安装域控制器Windows 2003配置教程

系统集成

　　域控制器为网络用户和计算机供应了Active Directory目录效力，它存储并拷贝目录数据，并处置用户与域的交互，包含用户登录进程、身份验证和目录查找。每个域至少有必要包含一个域控制器。可以通过在任何成员效力器或独立效力器（除了那些具有束缚性容许协议的效力器）上设备Active Directory来设备域控制器。

　　
　　当您将第一个域控制器设备到组织中时，您就创建了第一个域（也称根域）和第一个林。可以在现有的域中添加附加的域控制器来供应容错功用、前进效力的可用性以及平衡现有域控制器的负载。
　　
　　还可以设备域控制器来创建一个新的子域或新的域树。当您想要与一个或多个域同享连续的称谓空间的域时，请创建新的子域。意思是，新域的称谓中包含父域的无缺称谓。例如，sales.microsoft.com可以是microsoft.com的一个子域。仅当您想要的域的域名系统(DNS)称谓空间与该林中的其他域无关时，才创建一个新的域树。也便是说，新域树的根域（及其全部子域）的称谓不包含父域的无缺称谓。一个林中可以包含一个或多个域树。
　　
　　在设备域控制器之前，需求考虑与Windows2000从前版别兼容的安全级别，并标识域的DNS称谓。

　　一、域的组成
　　
　　1.效力器配备由于只需本地作业，所以只需求单域就够了。效力器是三台IBM效力器，*作系统是WINDOWS2000SERVER版（也不一定要三台，实际上一台也能结束这些效力，至于用不用高级效力器版随你便了）。
　　
　　SERVER（192.168.0.1）：主域控制器，域名final.com，IP192.168.0.1；并配备为主DNS效力器（转发DNS央求到ISP的DNS效力器IP，这样当客户机的DNS指向SERVER时不只可以正常运用局域网也可以访问Internet）；设备WINS效力。
　　
　　SERVER2（192.168.0.2）：备份域控制器，DHCP效力器，建立作用域192.168.0.0/24，供应192.168.0.10~192.168.0.100（具体供应多少IP地址请根据需求自定，关键是请留出一有些IP给效力器用）；配备作用域选项，其间网关为192.168.0.254（宽带同享路由器），DNS、WINS效力器地址为192.168.0.1.SERVER3（192.168.0.3）：备用。
　　
　　如果为了安稳，可以在SERVER2上配备为DNS为主DNS的备份区域及GC，这样即使SERVER因调试重启或缺点暂时不能运用时保证客户机仍可正常运用网络。
　　
　　请不要问我怎样设备DC、DNS、DHCP、WINS效力，微软的描写简直便是*瓜化的设备。
　　
　　2.OU的建立公司有人事部、行政部、财务部、工程部、市场部五个有些（虚拟的）。
　　
　　为了处置及配备战略便当，建立以下OU层级。
　　
　　建立一级OU名为“FINAL”，“FINAL”下建三个二级OU，分别为“处置员”、“公司领导”、“有些”。在“有些”下按有些称谓建立五个有些OU.在每个二级OU和**OU下分别建立安全组和用户，并把用户参与相应的安全组。
　　
　　用户帐号建立原则：以公司花名册为准，用员工工号为登录名建立用户帐号，建立后移动到相应的有些OU，并参与相应的安全组，员工的帐号均为DomainUsers组。
　　
　　如在“处置员”OU里建立“处置组”，建立用户“000”，并把用户“000”参与安全组“处置组”；在OU“有些”－“人事部”下建立用户“004”，参与安全组“人事组”。
　　
　　建立用户帐号的时分请无缺输入用户的姓名资料，以便日后若设备Exchange时运用。
　　
　　请注意：这时OU里并没有计算机帐号，由于在描写OU时客户机并没有设备，请看后边的客户机设备。
　　
　　3.组战略及网络运用按以上描写的OU层级，可以在公司、处置层次、功用部分分别描写相应的组战略。以下举两个实例以供参看。
　　
　　例一：束缚客户机登录用户客户机参与域后（客户机的设备及配备见后），默许情况下任何一个域帐号可以在任何一台客户机登录到域运用该台客户机。可我兄弟公司的人竟然不接受这个观念，说这姿势岂不是每自己的电脑其他人都可以打开了，不安全，要给每台电脑再加上CMOS开机暗码。当时我气的差点儿六孔喷血而亡（当时正在吃KFC，嘴里不会吐出来的）。
　　
　　在我几番耐性说明，告诉他们“电脑应做为公司一种同享的作业设备，而不是某个单用的电脑。任何一个连入网络的设备（电脑、打印机）都是网络的一有些，都是公司的资源”。总算到达以下协议，每个有些的人只能登录该有些的电脑。这一点从一定程度上添加了客户机的安全性。
　　
　　在**OU，如“人事部”上创建组战略，在“计算机设置”－“本地战略”－“用户权利指派”－“在本地登录”，设置DomainAdmin组和“人事组”有用，这样只需处置员和人事部的人才华登录人事部的电脑了。其他部分分别添加相应组战略。
　　
　　例二：网络同享的描写及文件夹重定向由于给用户的是DomainUser的权限，所以用户不能同享本地的文件，那么怎样处置用户文件同享的需求呢？这就需求在效力器上有处置员共同设置了。
　　
　　效力器上的同享：在SERVER3上建立一个文件夹“DATA”，并完全同享，同享名为默许的“DATA”。在“DATA”文件夹下建立“SHAREDOCUENT”文件夹，在此文件夹建立每个有些的文件夹并设置NTFS权限。
　　
　　其间DATA，Sharedocument文件夹设置DomainAdmin组，SYSTEM完全控制，Everyone只读；有些文件夹的NTFS权限设置为Domainadmin组和本有些安全组有完全控制权限，Everyone只读。
　　
　　用户帐号配备：建立用户帐号时，为用户配备“主文件夹”，连接到效力器上的本有些文件夹。
　　
　　图中的有些文件夹方法应为无缺的UNC，如“server3datasharedocument人事部”。
　　
　　这样设置当用户登录后在“我的电脑”里会多一个网络映射Z盘，映射到用户本有些同享文件夹，用户可以把需求同享的文件拷贝到Z盘，其他用户就可以通过同享访问。
　　
　　放在同享里的文件，本有些人的有完全控制权限，其他有些人具有只读权限。用户可以进一步在本有些文件夹内建立自己的文件夹，并设置更严峻的权限。有些用户可以没有固定的电脑，自己文件放在有些同享文件夹里会有一些问题出现。一是安全性有待进一步描写，二是用户对同享不是很熟悉，多数人不会去设置文件夹安全特色。考虑到这一点，再加上文件存放的便当性，我做了文件夹重定向。
　　
　　在一级OUFINAL上添加组战略，这是为了保证域内全部的用户的MyDocument文件夹都存放到效力器上。
　　
　　组战略－用户配备－Windows设置－文件夹重定向，设置MyDocument特色，设置”底子-将每自己的文件夹定向到同一方位”，”目录文件夹方位”为file://Server3/Data/UserDocument/%username.以上的描写结束了两个通过网络同享方案：（1）存放在MyDocument里的文件，用户无论在哪台客户机登录时均可正常访问，且只需自己可以访问；（2）各有些可在效力器上同享文件，且只需本有些有批改权限。
　　
　　还可以在效力器上再建立一个文件夹，让全部用户均可以尽情读写的权限。
　　
　　再提一点，为了防止用户在效力器上存放垃圾文件并前进效力器的利用率，在Server3上启用磁盘限额，每个用户默许束缚运用100M.这里的100M是用户存放在MyDocument和有些同享文件夹里的文件总和。
　　
　　组战略的描写关键在于你有啥需求，有了需求再去描写该用啥战略来结束它。
　　
　　首要，要判定所需战略设置的类型。战略设置通常划分为以下几有些：
　　
　　安全设置。
　　
　　要安置的运用程序包。
　　
　　计算机系统设置。
　　
　　用户环境设置。
　　
　　特定于运用程序的设置。

sddshh

这个也是个不错的ai东东