计算机培训 Windows2008管理 创建域环境.pdf

1、第1章 Windows Server 2008 活动目录教学目标：活动目录介绍创建 Windows Server 2008 活动目录域设计活动目录组织单位创建和管理域用户漫游式用户配置文件在活动目录中使用组1.1 活动目录介绍以下讲述计算机的两种组织形式，工作组和域。先讲述工作组的限制，在讲述活动目录的功能，然后讲述活动目录的功能，也就是将计算机组织成域的形式能解决工作组面临的难题。1.1.1 工作组中的限制计算机安装操作系统后，默认的计算机属于 workgroup 工作组。工作组是最简单的计算机组织形式。工作组中的计算机没有统一的管理机制，每台计算机的管理员只能管理本地计算机，比如设置计算机

2、的安全策略，本地连接和共享等等管理工作。工作组的计算机也没有对用户帐户的统一的身份验证机制，用户登录计算机只能使用该计算机的本地用户帐户，有本地计算机来验证用户的身份。当访问网络上的共享资源，还需要提供访问网络资源的凭据。用户需要记住访问各个服务器用的账号和密码。工作组的计算机也没有统一查找网络资源的机制，比如网络中的共享的打印机，企业的用户帐户信息，共享文件夹等。基于以上限制，工作组是较小规模计算机网络组织的形式，在大企业中网络规模大，计算机数量多，需要统一的管理和集中的身份验证，并且能够给用户提供方便的搜索和使用网络资源的方式，工作组的组织形式就不适合了。1.1.2 活动目录的功能域将网络

3、中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域域是组织与存储资源的核心管理单元活动目录提供了存储网络上对象信息并使网络用户使用该数据的方法活动目录有以下特点集中管理便捷的网络资源访问用户一次登录就可访问整个网络资源网络资源主要包含用户帐户、组、共享文件夹、打印机等可扩展性1.1.3 DNS 服务器在域环境中的作用AD DS 服务器角色要求域名系统(DNS)服务按名称查找计算机、域控制器、成员服务器和网络服务。DNS 服务器角色通过将名称映射到 IP 地址为基于 TCP/IP 的网络提供 DNS 名称解析服务，从而使计算机可以查找 AD DS 环境中的网络资源。域名

4、解析 DNS 服务器通过其 A 记录将域名解析成 IP 地址定位活动目录服务 客户机通过 DNS 服务器上 SRV 记录定位目录服务通常情况下，DNS 和 DC 两个服务装在同一个计算机上。客户机如果要想找到域控制器，客户机的 DNS 必须指向域控制器的上 DNS。1.2 实战 1：创建 Windows Server 2008 域任务描述下面将创建如下域环境DCServer 作为域控制器和 DNS 服务器，服务器有 FileServer，Research 是研发部门的计算机，Sales 是销售部门的计算机。HanLG 是研发部门的用户帐户，ZhangJL 是研发部门的归档帐户，WangRS 是

5、销售部门的用户帐户。FielServer 存放用户的漫游配置文件和“公共空间”文件夹。ProfileServer 存放共享公司共享文件夹“研发图纸”和“销售资料”。试验环境DCServer 安装了 Windows Server 2008 企业版操作系统 IP 地址 10.7.10.12FileServer 安装了 Windows Server 2008 企业版操作系统Research 安装了 Windows Server 2008 企业版操作系统ProfileServer 安装 Windows Server 2008 企业版核心Sales 安装了 Vista 操作系统试验目标学会在 Windo

6、ws Server 2008 企业版操作系统中安装活动目录安装活动目录后的检查学会将计算机加入域能够根据部门结构在活动目录中创建组织单元创建和管理域用户在域环境中使用组创建漫游式用户配置文件该试验中用到了以下虚拟机，点击“VM”“Settings”，在 Virtual Machine Settings 对话框中，点击“Options”，在 Virtual machine name 输入虚拟机的名字。1.2.1 任务 1：在 DCServer 上安装活动目录以管理员的身份登录 DCServer，更改计算机名为 DCServer，重启操作系统。将 DCServer 的 IP 地址配置成静态 IP

7、地址 10.7.10.12，子网掩码 255.255.255.0，网关10.7.10.1，首选 DNS 服务器 10.7.10.12。因为安装活动目录的同时也要将其安装 DNS 服务，DNS 服务要求服务器使用静态 IP 地址。安装活动目录步骤：1.点击“开始”“运行”，输入“dcpromo”点击“确定”，打开活动目录安装向导，点击“下一步”，在“操作系统兼容性”对话框中，点击“下一步”。2.选中“在新林中新建域”，点击“下一步”，输入目录林根级域的完全限定域名（FQDN）“ESS.COM”，点击“下一步”。注：输入的域名要求是 FQDN 名字，不能是类似于“ESS”这样的名字。比如微软公司要

8、创建一个域，域名可以输入“”，但不能是“Microsoft”。3.林功能级别选中“Windows Server 2008”，点击“下一步”，在“其他域控制器选项”对话框中，选中“DNS 服务器”点击“下一步”。注：此林功能级别不提供 Windows 2003 林功能级别之上的任何新功能。但是，它确保在该林中创建的任何新域将自动在 Windows Server 2008 域功能级别运行，这样可提供独特的功能。4.在出现提示对话框，点击“是”。在出现的“Active Directory 数据库、日志文件和 SYSVOL 的位置”对话框，指定 ctive Directory 数据库、日志文件和 SY

9、SVOL的位置，点击“下一步”。数据库存储有关用户、计算机和网络中的其他对象的信息。日志文件记录与 AD DS 有关的活动，例如有关当前更新对象的信息。SYSVOL 存储组策略对象和脚本。默认情况下，SYSVOL 是位于%windir%目录中的操作系统文件的一部分。对于更加复杂的安装，您可能需要配置您的硬盘存储以优化 AD DS 的性能。由于数据库和日志文件以不同方式利用磁盘存储空间，因此您可以通过将每种内容分配到不同的硬盘主轴来提高 AD DS 的性能。5.在“目录服务还原模式的 Administrator 密码”对话框中，输入活动目录恢复时用到的管理员密码。点击“下一步”。点击“下一步”，

10、完成向导，选中“完成之后重启”。在 Active Directory 域服务(AD DS)未运行（因为 AD DS 已停止或因为域控制器已在 DSRM 中启动）时，目录服务还原模式(DSRM)密码是登录域控制器所必需的。注：卸载活动目录也是用 dcpromo 命令。注：安装上活动目录后，本地用户和组将不可用。1.2.2 任务 2：安装后的检查以管理员身份登录到域控制器。1.更改域控制器的使用的 DNS 服务器打开 TCP/IPv4 协议，将首选的 DNS 服务器更改 10.7.1.110。注意：默认安装活动目录后，首选 DNS 会指定成 127.0.0.1，所以启动后的第一件事就是将首选的 D

11、NS 指向自己的 IP 地址。2.打开服务管理器，检查 DNS 上的 SRV 记录。注意上面是 4 项，下面是 6 项。这些 SRV 记录是域控制器注册的。通过这些记录，客户机能够找到 ESS.COM 这个域的域控制器。如果安装完活动目录后，发现 SRV 记录不全。客户端就没有办法找到域控制器。如何做呢？请看下面的任务。3.检查活动目录的默认结构点击服务器管理器中的“角色”“Active Directory 域服务”“Active Directory 用户和计算机”“ESS.COM”。Builtin 存放的是内置的组。Computers 默认计算机加入域后，计算机账号存放的位置就是 Compu

12、ters。Domain Controllers 存放该域中的域控制器，不要轻易将域控制器移动到其他位置。ForeignSecurityPrincipals 存放信任的外部域中安全主体。Users 默认用户的存放位置。选中 ESS.COM，点击“查看”“高级功能”，你能看到活动目录中更多容器。1.2.3 任务 3：让域控制器向 DNS 服务器注册 SRV 记录由于某种原因，装完活动目录后发现 DNS 上的正向区域和 SRV 记录没有或不全，你需要采取一下措施，强制让域控制器向 DNS 注册 SRV 记录。下面先删除 DNS 服务器上的正向区域，同时也就删除了该区域下的所有记录。然后，将会让域控制

13、器向 DNS 服务器注册其 SRV 记录。步骤：1.打开服务管理器。2.右击“_”区域，点击“删除”。3.在弹出的提示框中，点击“是”。4.选中“”区域，点击“删除”。5.在弹出的提示框中，点击“是”。现在相当于 DNS 没有配置成功，没有正向查找区域，也没有 SRV 记录。这种情况域中的其他计算机没有办法通过 DNS 找到 ESS.COM 域的域控制器。6.右击正向查找区域，点击“新建区域”。7.在新建区域向导中，点击“下一步”。8.区域类型选择如下，点击“下一步”。9.在“Active Directory 区域作用域”中，选择“至此域中的所有 DNS 服务器”10.输入区域名字“_msdc

14、s.ESS.COM”，点击“下一步”。11.在“动态更新”中，选中“只允许安全的更新”。注意：_msdcs 这是固定格式。12.点击“下一步”，点击“完成”。13.按照上面的步骤创建一个“ESS.COM”区域。这个名字必须是活动目录的名字。14.注意观察，刚建的两个区域下面没有 SRV 记录15.确保域控制器的 TCP/IPv4 的首选 DNS 指向自己的地址。16.在域控制器上运行 net stop netlogon17.再运行 net start netlogon18.选中 DNS 服务器刚才创建的两个区域，按 F5 刷新。你会发现已经注册成功 SRV记录。1.2.4 SRV 记录注册不成

15、功的可能的原因默认情况，安装完活动目录就会 DNS 中的 SRV 记录就注册成功了，如果您在域控制器上重启 Netlogon 服务，有可能还是不能注册 SRV 记录到 DNS 服务器上，以下是总结的需要检查的几点。DNS 区域名字是否正确，是否允许安全更新创建的正向查找的区域的名字必须是活动目录的名字，还必须创建一个_msdcs.活动目录名字 区域。双击创建的区域，确保动态更新是“安全”或“非安全”，不能选择“无”。确保域控制器全名已经包括了活动目录的名字，如图，默认是包括的。如果域控制器的全名没有包括 后缀，点击“更改”按钮。在弹出的对话框中，点击“确定”。在下面的对话框中点击“其他”。默认

16、已经选中了“在域成员身份变化时，更改主 DNS 后缀”，输入 ESS.COM 后缀，点击“确定”。这样就给域控制器的计算机添加了一个域后缀。确保域控制器的 TCP/IP 属性已经选中“在 DNS 中注册此链接的地址”。1.2.5 任务 4:将计算机加入域将 Sales 计算机的计算机名称改成 Sales，重启系统。以管理员的身份登录 Sales，更改 Sales 计算机的本地连接的首选 DNS 服务器为10.7.10.12。右击“我的电脑”，点击“属性”，在出现的对话框中，点击“改变设置”。在出现的“系统属性”对话框中，点击“更改”。在出现的“计算机名/域更改”对话框，输入“ESS.COM”域

17、名，点击“确定”。输入域管理员账号和密码，点击“确定”。重新计算机。注：将计算机加入域，自动的会在活动目录中 computers 目录下创建计算机账号。您也可以在活动目录中先创建计算机账号，在将计算机加入域。将计算机脱离域，只需将计算机加入工作组即可从域中退出。检查加入到域之后计算机的名称，发现计算机名称后自动添加了域后缀。1.2.6 任务 5：将 Windows Server Core 操作系统加入域或退出域用虚拟机打开安装有 Windows Server Core 的 ProfileServer 虚拟机。以管理员的身份登录 ProfileServer 虚拟机。输入 hostname 查看计

18、算机名称。输入 netdom renamecomputer FileServer/newname:ProfileServer 更改计算机名称为ProfileServer。输入 netsh interface ipv4 set address name=”本地连接”source=static addr=10.7.10.212 mask=255.255.255.0 gateway=10.7.10.1 更改本地连接的 IP 地址、子网掩码和网关信息。输入 netsh interface ipv4 set dnsserver“本地连接”static 10.7.10.12 primary。输入 shut

19、down/r/t 0 重启系统。以本地管理员的身份登录到 ProfileServer。将计算机加入域输入 netdom join%computername%/domain:ESS.COM/userd:administrator/passwordD:a1!/REBoot:5 5 秒钟后自动重启系统。参数 UserD，输入域用户，参数 PasswordD，输入域用户的密码。将计算机退出域输 入netdomremove%computername%/domain: 5 秒钟后重启。计算机加入域后，计算机账号默认在 computers 目录下。1.3 设计活动目录组织单位域是活动目录逻辑结构的核心，可以

20、在活动目录中根据管理的方便根据公司或企业的组织结构创建组织单位。比如您管理的公司位于有北京和石家庄两个城市，你的公司有两个部门研发部和销售部，这两个部门分布于在两个城市，您考虑 IT 部门的管理方便，您可以优先以地理位置创建组织单位。再在石家庄和北京两个组织单位内按部门创建子组织单位。如果你的公司网络和计算机管理是以部门划分的，这样就较为容易得授权一个 IT 人员管理两个城市的研发部，授权一个 IT 人员管理两个城市的销售部。组织单位的创建应该以部门优先，在以地理位置创建子组织单位。1.3.1 创建组织单位根据公司的需要创建基于部门的组织单位。点击“开始”“程序”“管理工具”“Active D

21、irectory 用户和计算机”，打开活动目录管理工具。右击 ESS.COM，点击“新建”“组织单位”，输入组织单位名称，默认选中“防止容器被意外删除”，点击“确定”。右击刚才创建的“销售部”，点击“新建”“组织单元”，这样将会在“销售部”中创建子组织单元。为了管理起来有条理，在各个部门创建“用户”和“计算机”组织单位。创建如下图的组织单位。1.3.2 将计算机和用户移动到组织单位计算机加入域后，计算机账号在活动目录 computers 目录下。根据管理的需要将FileServer 和 ProfileServer 移动到“服务器”组织单元。将 Sales 计算机账号移动到“销售部”，将 Res

22、earch 移动到“研发部”。点击“开始”“程序”“管理工具”“Active Directory 用户和计算机”，打开活动目录管理工具。选中 computers 目录下的 FileServer，按下 Ctrl 键，选中 ProfileServer 计算机账号，右击选中的计算机账号，点击“移动”。在出现的对话框中，选中“服务器”，点击“确定”。提示:您也可直接将选中的计算机账号或用户帐户拖拽到其他的组织单元。将 Sales 计算机账号拖拽到“销售部”组织单元下的“计算机”组织单元中。将 Research计算机账号拖拽到“研发部”组织单元下的“计算机”组织单元中。1.4 创建和管理域用户域用户帐户

23、是在整个域中的用户帐户，存储在域控制器中的活动目录里面。默认可以在加入域的计算机上登录，由域控制器统一验证用户身份，并利用它访问网络资源，例如访问其他计算机上的共享文件夹、共享打印机等资源。当用户利用域用户帐户登录时，这个帐户数据会被送到域控制器，并由域控制器检查用户所输入的帐户名和密码是否正确。1.4.1 创建域用户点击“开始”“程序”“管理工具”“Active Directory 用户和计算机”，打开活动目录管理工具。右击“销售部”组织单元，点击“新建”“用户”。输入用户的姓名，用户的登录主名，用户的登录名。输入用户的密码“pssw0rd”和确认密码“pssw0rd”，点击“下一步”。该密

24、码包含了字符、特殊符号和数字，能够满足域的密码策略要求。点击“完成”。可以看到在“销售部”组织单元的“用户”子组织单元中创建了“王瑞胜”用户帐户。同样的方式在“研发部”组织单元的“用户”子组织单元中，创建“韩立刚”用户帐户，登录主名为 hanLGESS.COM，登录名为 ESShanLG。创建“张京铃”用户帐户，登录主名为 zhangJLESS.COM，登录名为 ESSzhangJL。1.4.2 域用户登录的方式以下演示域用户使用登录名或登录主名在域中的计算机上登录。销售部的域用户账号“王瑞胜”在销售部的计算机 Sales 上登录。默认显示上次登录过的帐户，点击“切换用户”。点击“其他用户”。

25、使用登录名登录，输入 ESSwangRS 和密码“pssw0rd”，点击登录。使用登录主名登录，输入 wangRSESS.COM 和密码“pssw0rd”，点击登录。1.4.3 重设域用户密码和用户自己更改密码如果用户忘记自己的帐户的密码了，管理员可以重新设置用户密码。右击用户帐号，点击“重置密码”，输入新密码，如果想让用户自己管理自己的密码，选中“用户下次登录时需更改密码”。一些公共的账号或者服务账号，防止个别人私自更改密码，造成其他人用户不能登录或服务启动失败。可以设置成用户不能更改的密码和密码永不过期。用户登录到域中的计算机后，按 Ctrl+Alt+Del 键，在虚拟机中按 Ctrl+A

26、lt+Insert 键。点击“更改密码”，输入就密码，输入新密码和确认新密码，点击更改密码。注意：默认域中安全策略，要求用户的密码至少使用 1 天，如果你的用户是刚刚创建的您使用下面的方法更改密码会提示“无法更改密码。为新密码提供的值不符合字符域的长度，复杂性或历史要求”。1.4.4 设置域用户帐户的登录时间“登录时间”用来设置用户什么时间可以登录到域。默认是用户可以在任何时间登录到域。要指定登录时间段，双击用户帐户，在出现的用户属性对话框中，点击“帐户”标签，点击“登录时间”，可以指定用户能够登录到域的时间段，最小单位为小时。如果用户登录没有在指定的时间段内登录，将会出现“您的帐户有时间限制

27、，您当前无法登录，请稍后再试”的提示。1.4.5 设置域用户只能登陆到特定的计算机默认域用户可以登陆域的成员计算机的任何计算机，为了安全期间，您可以指定域用户能够登录的计算机。双击用户帐户，在出现的用户属性对话框中，点击“帐户”标签，点击“登录到”，可以指定用户能够登录到域的那些计算机。如下图，指定“王瑞胜”只允许在销售部门的计算机 Sales 上登录。如果王瑞胜用户帐户在研发部门的 Research 计算机上登录，将有“您的帐户配置为阻止您使用该计算机。请尝试其他计算机”的提示。1.4.6 创建新的用户登录主名后缀默认用户的登录主名后缀为域的名字，您也可以创建新的域名后缀，这样你可以为不同部

28、门的用户创建不同的登录主名后缀了。点击“开始”“管理工具”“Active Directory 域和信任关系”。在打开的“Active Directory 域和信任关系”管理工具，右击“Active Directory 域和信任关系”，点击“属性”。您可以为每个部门创建不同的登录主名后缀。再次打开“Active Directory 用户和计算机”，双击销售部门的用户，在用户属性对话框中，点击“帐户”标签，选中“S”，用户登录主名就变为 wangRSS。1.4.7 设置用户登录主目录用户主目录可以让域用户访问到网络上服务器上的共享目录。域用户在登录后会根据用户帐户指定的主目录，自动为该用户映射一个

29、网络驱动器。以下步骤将会将销售部门的用户的主目录映射到服务器 FileServer 上的一个共享文件夹“公共空间”。步骤：1.以域管理的用户账号登录 FileServer。2.在 FileServer 上创建一个共享文件夹“公共空间”，右击该共享该文件夹，点击“共享”。3.在出现的对话框，选中“Everyone”，点击“添加”。4.点击“Domain users”，点击“参与者”。点击“共享”。注：“参与者”的权限能够使用户能够在共享的文件夹中添加修改文件或文件夹。5.在 DCServer 服务器上，打开“Active Directory 用户和计算机”管理工具，同时选中多个用户，右击“属性”

30、。提示：这种方式可以同时修改多个用户的属性。6.在多个用户属性对话框中，点击“配置文件”标签。选中“主文件夹”，选则“连接”盘符为“Z”，位置“FileServer公共空间%username%”，点击“确定”。注：其中“%username%”是参数，会自动用账户的登录名替代。这样会自动在“公共空间”文件夹中自动以用户的登录名创建一个文件夹。7.使用“王瑞胜”帐户在 Sales 计算机上登录，双击桌面上的“计算机”图标，能够看到自动映射了一个网络驱动器。1.4.8 使用保存的查询保存的查询为管理员提供了一种快速、一致的方法，用来访问要对其执行特定任务或进行监视的一组公共目录对象。保存的查询使用预

31、定义的 LDAP 字符串仅搜索指定的域分区，搜索的范围可具体到单个容器对象。还可以创建自定义的保存的查询，其中包含 LDAP 搜索筛选器。可以保存查询以搜索禁用的用户或计算机帐户、上次用户登录以后的天数、具有不过期密码的用户，以及许多其他常用查询。当执行保存的查询并显示出所需对象之后，每个对象都可以直接通过查询结果屏幕进行修改。此时，您可以选择多个对象并对它们执行某项任务。例如，可使用拖放操作将两个或多个显示的对象放在一个组中。以下的操作将会演示如何创建一个查询，来找到销售部的用户帐户。步骤：1.在 DCServer 上，打开“Active Directory 用户和计算机”管理工具。2.右击

32、“保存的查询”“新建”“查询”。3.在“新查询”对话框，输入名称“销售部员工”，点击“自定义查询”。4.在出现的对话框中，选择“用户联系人及组”。5.点击“字段”“部门”，6.输入值“销售部”，点击“添加”，点击“确定”。提示:当然您还可添加多个查询条件。7.自动会在产生查询语句，点击“确定”。8.查看查询的结果，现在能够看到两个用户帐户。9.将“刘强”帐户部门属性中填入“销售部”，点击“确定”。10.右击“销售部员工”“刷新”，可以看到凡是用户帐户部门属性是“销售部”，自动被列了出来。1.5 用户配置文件用户配置文件是使计算机符合所需的外观和工作方式的设置的集合。其中包括桌面背景、屏幕保护程

33、序、指针首选项、声音设置及其他功能的设置。用户配置文件可以确保只要登录到 Windows 便会使用个人首选项。用户配置文件与用于登录到 Windows 的用户帐户不同。每个用户帐户至少有一个与其关联的用户配置文件。每一个用户配置文件都以 Default 的副本开始，这是存储在运行 Windows Server 2008操作系统的所有计算机上的默认用户配置文件。Default 中的 NTuser.dat 文件包含Windows Server 2008 家族配置设置。以下步骤查看用户“Defualt”配置文件、“公共”文件夹以及 Research 计算机上的用户的配置文件。Windows Serv

34、er 2008 的用户配置文件默认在“c:用户”目录下。打开“c:用户”目录，点击“组织”“文件夹和搜索选项”。在文件夹选项对话框，点击查看标签，选择“显示隐藏的文件或文件夹”，点击“确定”。现在能够显示隐藏的“Default”文件夹。用户配置文件文件夹包含各种项目，包括桌面和“开始”菜单。下图列出每个用户配置文件中的文件夹。每个用户配置文件还使用包含在“公共”文件夹中的公用程序组。比如您打算让任何使用这台计算机的用户桌面上都有访问微软站点的快捷方式，你可以在“公共”文件夹中的“公共桌面”中创建一个快捷方式即可。步骤如下：1.打开“公共”文件夹中的“公共桌面”，右击空白处，点击“新建”“快捷方

35、式”。2.再出现的“创建快捷方式”对话框，输入 http:/ 用户配置文件的类型本地用户配置文件当一个用户第一次登录到一台计算机上时创建的用户配置文件就是本地用户配置文件。一台计算机上可以有多个本地用户配置文件，分别对应于每一个曾经登录过该计算机的用户。域用户的配置文件夹的名字的形式为“用户名.域名”，而本地用户的配置文件的名字直接就是以用户命名。用户配置文件不能直接被编辑。要想修改配置文件的内容需要以该用户登录，然后手动地修改用户的工作环境如桌面、开始菜单、鼠标等，系统会自动地将修改后的配置保存到用户配置文件中去。漫游用户配置文件只适用于域用户，域用户才有可能在不同的计算机上登录。当一个用户

36、需要经常在其他计算机上登录，并且每次都希望使用相同的工作环境时就需要使用漫游用户配置文件。该配置文件被保存在网络中的某台服务器上，并且当用户更改了其工作环境后，新的设置也将自动保存到服务器上的配置文件中，以保证其在任何地点登录都能使用相同的新的工作环境。所有的域用户账户默认使用的是该类型的用户配置文件。该文件是在用户第一次登录时由系统自动创建的。强制性用户配置文件强制性用户配置文件不保存用户对工作环境的修改，当用户更改了工作环境参数之后退出登录再重新登录时，工作环境又恢复到强制用户配置文件中所设定的状态。当需要一个统一的工作环境时该文件就十分有用。该文件由管理员控制，可以是本地的也可以是漫游的

37、用户配置文件，通常将强制性用户配置文件保存在某台服务器上，这样不管用户从哪台计算机上登录都将得到一个相同且不能更改的工作环境。因此强制性用户配置文件有时候也被称为强制性漫游用户配置文件。1.5.2 创建漫游用户配置文件以下步骤给用户指定一个空的漫游用户配置文件假设“刘强”来使用漫游用户配置文件，并且设置将这个用户的漫游用户配置文件存储在服务器 FileServer 上的共享文夹 Profiles 内。1.以域管理员的身份登录 FileServer 服务器，创建一个文件夹 profiles，右击该文件夹，点击“共享”。2.在出现的“选择要与其共享的网络上的用户”对话框，选择“查找”。3.在出现的

38、“选择用户组”对话框中，输入“Domain Users”，点击“检查姓名”，置共享权限为“Domain Users”为“参与者”，点击“共享”，点击“完成”。4.在 DCServer 上，打开“Active Directory 用户和计算机”，双击“刘强”用户帐户，在用户属性对话框中，点击“配置文件”，输入“fileServerprofiles%username%”。注：其中%username%是参数，自动用用户帐户登录名替换。5.使用“刘强”帐户登录 Research 计算机，将计算机的桌面换成一个“刘强”文件夹中的图片，将开始菜单改成经典模式，在桌面上创建一个记事本文件“刘强Researc

39、h.txt”，注销。注意：该桌面背景使用的图片最好位于用户配置文件夹中的目录中，比如“我的文档”中的“图片”文件夹中。否则换一台计算机登录没有办法引用该图片。必须在 Research 计算机上注销，因为在注销的时候才会把更改后的用户的配置文件保存到服务器 FileServer 上。用户的环境包括鼠标指针左右手习惯、桌面背景图片、映射的网络驱动器、连接的网络打印机等等设置。通过漫游式用户配置文件使用户的工作环境只于用户帐户有关，和使用的计算机无关。6.使用“刘强”账号在 Sales 上登录，可以看到开始菜单是经典模式，桌面上有“刘强 Research.txt”文件。注意:桌面上的“微软中文站点”

40、没有在 Sales 的计算机桌面上出现，那是因为这个快捷方式是 Research 计算机“公共”文件夹中“公共桌面”文件夹中。1.5.3 漫游配置文件应用过程漫游用户配置文件的用户在登录域时，其计算机会读取存储在服务器端的漫游用户配置文件，以便根据该配置文件来决定用户的桌面设置。而用户注销时，用户的桌面设置会被同时保存漫游用户配置文件与本地用户配置文件内。如果用户在登录域时，因故无法访问服务器内的漫游用户配置文件，例如网络断线，权限不够，则会出现如下图所示的警告信息，此时：如果该用户是第一次登录这台计算机，则因为该计算机内当前还没有该用户的本地用户配置文件，因此系统会以 Defualt 配置文

41、件的内容设置用户环境。当用户注销时，其桌面设置既不会被存储到服务器上的漫游用户配置文件内，也不会被存储在本地用户配置文件内。如果该用户以前曾经登录过这台计算机，则将使用他在该计算机内的本地用户配置文件。当用户注销时，其桌面设置并不会被存储到服务器上的漫游用户配置文件内，只会被存储到本地用户配置文件文件夹内。而用户下一次登录域时，计时网络断线、权限不够等问题已经解决，也就是已经可以正常访问服务器上的漫游用户配置文件，但是由于本地用户配置文件的数据比较新，因此仍然会使用本地用户配置文集那，不过注销时，就可以正常的将桌面设置存储到漫游用户配置文件夹内了。1.6 在活动目录中使用组1.6.1 组的类型

42、安全组安全组有安全标识（SID），能够给其授权访问本地资源或网络资源。即能授权访问资源，也可以利用其群发电子邮件。通讯组通迅组没有安全标识（SID），不能授权其访问资源，只能用来群发电子邮件。如果您安装了微软的邮件系统 Exchange，可以创建一些专门群发电子邮件的通讯组。这样您就可以在收件人写通讯组的电子邮件地址，邮件服务器会读取通迅组的成员，将电子邮件发送到该组的所有成员。1.6.2 组的作用域全局组代表的是同类用户身份的用户帐户。创建全局组是为了合并工作职责相似的用户的账户，比如为了合并研发部的员工，可以创建一个“研发部员工”全局组，为了合并销售部的员工，可以创建一个“销售部员工”的全

43、局组，当然如果想合并部门经理的用户帐户，您可以创建“研发部经理”全局组、“销售部经理”全局组。只能将本域的用户和组添加到全局组。在多域环境中不能合并其他域中的用户。能够授权访问整个域中的资源，在多域环境中其他域的资源也能授权其访问。本地域组代表的是对某个资源的访问权限。创建本地域组的目的是针对某资源的访问情况而创建的，比如在网络上有一个激光打印机，针对这个打印机的使用，您可以创建一个“激光打印机使用者”本地域组。然后授权该组使用该打印机。您可以针对 FileServe 服务器上“公共空间”文件夹创建一个“公共空间访问者”本地域组，然后授予该“公共空间访问者”对“公共空间”的读写权限。自己创建的

44、本地域组，可以在授权访问本域计算机上的资源，它代表的是访问资源的权限。其成员可以是本域的用户、组或其他域的用户组。只能授权其访问本域资源，其他域中的资源不能授权其访问。通用组和全局组的作用一样，目的是根据用户的职责合并用户。于全局组不同的是，在多域环境中它能够合并其他域中的域用户帐户，比如可以把两个域中的经理帐户添加到一个通用组。在多域环境中，可以在任何域中为其授权。1.6.3 在域环境中使用组的策略将用户帐户（User Acounts）添加到全局组（Global Group），将用户帐户合并。将为本地域组（Domain Local Group）授权（Permission）对某资源的访问。授权

45、的过程就变为将全局组（Global Group）添加到本地域组（Domain Local Group）的过程。总结：在单域中使用组的策略是 A G DL P 策略。如果域中的用户帐户不多，您也可以直接授权用户或全局组访问某资源。如果用户帐户较多，最好使用推荐的 A G DL P 策略，调理清晰。在多域环境中使用组的策略是 A G U DL P 策略。U 代表的（UniversalGroup），即将用户帐户添加到本域的全局组，然后将各个域的全局组添加到通用组，将通用组添加到本地域组，给本地组授权。1.6.4 内置的本地域组在 Windows Server 2008 域控制器的活动目录中，系统内置

46、了一些本地域组，这些组本身已经被赋予一些权限与权利，以便让其具备管理整个域或活动目录的能力。只要将用户或组帐户加入到这些内置的本地域组中，这些帐户也将具备有相同的权利与权限。这些内置的本地域组位于活动目录的 Buitin 容器内，下面列出几个较常用的本地域组。Acount Operators 成员可以管理域用户和组帐户，系统默认他们可以在任何一个容器与组织单元内（但是 Builtin 容器与 Domain Controller 组织单位除外）新建、删除、更改用户帐户、组帐户、计算机帐户。他们无法更改或删除 Administrators 与Domain Admins 组的成员。Administr

47、ators 属于该 Administrators 本地域组中的用户都具备系统管理员的权限，他们拥有对整个域控制器最大的控制权，可以执行整个活动目录的管理任务。内置的管理员帐户 administrator 就是该本地域组的成员，而且无法将其从该组中删除。该 Administrators 组默认的成员包含 Administrator、Domain Admins 全局组、Enterprice Admins 全局组等。Backup Operators Backup Operators 本地域组的组员可以备份与还原域控制器内的文件夹与文件。Backup Operators 的成员还可以关闭域控制器。Gu

48、est 该本地域组是供没有用户帐户，但是需要访问资源的用户使用，该组的成员无法永久的改变其桌面的工作环境。该组默认的成员为用户帐户 Guest 与全局组Domain Guest。Network Configuration Operator 该组内的用户，可以在域控制器上执行一般的网络设置工作，例如，更改 IP 地址，但是不可以安装删除驱动程序与服务，也不可以执行与网络服务器设置有关的任务，例如 DNS 服务器、DHCP 服务器的设置。Pre-Windows 2000 Compatible Access 该组主要是为了与 Windows NT 4.0 计算机兼容。其成员可以读取 Windows

49、Server 2008 域中的所有用户与组帐户。默认的成员为特殊组 Authenticated Users。只有在用户所使用的计算机是 Windows NT 4.0 或更旧的系统时，才将用户加入到该组中。Print Operators 成员可以创建、停止或管理在域控制器上的共享打印机，也可以关闭计算机。Remote Desktop Users 此组中的成员被授予远程登录的权限，比如使用其他计算机通过远程桌面或终端服务连接到域控制器登录。Server Operators 成员可以创建、管理、删除域控制器上共享文件夹与打印机，备份与还原域控制器内的文件，锁定与解开域控制器，将域控制器上的硬盘格式化

50、，更改域控制器的系统时间，关闭域控制器等。Users 该 Users 本地域组的成员拥有一些基本的权限，例如运行程序，但是他们部能修改操作系统的设置、不能更改其他用户的数据、不能关闭服务器级的计算机。该组默认的成员为 Domain Users 全局组。1.6.5 内置的全局组当创建一个域时，系统会在活动目录中创建一些内置的全局组。这些全局组本身并没有任何权限与权利，但是可以通过将其加入到具备权利或权限的本地域组，或者直接给全局组指派权限或权利。这些内置的全局组位于 Users 容器内。下面列出几个较常见的全局组。Domain Admins 域内的成员计算机会自动地将该组加入到其 Adminis

51、trators 组中，因此 Domain Admins 这个全局组内的每个成员都具备系统管理员的的权限，该组默认的成员为域用户 Administrators。Domain Computers 所有加入该域的计算机都被自动加入到该组内。Domain Controllers 域内所有域控制器都被自动加入到改组内。Domain Users 域内的成员计算机会自动地将该组加入到其 Users 组内。该组默认的成员为域用户 Administrator，而后所有添加的域用户帐户都自动属于该 Domain Users 全局组。Domain Guests Windows Server 2008 会自动地将该组

52、加入到 Guest 本地域组内。该组默认的成员为用户帐户 Guest。Enterprice Admins 该组只存在域整理目录林的根域中，其成员是具有管理整个目录林内的所有域的权利。Schema Admins 该组只存在域整理目录林的根域中，其成员具备管理架构的权利。Group Policy Creator Owners 这个组中的成员可以修改域的组策略。Read-only Domain Controllers 此组中的成员是域中只读域控制器1.6.6 在域中使用组在单域环境中使用 A G DL P 授权策略。以下操作将创建两个全局组“研发员工”和“销售员工”分别合并研发部门和销售部门的用户帐

53、户，再创建一个“公共空间访问组”本地域组，并授予其访问 Research 计算机上的“公共空间”文件夹的访问和修改权限。以后如果“研发员工”或“销售员工”需要访问“公共空间”文件夹，只需要将其加入到“公共空间访问组”。这样授权某类人群访问资源变成了将用户添加到本地域组的过程。1.登录 DCServer，打开“Active Directory 用户和计算机”。2.右击“研发部”的“用户”组织单元，点击“新建”“组”，在出现的对话框中，输入组的名字“研发人员”，组的类型选择“安全组”，点击“确定”。3.选中研发部门的用户帐户，右击选中的用户，点击“添加到组”。4.在出现的对话框，输入“研发人员”。

54、点击“确定”。5.按照以上步骤，创建“销售人员”全局组。将销售部的用户帐户添加到“销售人员”组。6.创建一个本地域组“公共空间访问组”。7.以域管理员登录 Research 计算机，右击 C 盘下的“公共空间”，点击“属性”，点击“安全”标签，点击“编辑”。8.在出现的对话框，输入“公共空间访问组”，点击“检查姓名”。点击“确定”。9.授予其有修改、读取和执行、列出文件夹目录和读取权限。10.在 DCServer 上，将“销售人员”全局组添加到“公共空间访问组”，就等于授权销售人员访问公共空间的权限。提示：现在授权用户访问“共享空间”文件夹的过程，就变成了将用户或组加入“共享空间访问组”的过程

55、，省去了步骤 7-9 的操作，使得授权过程简化，这就是使用AGDLP 策略的好处。1.6.7 管理组的注意事项创建组注意事项：若要执行此过程，必须提供本地计算机上 Administrator 帐户的凭据（如果提示），或必须是本地计算机上 Administrators 组的成员。本地组名不能与被管理的本地计算机上的任何其他组名或用户名相同。本地组名最多可以包含除下列字符外的 256 个大写字符或小写字符：/:;|=,+*?组名不能只由句点(.)或空格组成。向组添加成员注意事项若要执行此过程，必须提供本地计算机上 Administrator 帐户的凭据（如果提示），或必须是本地计算机上 Admin

56、istrators 组的成员。若要从本地组删除成员，请选择“成员”中的用户帐户、计算机帐户或组帐户，然后单击“删除”。分配给组的所有权利和权限都会分配给该组的所有成员。限制 Administrators 组中用户数量。本地计算机上 Administrators 组的成员在该计算机上具有完全控制权限。如果计算机已加入某个域，则可以从该域和受信任的域向本地组添加用户帐户、计算机帐户和组帐户。删除本地组注意事项若要执行此过程，必须提供本地计算机上 Administrator 帐户的凭据（如果提示），或必须是本地计算机上 Administrators 组的成员。无法删除以下默认组：AdministratorsBackup OperatorsCryptographic OperatorsDistributed COM UsersGuestsIIS_IUSRSNetwork Configuration OperatorsPerformance Log UsersPerformance Monitor UsersPower UsersRemote Desktop UsersReplicatorUsers不能恢复已删除的组。删除某个本地组将仅删除该组。而不会删除作为该组成员的用户帐户、计算机帐户或组帐户。