一個典型局域網(wǎng)域控制器安裝配置實例五一期間應(yīng)朋友要求幫忙去安裝他公司的網(wǎng)絡(luò)，網(wǎng)絡(luò)不大，不過基本上包括了通過網(wǎng)絡(luò)安裝客戶機、域結(jié)構(gòu)建立、組策略設(shè)計和網(wǎng)絡(luò)殺毒等等，其他網(wǎng)絡(luò)都可以在此基礎(chǔ)上進行擴充，希望對

一個典型局域網(wǎng)域控制器安裝配置實例

五一期間應(yīng)朋友要求幫忙去安裝他公司的網(wǎng)絡(luò)，網(wǎng)絡(luò)不大，不過基本上包括了通過網(wǎng)絡(luò)安裝客戶機、域結(jié)構(gòu)建立、組策略設(shè)計和網(wǎng)絡(luò)殺毒等等，其他網(wǎng)絡(luò)都可以在此基礎(chǔ)上進行擴充，希望對大家有所幫助。

先說說基本情況：朋友的公司是一個合資工廠，現(xiàn)在在籌建期間，他就屬于總管一類的角色，除了技術(shù)，雜七雜八的事都歸他管。現(xiàn)在的公司電腦是不可少的，大約60多臺。很可氣的一點，公司各部門各工種人員配置非常齊全，可老板不愿招IT 支持人員。所以他要求盡量減少員工對電腦進行更改的機率，并都能順利的互相訪問、打印文件，還要上網(wǎng)（唉，這是他為自己準備的）。

先做吧??

注：請不要在意文中的數(shù)字，我想數(shù)目不能決定什么，關(guān)鍵是設(shè)計思路和實現(xiàn)方法）

一、域的組建1. 服務(wù)器配置因為只有本地辦公，所以只需要單域就夠了。服務(wù)器是三臺IBM 服務(wù)器，*作系統(tǒng)是WINDOWS 2000 SERVER版（也不一定要三臺，實際上一臺也能完成這些服務(wù)，至于用不用高級服務(wù)器版隨你便了）。

SERVER （192.168.0.1）：主域控制器，域名final.com ，IP192.168.0.1；并配置為主DNS 服務(wù)器（轉(zhuǎn)發(fā)DNS 請求到ISP 的DNS 服務(wù)器IP ，這樣當客戶機的DNS 指向SERVER 時不僅可以正常使用局域網(wǎng)也可以訪問Internet ）；安裝WINS 服務(wù)。

SERVER2（192.168.0.2）：備份域控制器，DHCP 服務(wù)器，建立作用域192.168.0.0/24，提供192.168.0.10~192.168.0.100（具體提供多少IP 地址請根據(jù)需要自定，關(guān)鍵是請留出一部分IP 給服務(wù)器用）；配置作用域選項，其中網(wǎng)關(guān)為192.168.0.254（寬帶共享路由器），DNS 、WINS 服務(wù)器地址為192.168.0.1. SERVER3（192.168.0.3）：備用。

如果為了穩(wěn)定，可以在SERVER2上配置為DNS 為主DNS 的備份區(qū)域及GC ，這樣即使SERVER 因調(diào)試重啟或故障暫時不能使用時保證客戶機仍可正常使用網(wǎng)絡(luò)。

請不要問我如何安裝DC 、DNS 、DHCP 、WINS 服務(wù)，微軟的設(shè)計簡直就是*瓜化的安裝。

2.OU 的建立公司有人事部、行政部、財務(wù)部、工程部、市場部五個部門（虛擬的）。

為了管理及配置策略方便，建立以下OU 層級。

建立一級OU 名為“FINAL ”，“FINAL ”下建三個二級OU ，分別為“管理員”、“公司領(lǐng)導(dǎo)”、“部門”。在“部門”下按部門名稱建立五個部門OU. 在每個二級OU 和**OU下分別建立安全組和用戶，并把用戶加入相應(yīng)的安全組。

用戶帳號建立原則：以公司花名冊為準，用員工工號為登錄名建立用戶帳號，建立后移動到相應(yīng)的部門OU ，并加入相應(yīng)的安全組，員工的帳號均為Domain Users組。

如在“管理員”O(jiān)U 里建立“管理組”，建立用戶“000”，并把用戶“000”加入安全組“管理組”；在OU “部門”－“人事部”下建立用戶“004”，加入安全組“人事組”。

建立用戶帳號的時候請完整輸入用戶的姓名資料，以便日后若安裝Exchange 時使用。

請注意：這時OU 里并沒有計算機帳號，因為在設(shè)計OU 時客戶機并沒有安裝，請看后面的客戶機安裝。

3. 組策略及網(wǎng)絡(luò)使用按以上設(shè)計的OU 層級，可以在公司、管理層次、功能部門分別設(shè)計相應(yīng)的組策略。以下舉兩個實例以供參考。

例一：限制客戶機登錄用戶客戶機加入域后（客戶機的安裝及配置見后），默認情況下任何一個域帳號可以在任何一臺客戶機登錄到域使用該臺客戶機。可我朋友公司的人竟然不接受這個觀點，說這樣子豈不是每個人的電腦其他人都可以打開了，不安全，要給每臺電腦再加上CMOS 開機密碼。當時我氣的差點兒六孔噴血而亡（當時正在吃KFC ，嘴里不會吐出來的）。

在我?guī)追托闹v解，告訴他們“電腦應(yīng)做為公司一種共享的辦公設(shè)備，而不是某個單用的電腦。任何一個連入網(wǎng)絡(luò)的設(shè)備（電腦、打印機）都是網(wǎng)絡(luò)的一部分，都是公司的資源”。終于達成以下協(xié)議，每個部門的人只能登錄該部門的電腦。這一點從一定程度上增加了客戶機的安全性。

在**OU，如“人事部”上創(chuàng)建組策略，在“計算機設(shè)置”－“本地策略”－“用戶權(quán)利指派”－“在本地登錄”，設(shè)置Domain Admin 組和“人事組”有效，這樣只有管理員和人事部的人才能登錄人事部的電腦了。其他部門分別添加相應(yīng)組策略。

例二：網(wǎng)絡(luò)共享的設(shè)計及文件夾重定向由于給用戶的是Domain User的權(quán)限，所以用戶不能共享本地的文件，那么如何解決用戶文件共享的需要呢？這就要求在服務(wù)器上有管理員統(tǒng)一設(shè)置了。

服務(wù)器上的共享：在SERVER3上建立一個文件夾“DA TA ”，并完全共享，共享名為默認的“DA TA ”。在“DA TA ”文件夾下建立“SHARE DOCUENT”文件夾，在此文件夾建立每個部門的文件夾并設(shè)置NTFS 權(quán)限。

其中DA TA ，Share document文件夾設(shè)置Domain Admin組，SYSTEM 完全控制，Everyone 只讀；部門文件夾的NTFS 權(quán)限設(shè)置為Domain admin 組和本部門安全組有完全控制權(quán)限，Everyone 只讀。

用戶帳號配置：建立用戶帳號時，為用戶配置“主文件夾”，連接到服務(wù)器上的本部門文件夾。

圖中的部門文件夾路徑應(yīng)為完整的UNC ，如 “server3datashare document人事部”。

這樣設(shè)置當用戶登錄后在“我的電腦”里會多一個網(wǎng)絡(luò)映射Z 盤，映射到用戶本部門共享文件夾，用戶可以把需要共享的文件拷貝到Z 盤，其他用戶就可以通過共享訪問。

放在共享里的文件，本部門人的有完全控制權(quán)限，其他部門人具有只讀權(quán)限。用戶可以進一步在本部門文件夾內(nèi)建立自己的文件夾，并設(shè)置更嚴格的權(quán)限。有些用戶可能沒有固定的電腦，個人文件放在部門共享文件夾里會有一些問題出現(xiàn)。一是安全性有待進一步設(shè)計，二是用戶對共享不是很熟悉，多數(shù)人不會去設(shè)置文件夾安全屬性。考慮到這一點，再加上文件存放的方便性，我做了文件夾重定向。

在一級OU FINAL 上添加組策略，這是為了保證域內(nèi)所有的用戶的My Document文件夾都存放到服務(wù)器上。

組策略－用戶配置－Windows 設(shè)置－文件夾重定向，設(shè)置My Document 屬性，設(shè)置" 基本-將每個人的文件夾定向到同一位置" ，" 目錄文件夾位置" 為file://Server3/Data/User Document/username.以上的設(shè)計完成了兩個通過網(wǎng)絡(luò)共享方案：（1）存放在My Document 里的文件，用戶無論在哪臺客戶機登錄時均可正常訪問，且只有自己可以訪問；（2）各部門可在服務(wù)器上共享文件，且只有本部門有修改權(quán)限。

還可以在服務(wù)器上再建立一個文件夾，讓所有用戶均可以任意讀寫的權(quán)限。

再提一點，為了防止用戶在服務(wù)器上存放垃圾文件并提高服務(wù)器的利用率，在Server3上啟用磁盤限額，每個用戶默認限制使用100M. 這里的100M 是用戶存放在My Document 和部門共享文件夾里的文件總和。

組策略的設(shè)計關(guān)鍵在于你有什么需求，有了需求再去設(shè)計該用什么策略來完成它。

首先，要確定所需策略設(shè)置的類型。策略設(shè)置通常劃分為以下幾部分：

l 安全設(shè)置。

l 要部署的應(yīng)用程序包。

l 計算機系統(tǒng)設(shè)置。

l 用戶環(huán)境設(shè)置。

l 特定于應(yīng)用程序的設(shè)置。