一個典型局域網域控制器安裝配置實例五一期間應朋友要求幫忙去安裝他公司的網絡，網絡不大，不過基本上包括了通過網絡安裝客戶機、域結構建立、組策略設計和網絡殺毒等等，其他網絡都可以在此基礎上進行擴充，希望對

一個典型局域網域控制器安裝配置實例

五一期間應朋友要求幫忙去安裝他公司的網絡，網絡不大，不過基本上包括了通過網絡安裝客戶機、域結構建立、組策略設計和網絡殺毒等等，其他網絡都可以在此基礎上進行擴充，希望對大家有所幫助。

先說說基本情況：朋友的公司是一個合資工廠，現在在籌建期間，他就屬于總管一類的角色，除了技術，雜七雜八的事都歸他管?，F在的公司電腦是不可少的，大約60多臺。很可氣的一點，公司各部門各工種人員配置非常齊全，可老板不愿招IT 支持人員。所以他要求盡量減少員工對電腦進行更改的機率，并都能順利的互相訪問、打印文件，還要上網（唉，這是他為自己準備的）。

先做吧??

注：請不要在意文中的數字，我想數目不能決定什么，關鍵是設計思路和實現方法）

一、域的組建1. 服務器配置因為只有本地辦公，所以只需要單域就夠了。服務器是三臺IBM 服務器，*作系統(tǒng)是WINDOWS 2000 SERVER版（也不一定要三臺，實際上一臺也能完成這些服務，至于用不用高級服務器版隨你便了）。

SERVER （192.168.0.1）：主域控制器，域名final.com ，IP192.168.0.1；并配置為主DNS 服務器（轉發(fā)DNS 請求到ISP 的DNS 服務器IP ，這樣當客戶機的DNS 指向SERVER 時不僅可以正常使用局域網也可以訪問Internet ）；安裝WINS 服務。

SERVER2（192.168.0.2）：備份域控制器，DHCP 服務器，建立作用域192.168.0.0/24，提供192.168.0.10~192.168.0.100（具體提供多少IP 地址請根據需要自定，關鍵是請留出一部分IP 給服務器用）；配置作用域選項，其中網關為192.168.0.254（寬帶共享路由器），DNS 、WINS 服務器地址為192.168.0.1. SERVER3（192.168.0.3）：備用。

如果為了穩(wěn)定，可以在SERVER2上配置為DNS 為主DNS 的備份區(qū)域及GC ，這樣即使SERVER 因調試重啟或故障暫時不能使用時保證客戶機仍可正常使用網絡。

請不要問我如何安裝DC 、DNS 、DHCP 、WINS 服務，微軟的設計簡直就是*瓜化的安裝。

2.OU 的建立公司有人事部、行政部、財務部、工程部、市場部五個部門（虛擬的）。

為了管理及配置策略方便，建立以下OU 層級。

建立一級OU 名為“FINAL ”，“FINAL ”下建三個二級OU ，分別為“管理員”、“公司領導”、“部門”。在“部門”下按部門名稱建立五個部門OU. 在每個二級OU 和**OU下分別建立安全組和用戶，并把用戶加入相應的安全組。

用戶帳號建立原則：以公司花名冊為準，用員工工號為登錄名建立用戶帳號，建立后移動到相應的部門OU ，并加入相應的安全組，員工的帳號均為Domain Users組。

如在“管理員”O(jiān)U 里建立“管理組”，建立用戶“000”，并把用戶“000”加入安全組“管理組”；在OU “部門”－“人事部”下建立用戶“004”，加入安全組“人事組”。

建立用戶帳號的時候請完整輸入用戶的姓名資料，以便日后若安裝Exchange 時使用。

請注意：這時OU 里并沒有計算機帳號，因為在設計OU 時客戶機并沒有安裝，請看后面的客戶機安裝。

3. 組策略及網絡使用按以上設計的OU 層級，可以在公司、管理層次、功能部門分別設計相應的組策略。以下舉兩個實例以供參考。

例一：限制客戶機登錄用戶客戶機加入域后（客戶機的安裝及配置見后），默認情況下任何一個域帳號可以在任何一臺客戶機登錄到域使用該臺客戶機?？晌遗笥压镜娜司谷徊唤邮苓@個觀點，說這樣子豈不是每個人的電腦其他人都可以打開了，不安全，要給每臺電腦再加上CMOS 開機密碼。當時我氣的差點兒六孔噴血而亡（當時正在吃KFC ，嘴里不會吐出來的）。

在我?guī)追托闹v解，告訴他們“電腦應做為公司一種共享的辦公設備，而不是某個單用的電腦。任何一個連入網絡的設備（電腦、打印機）都是網絡的一部分，都是公司的資源”。終于達成以下協(xié)議，每個部門的人只能登錄該部門的電腦。這一點從一定程度上增加了客戶機的安全性。

在**OU，如“人事部”上創(chuàng)建組策略，在“計算機設置”－“本地策略”－“用戶權利指派”－“在本地登錄”，設置Domain Admin 組和“人事組”有效，這樣只有管理員和人事部的人才能登錄人事部的電腦了。其他部門分別添加相應組策略。

例二：網絡共享的設計及文件夾重定向由于給用戶的是Domain User的權限，所以用戶不能共享本地的文件，那么如何解決用戶文件共享的需要呢？這就要求在服務器上有管理員統(tǒng)一設置了。

服務器上的共享：在SERVER3上建立一個文件夾“DA TA ”，并完全共享，共享名為默認的“DA TA ”。在“DA TA ”文件夾下建立“SHARE DOCUENT”文件夾，在此文件夾建立每個部門的文件夾并設置NTFS 權限。

其中DA TA ，Share document文件夾設置Domain Admin組，SYSTEM 完全控制，Everyone 只讀；部門文件夾的NTFS 權限設置為Domain admin 組和本部門安全組有完全控制權限，Everyone 只讀。

用戶帳號配置：建立用戶帳號時，為用戶配置“主文件夾”，連接到服務器上的本部門文件夾。

圖中的部門文件夾路徑應為完整的UNC ，如 “server3datashare document人事部”。

這樣設置當用戶登錄后在“我的電腦”里會多一個網絡映射Z 盤，映射到用戶本部門共享文件夾，用戶可以把需要共享的文件拷貝到Z 盤，其他用戶就可以通過共享訪問。

放在共享里的文件，本部門人的有完全控制權限，其他部門人具有只讀權限。用戶可以進一步在本部門文件夾內建立自己的文件夾，并設置更嚴格的權限。有些用戶可能沒有固定的電腦，個人文件放在部門共享文件夾里會有一些問題出現。一是安全性有待進一步設計，二是用戶對共享不是很熟悉，多數人不會去設置文件夾安全屬性?？紤]到這一點，再加上文件存放的方便性，我做了文件夾重定向。

在一級OU FINAL 上添加組策略，這是為了保證域內所有的用戶的My Document文件夾都存放到服務器上。

組策略－用戶配置－Windows 設置－文件夾重定向，設置My Document 屬性，設置" 基本-將每個人的文件夾定向到同一位置" ，" 目錄文件夾位置" 為file://Server3/Data/User Document/username.以上的設計完成了兩個通過網絡共享方案：（1）存放在My Document 里的文件，用戶無論在哪臺客戶機登錄時均可正常訪問，且只有自己可以訪問；（2）各部門可在服務器上共享文件，且只有本部門有修改權限。

還可以在服務器上再建立一個文件夾，讓所有用戶均可以任意讀寫的權限。

再提一點，為了防止用戶在服務器上存放垃圾文件并提高服務器的利用率，在Server3上啟用磁盤限額，每個用戶默認限制使用100M. 這里的100M 是用戶存放在My Document 和部門共享文件夾里的文件總和。

組策略的設計關鍵在于你有什么需求，有了需求再去設計該用什么策略來完成它。

首先，要確定所需策略設置的類型。策略設置通常劃分為以下幾部分：

l 安全設置。

l 要部署的應用程序包。

l 計算機系統(tǒng)設置。

l 用戶環(huán)境設置。

l 特定于應用程序的設置。