卖逼视频免费看片|狼人就干网中文字慕|成人av影院导航|人妻少妇精品无码专区二区妖婧|亚洲丝袜视频玖玖|一区二区免费中文|日本高清无码一区|国产91无码小说|国产黄片子视频91sese日韩|免费高清无码成人网站入口

配置域控服務器

WatchSAFE 智能卡將一臺成員服務器提升為域服務器(域控制器)的步驟目前很多公司的網(wǎng)絡中的PC 數(shù)量均超過10臺,按照微軟的說法,一般網(wǎng)絡中的PC 數(shù)目低于10臺,則建議采對等網(wǎng)的工作模式,而如

WatchSAFE 智能卡

將一臺成員服務器提升為域服務器(域控制器)的步驟

目前很多公司的網(wǎng)絡中的PC 數(shù)量均超過10臺,按照微軟的說法,一般網(wǎng)絡中的PC 數(shù)目低于10臺,則建議采對等網(wǎng)的工作模式,而如果超過10臺,則建議采用域的管理模式,因為域可以提供一種集中式的管理,這相比于對等網(wǎng)的分散管理有非常多的好處,下面講解如何把一臺成員服務器提升為域控制器:

本篇文章中所有的成員服務器均采用微軟的Windows Server 2003,客戶端則采用Windows XP。

1. 當然是在成員服務器上安裝上Windows Server 2003,安裝成功后進入系統(tǒng)。

2. 給這臺成員服務器指定一個固定的IP ,在這里指定情況如下:

機器名:Server

IP:10.0.26.234

子網(wǎng)掩碼:255.255.255.0

DNS:10.0.26.234(因為我要把這臺機器配置成DNS 服務器)

3. 由于Windows Server 2003在默認的安裝過程中DNS 是不被安裝的,所以我們需要手動去添加,添加方法如下:“開始—設置—控制面板—添加刪除程序”,然后再點擊“添加/刪除Windows 組件”,找到“網(wǎng)絡服務”,選中(同時會連帶選中應用程序服務器)。 默認情況下所有的網(wǎng)絡服務都會被添加,可以點擊下面的“詳細信息”進行自定義安裝,由于在這里只需要DNS ,所以把其它的全都去掉了,以后需要的時候再安裝。

然后就是點“確定”,一直點“下一步”就可以完成整個DNS 的安裝。在整個安裝過程中請保證Windows Server 2003安裝光盤位于光驅(qū)中,否則會出現(xiàn)找不到文件的提示,那就需要手動定位了。

4. 安裝完DNS 以后,就可以進行提升操作了,先點擊“開始—運行”,輸入“Dcpromo ”,然后回車就可以看到“Active Directory安裝向?qū)А?/p>

在這里直接點擊“下一步”:

這里是一個兼容性的要求,Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器,我建議大家盡量采用Windows 2000及以上的操作系統(tǒng)來做為客戶端。然后點擊“下一步”:

在這里由于這是第一臺域控制器,所以選擇第一項:“新域的域控制器”,然后點“下一步”:

既然是第一臺域控,那么當然也是選擇“在新林中的域”:

在這里我們要指定一個域名,我在這里指定的是demo.com (域名不能為logon.watchdata.com ,因為這樣設置會成為watchdata.com 主控域下面的一個子域,這里要求配置一臺主控域服務器):

這里是指定NetBIOS 名,注意千萬別和下面的客戶端沖突,也就是說整個網(wǎng)絡里不能再有一臺PC 的計算機名叫“demo ”,雖然這里可以修改,但個人建議還是采用默認的好,省得以后麻煩:

在這里要指定AD 數(shù)據(jù)庫和日志的存放位置,如果不是C 盤的空間有問題的話,建議

,

采用默認:

這里是指定SYSVOL 文件夾的位置,還是那句話,沒有特殊情況,不建議修改:

第一次部署時總會出現(xiàn)上面那個DNS 注冊診斷出錯的畫面,主要是因為雖然安裝了DNS ,但由于并沒有配置它,網(wǎng)絡上還沒有可用的DNS 服務器,所以才會出現(xiàn)響應超時的現(xiàn)像,所以在這里要選擇:“在這臺計算機上安裝并配置DNS ,并將這臺DNS 服務器設為這臺計算機的首選DNS 服務器”:

“這是一個權限的選擇項,在這里,我選擇第二項“只與:Windows 2000或Window 2003操作系統(tǒng)兼容的權限”,因為在整個環(huán)境里,并沒有Windows 2000以前的操作系統(tǒng)存在”:

這里是一個重點,還原密碼,希望大家設置好以后一定要記住這個密碼,千萬別忘記了,因為在后面的關于活動目錄恢復的文章上要用到這個密碼的:

這是確認畫面,請仔細檢查剛剛輸入的信息是否有誤,尤其是域名書寫是否正確,因為改域名可不是鬧著玩的,如果有的話可以點上一步進入重輸,如果確認無誤的話,那么點“下一步”就正式開安裝了:

幾分鐘后,安裝完成:

點完成:

點“立即重新啟動”。

5. 然后來看一下安裝了AD 后和沒有安裝的時候有些什么區(qū)別:

首先,第一感覺就是關機和開機的速度明顯變慢了,再看一下登陸界面,多出了一個“登陸到”的選擇框;

其次,進入系統(tǒng)后,右鍵點擊“我的電腦”選“屬性”,點“計算機” ???

第三,其它的比如沒有本地用戶了;

第四,開始——程序——管理工具里多出那么多圖標。

將工作站加入到域的步驟

1. 從網(wǎng)絡安全性考慮,盡量少使用域管理員帳號,所以先在域控制器上建立一個委派帳號,登陸到域控制器,運行“dsa.msc ”,出現(xiàn)“AD 用戶和計算機”管理控制臺:

先來新建一個用戶,展開“demo.com ”,在“Users ”上擊右鍵,點“新建”-“用戶”: 然后出現(xiàn)一個新建用戶的向?qū)?,在這里,我新建了一個名為“swg ”的用戶,并且把密碼設為“永不過期”:

這樣點“下一步”,直到完成,就可以完成用戶的創(chuàng)建。

然后在“demo.com ”上點擊右鍵,先擇“委派控制”:

就會出現(xiàn)一個“委派控制向?qū)А?

點擊“下一步”:

點擊中間的“添加”按鈕,并輸入剛剛創(chuàng)建的“swg ”帳號:

然后點“確定”:

再點“下一步”:

暫時不需要讓該用戶去“管理組策略鏈接”,所以在這里,僅僅選擇“將計算機加入到域”,然后點“下一步”:

最后是一個信息核對畫面,要是沒有什么問題的話,直接點“完成”就可以了。

,

2. 接下來轉到客戶端,看看怎么把XP 加入到域中來,客戶端操作系統(tǒng)是Windows XP 專業(yè)版,需要大家注意的是Windows XP 的Home 版由于針對的是家庭用戶,所以不能加入域,

3. 我們先來設置一下這臺XP 的網(wǎng)絡:

計算機名:TestXP

IP:10.0.26.231

子網(wǎng)掩碼:255.255.225.0

DNS 服務器:10.0.26.234,

4. 設置完網(wǎng)絡以后,在“我的電腦”上擊右鍵,選“屬性”,點“計算機名”。

在這里把“隸屬于”改成域,并輸入:“demo.com ”,并點確定,彈出輸入用戶名密碼的提示框:

輸入剛剛在域控上建的那個“swg ”的帳號,點確定:

提示成功加入了,然后點確定,點重啟就算OK 了。

來看一下登陸畫面有沒有什么不一樣: 看到那個“登陸到”了吧,可以選擇域登陸還是本機登陸了,在這里選擇域“DEMO ”,這樣就可以用域用戶進行登陸了。進入系統(tǒng)后,在“我的電腦”上擊右鍵,選“屬性”,點“計算機名”中可以看到區(qū)別了。

建立額外域控制器的步驟

1. 當把客戶端加入到域后,如果域控制器處于關閉狀態(tài)或者死機的話,那么,會發(fā)現(xiàn)下面的客戶機無法登陸到域,所以再建立一臺域控制器,用來防止其中一臺出現(xiàn)意外損壞的情況是很有必要的。后建立的那臺域控制器叫額外域控制器。來看看額外域控制器的建立過程吧:

當然網(wǎng)絡設置永遠是在第一步的:

計算機名:Bserver

IP:10.0.26.233

子網(wǎng)掩碼:255.255.255.0

DNS:10.0.26.234

既然是提升為域控制器,那么DNS 組件也是要添加的,添加方法和和上面一樣,這里就不再重復了。

添加完成后,同樣是點擊“開始”-“運行”-“dcpromo ”:

出現(xiàn)的向?qū)Ш筒僮飨到y(tǒng)兼容性同安裝第一臺域控制器是一樣的,唯一要注意的是下面的選項:

安裝第一臺時選擇的是“新域的域控制器”,這里要選擇的是“現(xiàn)有域的額外域控制器”,然后點“下一步”:

在這里,輸入域的管理員帳號的密碼,在“域”里填入相應域的DNS 全名或NetBios 名,點“下一步”:

在這里一定要填入現(xiàn)有域的DNS 全名,然后再點“下一步”,接下去的操作和安裝第一臺域控制器時是一樣的,所以就不再寫下去了,直到完成就可以了。

活動目錄之用戶配置文件

,

關于域用戶的開設在前面的文章中(如何把一臺成員服務器提升為域控制器(一) 、(二)) 已經(jīng)涉及過了,所以在這里開設用戶的方法就不再重復了,本篇文章主要向大家介紹一下用戶配置文件。

首先,什么是用戶配置文件? 根據(jù)微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統(tǒng)加載所需環(huán)境的設置和文件和集合,它包括所有用戶專用的配置設置。用戶配置文件存在于系統(tǒng)的什么位置呢? 那么用戶配置文件包括哪些內(nèi)容呢? 來給大家看一副截圖:

用戶配置文件的保存位置在:系統(tǒng)盤(一般是C 盤) 下的“Documents and Settings”文件夾下,有一個和你的登陸用戶名相同的文件夾,該用戶配置文件就保存在這里,順便提示一下,如果本機和域上有一個同名用戶,并且都登陸過的話,那么就會出現(xiàn)在同名文件夾后面拖后綴的情況,舉個例子:比如在一個域(demo.com)里面有一臺計算機(testxp),本地有一個swg 的帳號,域上也有一個swg 的帳號,并且都登陸過這臺計算機,那么會發(fā)生如下情況: 本地帳號先登陸:那么本地的swg 的用戶配置文件夾為swg ,而域用戶的用戶配置文件夾為swg.demo 。

域帳號先登陸:那么域用戶的用戶配置文件夾為swg ,本地用戶的配置文件夾為swg.testxp 。

通過上面的截圖,我們可看出,用戶配置文件包括桌面設置、我的文檔、收藏夾、IE 設置等一些個性化的配置。另外需要說明的是在“Documents and Settings”文件夾下有一個名為“All Users”的文件夾,如果你在這個文件夾下的“桌面”文件夾下新建一個文件的話,你會發(fā)現(xiàn)所有用戶在登陸時的桌面上都有這個文件,所以這個文件夾里的配置是對這臺計算機的每個用戶均起作用的。

當網(wǎng)絡變成域構架后,所有的域用戶可以在任意一臺域內(nèi)的計算機登陸,當你在一臺計算機上的用戶配置文件修改后,你會發(fā)現(xiàn)到另一臺計算機上登陸時,所有的設置還是原來的,并沒有發(fā)生修改,這是因為用戶的配置文件是保存在本地的,不管是域用戶還是本地用戶,都是保存在那臺登陸的計算機上。我們可以在“我的電腦”上擊“右鍵”,選“屬性”,點“高級”,然后在“用戶配置文件”里點“設置”:

請注意“類型”里用紅框標出的部分,全部是“本地”,這就說明用戶配置文件保存在本地,那么如何才能讓用戶的配置文件隨著帳號走,也就是不管用戶在哪臺計算機上登陸都能保持用戶配置文件一致呢? 為了解決這個問題,就要用到漫游用戶配置文件,原理就是把用戶配置文件保存在一個網(wǎng)絡的公共位置,當用戶在計算機上登陸里,會從網(wǎng)絡公共位置把用戶配置文件下載到本地并加以應用,然后當用戶注銷時,會把本地的用戶配置文件同步到網(wǎng)絡公共位置,以保證公共位置用戶配置文件的有效性,以便下一次使用。那么如何來實現(xiàn)這個功能呢? 現(xiàn)在就來實踐一下:

首先,要在一個網(wǎng)絡的公共位置開設一個共享文件夾,用來存放用戶配置文件,在個實驗里,就在域控制器上開設一個為share 的共享文件夾,并開放權限:

然后,點擊“開始-設置-控制面板-管理工具”,雙擊“AD 用戶和計算機”,并選中相應的用戶,這里以“swg ”帳號為例:

在“swg ”帳號上雙擊,然后選“配置文件”,在“用戶配置文件-配置文件路徑”里輸入:2.168.5.1shareusername,“192.168.5.1”是域控制器的IP 地址,如下圖所示:

然后點確定,接下去就到客戶端去,用“swg ”帳號登陸一下,看看會發(fā)生什么變化。

,

如上圖所示,DEMOswg的狀態(tài)由剛剛的“本地”變成了“漫游”,此時注銷一下用戶,那么就會自動的將該用戶的本地用戶配置文件同步到網(wǎng)絡公共位置,如果再用“swg ”到另外的域內(nèi)計算機上去登陸的話,會發(fā)現(xiàn)所有的用戶配置文件和這臺計算機上是一樣的。那么服務器上發(fā)生了些什么變化呢?

如上圖所示,服務器的“share ”文件夾里會自動創(chuàng)建一個和用戶名一樣的“swg ”文件夾,默認情況下這個文件夾只允許對應的用戶打開:

畫面很熟悉吧?

目前很多公司的IT Pro都有共同的感嘆,就是用戶喜歡把自己的桌面什么的搞得亂七八糟,雖然通過組策略可以限制掉一部份,但總覺得不是很完善,在這里,向大家推薦使用強制用戶配置文件,用戶可以對自己個人配置文件任意修改,但是一旦注銷后,這些修改將不會被保存,這樣用戶下次登陸里,用戶的配置文件還是保持和原來一樣,那么如何實現(xiàn)這個功能呢? 其實只要將用戶配置文件夾下的“Ntuser.dat ”改成“Ntuser.man ”就可以了,來看一下修改過程:

首先,在顯示隱藏文件和已知文件的擴展名,可以在“工具-文件夾選項-查看”里進行修改:

~

點“確定”后,就可以在看到那個“Ntuser.dat ”文件了,但此時會有一個問題,如果去修改C:Documents and Settingsswg下的“Ntuser.dat ”,會發(fā)現(xiàn)根本沒有辦法修改這個文件,因為文件在使用中,無法修改; 如果去修改網(wǎng)絡公共位置的“Ntuser.dat ”,也就是2.168.5.1shareswg下的“Ntuser.dat ”,修改當然可以修改,但是由于在“swg ”用戶注銷的時候,本地的“Ntuser.dat ”會把網(wǎng)絡公共位置的“Ntuser.man ”覆蓋掉,也就是等于沒有修改。很多人都想直接在服務器上更改 “swg ”文件夾的所有者,然后給管理員帳號添加權限,這樣就可以直接在服務器上把“Ntuser.dat ”改掉,但本人實踐過幾次,都發(fā)現(xiàn)這樣的操作會引起一些權限無法繼承,而導致出錯的情況,所以不建議大家使用,這里推薦一種方法:

先把“swg ”帳號注銷掉,然后用另外一個帳號登陸,比如管理員,當然,如果在登陸成功后直接去訪問2.168..5.1shareswg以試圖修改的話,那么你將會感到失望,因為還是拒絕訪問的,那么如何訪問并修改呢,可以這樣操作,“開始-運行-cmd ”然后回車,這樣就啟動了命令行,在命令行下輸入:net use 2.168.5.1 password /user:swg,顯示“命令成功完成”,這樣就利用“swg ”和服務器建立一個連接,此時就可以2.168.5.1shareswg,里進行修改了,

然后再注銷管理員帳號,用“swg ”登陸,看看有沒有成功:

看到了吧,類型由“漫游”變成了“強制”,現(xiàn)在可以在桌面這些地方進行任意的修改,你會發(fā)現(xiàn)注銷再登陸,又恢復到了原樣。這種設置在多人使用同一個帳號的情況下非常有用。 最后再請大家注意兩個問題:

1、 在配置強制用戶配置文件時,當用其它用戶登陸修改時,請保證被修改的用戶處于注銷狀態(tài),為什么? 大家不妨自己想一想!

2、 當使用漫游用戶配置文件時,請不要在桌面等地方存放一些大型的程序或文件,因為用戶在登陸和注銷過程中會下載和上傳配置文件,如果文件過大,會影響登陸和注銷的速

,

度。

按照手冊配置好后,遇到問題及解決辦法

1. 訪問,總是提示輸入用戶名密碼的提示框。

解決辦法:在域控服務器上,我的電腦——管理——服務與應用服務——Internet 信息服務(IIS )管理器——網(wǎng)站——默認網(wǎng)站——右鍵菜單中點擊屬性——在目錄安全性中——身份認證與訪問控制——編輯——勾選啟用匿名訪問——選擇匿名訪問時的用戶帳戶(這里選擇的是administrator )

確保administrator 的權限為完全控制,在默認網(wǎng)站——右鍵菜單選擇權限——確保administrator 的權限為完全控制

2. 客戶機不能登陸到域控服務器

可能是域控服務器上創(chuàng)建的用戶沒有進行“委派控制”

可能是服務TCP/IP NetBIOS Helper沒有啟動

可能是沒有關閉客戶端防火墻

3. 登陸域服務器時只能以管理員身份登陸,以其他用戶身份登錄,會提示“本地策略不允許交互式登錄”

解決辦法:這個問題一般在域服務器上才會出現(xiàn),當那臺服務器升級為域控制器后,除了域管理員,其他權限組的用戶都不能登陸,彈出“此系統(tǒng)的本地策略不允許你采用交互式登錄”的對話框,解決這個問題的方法是在域服務器上進行操作,控制面板--管理工具--域控制器安全策略--安全設置--本地策略--用戶權利指派--在本地登陸,雙擊其,點擊添加用戶或組,選擇允許登陸的用戶或組,一般添加權限組就行了(添加的是Domain Users,即所有域用戶),在那個權限組內(nèi)的用戶就都能進行登陸了。如果是其他客戶機上也出現(xiàn)類似的問題,那就改本地安全策略里的那一個選項就OK 了。

4. 他人遠程操作你的計算機時,被操作計算機設置如下:

我的電腦——右鍵屬性——遠程——勾選“允許用戶遠程連接到此計算機”

5. 測試CCID 開機域登陸步驟

域控服務器端:配置好證書服務器后,以管理員用戶登錄,安裝CCID 安裝包(這里安裝的是管理員工具),申請一張頒發(fā)給管理員的證書,再申請一張頒發(fā)給用戶的證書,兩張證書放在不同的key 中,拔key ,自動注銷,插key ,彈出提示框要求輸入PIN 碼。插入管理員證書的key ,登錄到管理員權限下;插入用戶證書的key ,登錄到用戶權限下

客戶端:首先確保域控服務器中添加了名為test 的用戶,并且已經(jīng)進行“委派控制”設置。第二,將DNS 改為域控服務器的IP 地址,即10.0.26.234

第三,我的電腦——右鍵屬性——計算機名——更改——隸屬于,選擇域,寫入demo.com ,確定,提示輸入用戶名密碼,輸入test 用戶名和密碼,提示成功加入到域中

第四,重新登錄計算機,在登陸到處選擇域demo ,輸入用戶的用戶名和密碼,就是以test

,

身份登陸入計算機

第四,重新登錄計算機,在登陸到處選擇域demo ,輸入域中管理員的用戶名和密碼,就以域中管理員的身份登入計算機

第五,安裝CCID 管理員工具的包,進行測試,類似在域控服務器本機的測試。

標簽: