實(shí)驗(yàn)環(huán)境使用VMW 虛擬機(jī)，客戶端為Windows XP SP2，服務(wù)器端為Windows Server 2003 SP2企業(yè)版。首先將服務(wù)器端安裝好活動(dòng)目錄，無需任何設(shè)置，默認(rèn)安裝即可，并將客戶端加

實(shí)驗(yàn)環(huán)境

使用VMW 虛擬機(jī)，客戶端為Windows XP SP2，服務(wù)器端為Windows Server 2003 SP2企業(yè)版。

首先將服務(wù)器端安裝好活動(dòng)目錄，無需任何設(shè)置，默認(rèn)安裝即可，并將客戶端加入到域。

下面開始具體操作

1、首先在服務(wù)器端用Active Directory用戶和計(jì)算機(jī)管理工具建立一個(gè)User ，我這里以“小五”為用戶名，如下圖

2、在服務(wù)器端建立保存用戶配置文件的共享文件夾，本文在c 盤建立了一個(gè)user 文件夾，用來保存所有用戶配置文件，然后再user 文件夾下建立一個(gè)“小五”文件夾，用來保存

“小

五”用戶的配置文件。這里面一定要注意權(quán)限的設(shè)置，在共享文件夾中的權(quán)限去掉everyone ，然后找到我們域中的用戶“小五”，給他所有權(quán)限。

3、進(jìn)一步權(quán)限設(shè)置，如圖

這樣權(quán)限方面問題已經(jīng)設(shè)置完成

4、在Active Directory用戶和計(jì)算機(jī)管理工具中為“小五”用戶設(shè)置用戶配置文件漫游，如圖

192.168.1.201為我們的服務(wù)器，后面所接的“user/小五”為保存用戶配置文件的共享文件夾

主文件夾相當(dāng)于用戶的“我的文檔”，這里面映射到服務(wù)器上，更能保證用戶文件安全性與可靠性。

現(xiàn)在配置基本完成，我們從客戶端登錄一下試試看

初次登陸之后，我們注銷，這樣，本地的配置文件，就會(huì)自動(dòng)保存到服務(wù)器上對應(yīng)的文件夾。 回到服務(wù)器上我們會(huì)看到生成好多文件，剛才這里面還是空的

這些文件就是我們注銷的時(shí)候下面提示正在保存配置文件的時(shí)候，其實(shí)就是把文件寫入我們服務(wù)器里面了。

我們再次重新登陸一下

打開我的電腦會(huì)發(fā)現(xiàn)多了一個(gè)磁盤映射

這就是我們專門為此用戶設(shè)計(jì)的一個(gè)共享文件夾，用戶可以把重要的數(shù)據(jù)等存放在這里，其實(shí)就是存放在服務(wù)器上，相對來說就更加安全了。

至此，漫游用戶配置文件就配置完畢了。

小提示：如果配置過程中出現(xiàn)一些問題，那么多數(shù)是權(quán)限設(shè)置問題。這時(shí)候需要檢查一下權(quán)限即可。其他方面一般很少出現(xiàn)問題。另外，如果，服務(wù)器上共享的文件夾只給予只讀權(quán)限，那么，用戶配置文件所有內(nèi)容在下次登錄的時(shí)候都會(huì)失效，像還原卡一樣。因?yàn)椋?/p>

在注銷時(shí)

向服務(wù)器更新配置文件的時(shí)候是沒有權(quán)限的，而下次登錄的時(shí)候再次向服務(wù)器請求配置文件，自然而然就是舊的了，而不是最新的。

網(wǎng)絡(luò)環(huán)境：

網(wǎng)絡(luò)結(jié)構(gòu)采用VLAN 劃分部門，服務(wù)器單獨(dú)一個(gè)VLAN ，通過在核心交換機(jī)上配置路由和ACL 實(shí)現(xiàn)各部門之間不可互訪，通過訪問服務(wù)器進(jìn)行數(shù)據(jù)交換。服務(wù)器是Win2003企業(yè)版，不記得用什么光盤裝的了，反正網(wǎng)上下的，裝完后打過SP2補(bǔ)丁，安裝的Win2000域控制器模式（有Win2000的服務(wù)器）。

域名：XXX.local

主域控制器：192.168.0.6/24 192.168.0.254/24（雙網(wǎng)卡）這個(gè)網(wǎng)段只有網(wǎng)管部門可訪問，本來是調(diào)試用的，還沒有正式遷移到服務(wù)器網(wǎng)段，不過可以和服務(wù)器網(wǎng)段建立通信。 額外域控制器：192.168.2.254/24 服務(wù)器網(wǎng)段

DNS ：192.168.2.254

DHCP ：192.168.2.254 已經(jīng)通過交換機(jī)的UDPHelp 把各個(gè)VLAN 的DHCP 網(wǎng)段都做好了，只配置了IP 、網(wǎng)關(guān)、DNS 。

局域網(wǎng)計(jì)算機(jī)有Win2k Pro和WinXP Pro，W2k 是用自己封裝的ghost 批量安裝的，xp 是用的YlmF_GhostXP_SP3_Y1.0，當(dāng)然都是會(huì)隨機(jī)產(chǎn)生SID 啦，全部采用自動(dòng)獲取IP 地址，安裝后默認(rèn)設(shè)置不變，XP 自帶防火墻開啟，配置如圖1。

（圖1）

在客戶端可以Ping 通服務(wù)器IP 地址以及binhu.local ?？傊W(wǎng)絡(luò)層的互聯(lián)互通是OK 的，下面的問題全都不是由網(wǎng)絡(luò)配置問題造成的，如果您確定您的網(wǎng)絡(luò)配置都正確，并且網(wǎng)絡(luò)結(jié)構(gòu)和我大致相同或比我的還簡單，可以繼續(xù)往下看.

問題1：新計(jì)算機(jī)在添加到域的過程中，按提示輸入了域帳戶和密碼后，系統(tǒng)提示“找不到網(wǎng)絡(luò)路徑”。

答：啟動(dòng)計(jì)算機(jī)的“TCP/IP NetBIOS Helper”服務(wù)。很不幸，我做的w2k 鏡像和ylmf 的xp 鏡像剛好都把該服務(wù)設(shè)為了手動(dòng)。

問題2：加入到域的計(jì)算機(jī)，無法在域控制器上打開“計(jì)算機(jī)管理”。

答：剛把計(jì)算機(jī)test 加入到域，我就迫不及待的登陸到域控制器，想通過AD 控制臺遠(yuǎn)程打開該計(jì)算機(jī)的“計(jì)算機(jī)管理”，結(jié)果又彈出提示“找不到test.XXX .local 的網(wǎng)絡(luò)路徑”。嘗試在域控制器上ping 了一下test.XXX.local ，居然提示“Ping request could not find host

test.XXX.local. ”，域名解析失??！趕緊檢查DNS 記錄，發(fā)現(xiàn)test.XXX.local 主機(jī)記錄安然的躺在正向搜索區(qū)域中，看來不是DNS 服務(wù)器的問題。猛然想起本地DNS 緩存，趕緊關(guān)閉“DNS Client”服務(wù)，再次嘗試問題解決。原來即使是在DNS 服務(wù)器上進(jìn)行域名解析，也不是直接查找的DNS 數(shù)據(jù)庫??！總結(jié)經(jīng)驗(yàn)：在局域網(wǎng)部署過程中，網(wǎng)絡(luò)節(jié)點(diǎn)變化比較頻繁，建議關(guān)掉網(wǎng)絡(luò)計(jì)算機(jī)上的本地DNS 緩存服務(wù)，待局域網(wǎng)正常運(yùn)作之后，網(wǎng)絡(luò)節(jié)點(diǎn)變化較少，再根據(jù)DNS 服務(wù)器響應(yīng)DNS 請求的負(fù)荷來考慮是否有必要打開該服務(wù)。

問題3：加入到域的計(jì)算機(jī)，在域控制器上打開“計(jì)算機(jī)管理”，部分項(xiàng)無法管理。

答：打開“計(jì)算機(jī)管理”后，發(fā)現(xiàn)“本地用戶和組”打，除了可以查看“共享文件夾”下的內(nèi)容外，其它項(xiàng)目都不能正常查看。在經(jīng)歷了上面2道磨難后，又遇到這種問題，是不是倍受打擊呢？其實(shí)對于稍微“馬虎”一點(diǎn)的管理員，一般都不會(huì)碰到這個(gè)問題。無奈我配置域管理的目的是為了便于分發(fā)安全策略，不得不“精細(xì)化管理”，從組策略到服務(wù)到共享到防火墻統(tǒng)統(tǒng)折騰了一遍...... 還是很有收獲的！在無數(shù)次的“gpupdate”之后，摸索到一些既不影響“計(jì)算機(jī)管理”，又能一定程度提高安全性的方法。

（1）共享：有IPC$即可，其它默認(rèn)共享都可以關(guān)掉。

（2）網(wǎng)絡(luò)組件：必須安裝“Microsoft 網(wǎng)絡(luò)文件和打印機(jī)共享”，且必須打鉤。

（3）內(nèi)置防火墻：需要允許“文件和打印機(jī)共享”，且不限制135、137、138、139、445等端口的監(jiān)聽。（當(dāng)然您可以用更強(qiáng)大的防火墻進(jìn)行數(shù)據(jù)篩選，看個(gè)人功力了:）

（4）服務(wù)：需要啟動(dòng)“Server”、“TCP/IP NetBIOS Helper”、“Remote Registry”服務(wù)。

（5）組策略：為了增強(qiáng)網(wǎng)絡(luò)訪問安全性，我在安全選項(xiàng)中啟用了“不允許 SAM 帳戶的匿名枚舉”、“不允許 SAM 帳戶和共享的匿名枚舉”、“限制對命名管道和共享的匿名訪問”等三個(gè)選項(xiàng)，事實(shí)證明不會(huì)影響到“計(jì)算機(jī)管理”。由于進(jìn)行了(1)~(4)項(xiàng)配置，只有以其它方式來禁止共享文件夾了。我在“用戶權(quán)限分配”中將“從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)為僅有“Domain Admins”組，又把“拒絕從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”設(shè)為“Domain Users、Users 、Power Users、Guests”，不能從域控制器遠(yuǎn)程打開“計(jì)算機(jī)管理”了。經(jīng)過分析，是由于我登陸到域控制器的管理員帳戶默認(rèn)也是“Domain Users”組的成員，將它拿出來，再試還是不行，直到我把Users 組從“拒絕從網(wǎng)絡(luò)訪問此計(jì)算機(jī)”選項(xiàng)中拿出來以后，又可以正常打開了。原因可能是：

1. 該管理員帳戶同時(shí)也是Users 組成員，在升級為域控制器之后，沒辦法從Users 組中拿出來了，我沒有進(jìn)一步嘗試；2. 域管理員帳戶通過網(wǎng)絡(luò)訪問客戶機(jī)，會(huì)被自動(dòng)應(yīng)用到Users 組成員中，純屬猜測，沒有詳細(xì)查資料。總而言之，只好放任Users 組成員不管了，好在