过SP2补丁，安装的Win2000域控制器模式（有Win2000的服务器）。

域名：XXX.local

主域控制器：192.168.0.6/24 192.168.0.254/24（双网卡）这个网段只有网管部门可访问，本来是调试用的，还没有正式迁移到服务器网段，不过可以和服务器网段建立通信。 额外域控制器：192.168.2.254/24 服务器网段

DNS ：192.168.2.254

DHCP ：192.168.2.254 已经通过交换机的UDPHelp 把各个VLAN 的DHCP 网段都做好了，只配置了IP 、网关、DNS 。

局域网计算机有Win2k Pro和WinXP Pro，W2k 是用自己封装的ghost 批量安装的，xp 是用的YlmF_GhostXP_SP3_Y1.0，当然都是会随机产生SID 啦，全部采用自动获取IP 地址，安装后默认设置不变，XP 自带防火墙开启，配置如图1。

（图1）

在客户端可以Ping 通服务器IP 地址以及binhu.local 。总之网络层的互联互通是OK 的，下面的问题全都不是由网络配置问题造成的，如果您确定您的网络配置都正确，并且网络结构和我大致相同或比我的还简单，可以继续往下看.

问题1：新计算机在添加到域的过程中，按提示输入了域帐户和密码后，系统提示“找不到网络路径”。

答：启动计算机的“TCP/IP NetBIOS Helper”服务。很不幸，我做的w2k 镜像和ylmf 的xp 镜像刚好都把该服务设为了手动。

问题2：加入到域的计算机，无法在域控制器上打开“计算机管理”。

答：刚把计算机test 加入到域，我就迫不及待的登陆到域控制器，想通过AD 控制台远程打开该计算机的“计算机管理”，结果又弹出提示“找不到test.XXX .local 的网络路径”。尝试在域控制器上ping 了一下test.XXX.local ，居然提示“Ping request could not find host

test.XXX.local. ”，域名解析失败！赶紧检查DNS 记录，发现test.XXX.local 主机记录安然的躺在正向搜索区域中，看来不是DNS 服务器的问题。猛然想起本地DNS 缓存，赶紧关闭“DNS Client”服务，再次尝试问题解决。原来即使是在DNS 服务器上进行域名解析，也不是直接查找的DNS 数据库啊！总结经验：在局域网部署过程中，网络节点变化比较频繁，建议关掉网络计算机上的本地DNS 缓存服务，待局域网正常运作之后，网络节点变化较少，再根据DNS 服务器响应DNS 请求的负荷来考虑是否有必要打开该服务。

问题3：加入到域的计算机，在域控制器上打开“计算机管理”，部分项无法管理。

答：打开“计算机管理”后，发现“本地用户和组”打，除了可以查看“共享文件夹”下的内容外，其它项目都不能正常查看。在经历了上面2道磨难后，又遇到这种问题，是不是倍受打击呢？其实对于稍微“马虎”一点的管理员，一般都不会碰到这个问题。无奈我配置域管理的目的是为了便于分发安全策略，不得不“精细化管理”，从组策略到服务到共享到防火墙统统折腾了一遍...... 还是很有收获的！在无数次的“gpupdate”之后，摸索到一些既不影响“计算机管理”，又能一定程度提高安全性的方法。

（1）共享：有IPC$即可，其它默认共享都可以关掉。

（2）网络组件：必须安装“Microsoft 网络文件和打印机共享”，且必须打钩。

（3）内置防火墙：需要允许“文件和打印机共享”，且不限制135、137、138、139、445等端口的监听。（当然您可以用更强大的防火墙进行数据筛选，看个人功力了:）

（4）服务：需要启动“Server”、“TCP/IP NetBIOS Helper”、“Remote Registry”服务。

（5）组策略：为了增强网络访问安全性，我在安全选项中启用了“不允许 SAM 帐户的匿名枚举”、“不允许 SAM 帐户和共享的匿名枚举”、“限制对命名管道和共享的匿名访问”等三个选项，事实证明不会影响到“计算机管理”。由于进行了(1)~(4)项配置，只有以其它方式来禁止共享文件夹了。我在“用户权限分配”中将“从网络访问此计算机”设为仅有“Domain Admins”组，又把“拒绝从网络访问此计算机”设为“Domain Users、Users 、Power Users、Guests”，不能从域控制器远程打开“计算机管理”了。经过分析，是由于我登陆到域控制器的管理员帐户默认也是“Domain Users”组的成员，将它拿出来，再试还是不行，直到我把Users 组从“拒绝从网络访问此计算机”选项中拿出来以后，又可以正常打开了。原因可能是：

1. 该管理员帐户同时也是Users 组成员，在升级为域控制器之后，没办法从Users 组中拿出来了，我没有进一步尝试；2. 域管理员帐户通过网络访问客户机，会被自动应用到Users 组成员中，纯属猜测，没有详细查资料。总而言之，只好放任Users 组成员不管了，好在