WatchSAFE 智能卡將一臺成員服務器提升為域服務器（域控制器）的步驟目前很多公司的網(wǎng)絡中的PC 數(shù)量均超過10臺，按照微軟的說法，一般網(wǎng)絡中的PC 數(shù)目低于10臺，則建議采對等網(wǎng)的工作模式，而如

WatchSAFE 智能卡

將一臺成員服務器提升為域服務器（域控制器）的步驟

目前很多公司的網(wǎng)絡中的PC 數(shù)量均超過10臺，按照微軟的說法，一般網(wǎng)絡中的PC 數(shù)目低于10臺，則建議采對等網(wǎng)的工作模式，而如果超過10臺，則建議采用域的管理模式，因為域可以提供一種集中式的管理，這相比于對等網(wǎng)的分散管理有非常多的好處，下面講解如何把一臺成員服務器提升為域控制器：

本篇文章中所有的成員服務器均采用微軟的Windows Server 2003，客戶端則采用Windows XP。

1. 當然是在成員服務器上安裝上Windows Server 2003，安裝成功后進入系統(tǒng)。

2. 給這臺成員服務器指定一個固定的IP ，在這里指定情況如下:

機器名:Server

IP:10.0.26.234

子網(wǎng)掩碼:255.255.255.0

DNS:10.0.26.234(因為我要把這臺機器配置成DNS 服務器)

3. 由于Windows Server 2003在默認的安裝過程中DNS 是不被安裝的，所以我們需要手動去添加，添加方法如下:“開始—設置—控制面板—添加刪除程序”，然后再點擊“添加/刪除Windows 組件”，找到“網(wǎng)絡服務”，選中（同時會連帶選中應用程序服務器）。 默認情況下所有的網(wǎng)絡服務都會被添加，可以點擊下面的“詳細信息”進行自定義安裝，由于在這里只需要DNS ，所以把其它的全都去掉了，以后需要的時候再安裝。

然后就是點“確定”，一直點“下一步”就可以完成整個DNS 的安裝。在整個安裝過程中請保證Windows Server 2003安裝光盤位于光驅(qū)中，否則會出現(xiàn)找不到文件的提示，那就需要手動定位了。

4. 安裝完DNS 以后，就可以進行提升操作了，先點擊“開始—運行”，輸入“Dcpromo ”，然后回車就可以看到“Active Directory安裝向?qū)А?/p>

在這里直接點擊“下一步”:

這里是一個兼容性的要求，Windows 95及NT 4 SP3以前的版本無法登陸運行到Windows Server 2003的域控制器，我建議大家盡量采用Windows 2000及以上的操作系統(tǒng)來做為客戶端。然后點擊“下一步”:

在這里由于這是第一臺域控制器，所以選擇第一項:“新域的域控制器”，然后點“下一步”:

既然是第一臺域控，那么當然也是選擇“在新林中的域”:

在這里我們要指定一個域名，我在這里指定的是demo.com （域名不能為logon.watchdata.com ，因為這樣設置會成為watchdata.com 主控域下面的一個子域，這里要求配置一臺主控域服務器）:

這里是指定NetBIOS 名，注意千萬別和下面的客戶端沖突，也就是說整個網(wǎng)絡里不能再有一臺PC 的計算機名叫“demo ”，雖然這里可以修改，但個人建議還是采用默認的好，省得以后麻煩:

在這里要指定AD 數(shù)據(jù)庫和日志的存放位置，如果不是C 盤的空間有問題的話，建議

采用默認:

這里是指定SYSVOL 文件夾的位置，還是那句話，沒有特殊情況，不建議修改:

第一次部署時總會出現(xiàn)上面那個DNS 注冊診斷出錯的畫面，主要是因為雖然安裝了DNS ，但由于并沒有配置它，網(wǎng)絡上還沒有可用的DNS 服務器，所以才會出現(xiàn)響應超時的現(xiàn)像，所以在這里要選擇:“在這臺計算機上安裝并配置DNS ，并將這臺DNS 服務器設為這臺計算機的首選DNS 服務器”:

“這是一個權限的選擇項，在這里，我選擇第二項“只與:Windows 2000或Window 2003操作系統(tǒng)兼容的權限”，因為在整個環(huán)境里，并沒有Windows 2000以前的操作系統(tǒng)存在”:

這里是一個重點，還原密碼，希望大家設置好以后一定要記住這個密碼，千萬別忘記了，因為在后面的關于活動目錄恢復的文章上要用到這個密碼的:

這是確認畫面，請仔細檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進入重輸，如果確認無誤的話，那么點“下一步”就正式開安裝了:

幾分鐘后，安裝完成:

點完成:

點“立即重新啟動”。

5. 然后來看一下安裝了AD 后和沒有安裝的時候有些什么區(qū)別：

首先，第一感覺就是關機和開機的速度明顯變慢了，再看一下登陸界面，多出了一個“登陸到”的選擇框；

其次，進入系統(tǒng)后，右鍵點擊“我的電腦”選“屬性”，點“計算機” ？？？

第三，其它的比如沒有本地用戶了；

第四，開始——程序——管理工具里多出那么多圖標。

將工作站加入到域的步驟

1. 從網(wǎng)絡安全性考慮，盡量少使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行“dsa.msc ”，出現(xiàn)“AD 用戶和計算機”管理控制臺:

先來新建一個用戶，展開“demo.com ”，在“Users ”上擊右鍵，點“新建”-“用戶”: 然后出現(xiàn)一個新建用戶的向?qū)?，在這里，我新建了一個名為“swg ”的用戶，并且把密碼設為“永不過期”:

這樣點“下一步”，直到完成，就可以完成用戶的創(chuàng)建。

然后在“demo.com ”上點擊右鍵，先擇“委派控制”:

就會出現(xiàn)一個“委派控制向?qū)А?

點擊“下一步”:

點擊中間的“添加”按鈕，并輸入剛剛創(chuàng)建的“swg ”帳號:

然后點“確定”:

再點“下一步”:

暫時不需要讓該用戶去“管理組策略鏈接”，所以在這里，僅僅選擇“將計算機加入到域”，然后點“下一步”:

最后是一個信息核對畫面，要是沒有什么問題的話，直接點“完成”就可以了。

2. 接下來轉到客戶端，看看怎么把XP 加入到域中來，客戶端操作系統(tǒng)是Windows XP 專業(yè)版，需要大家注意的是Windows XP 的Home 版由于針對的是家庭用戶，所以不能加入域，

3. 我們先來設置一下這臺XP 的網(wǎng)絡:

計算機名:TestXP

IP:10.0.26.231

子網(wǎng)掩碼:255.255.225.0

DNS 服務器:10.0.26.234，

4. 設置完網(wǎng)絡以后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”。

在這里把“隸屬于”改成域，并輸入:“demo.com ”，并點確定，彈出輸入用戶名密碼的提示框:

輸入剛剛在域控上建的那個“swg ”的帳號，點確定:

提示成功加入了，然后點確定，點重啟就算OK 了。

來看一下登陸畫面有沒有什么不一樣: 看到那個“登陸到”了吧，可以選擇域登陸還是本機登陸了，在這里選擇域“DEMO ”，這樣就可以用域用戶進行登陸了。進入系統(tǒng)后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”中可以看到區(qū)別了。

建立額外域控制器的步驟

1. 當把客戶端加入到域后，如果域控制器處于關閉狀態(tài)或者死機的話，那么，會發(fā)現(xiàn)下面的客戶機無法登陸到域，所以再建立一臺域控制器，用來防止其中一臺出現(xiàn)意外損壞的情況是很有必要的。后建立的那臺域控制器叫額外域控制器。來看看額外域控制器的建立過程吧:

當然網(wǎng)絡設置永遠是在第一步的:

計算機名:Bserver

IP:10.0.26.233

子網(wǎng)掩碼:255.255.255.0

DNS:10.0.26.234

既然是提升為域控制器，那么DNS 組件也是要添加的，添加方法和和上面一樣，這里就不再重復了。

添加完成后，同樣是點擊“開始”-“運行”-“dcpromo ”:

出現(xiàn)的向?qū)Ш筒僮飨到y(tǒng)兼容性同安裝第一臺域控制器是一樣的，唯一要注意的是下面的選項:

安裝第一臺時選擇的是“新域的域控制器”，這里要選擇的是“現(xiàn)有域的額外域控制器”，然后點“下一步”:

在這里，輸入域的管理員帳號的密碼，在“域”里填入相應域的DNS 全名或NetBios 名，點“下一步”:

在這里一定要填入現(xiàn)有域的DNS 全名，然后再點“下一步”，接下去的操作和安裝第一臺域控制器時是一樣的，所以就不再寫下去了，直到完成就可以了。

活動目錄之用戶配置文件

關于域用戶的開設在前面的文章中(如何把一臺成員服務器提升為域控制器(一) 、(二)) 已經(jīng)涉及過了，所以在這里開設用戶的方法就不再重復了，本篇文章主要向大家介紹一下用戶配置文件。

首先，什么是用戶配置文件? 根據(jù)微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統(tǒng)加載所需環(huán)境的設置和文件和集合，它包括所有用戶專用的配置設置。用戶配置文件存在于系統(tǒng)的什么位置呢? 那么用戶配置文件包括哪些內(nèi)容呢? 來給大家看一副截圖:

用戶配置文件的保存位置在:系統(tǒng)盤(一般是C 盤) 下的“Documents and Settings”文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，并且都登陸過的話，那么就會出現(xiàn)在同名文件夾后面拖后綴的情況，舉個例子:比如在一個域(demo.com)里面有一臺計算機(testxp)，本地有一個swg 的帳號，域上也有一個swg 的帳號，并且都登陸過這臺計算機，那么會發(fā)生如下情況: 本地帳號先登陸:那么本地的swg 的用戶配置文件夾為swg ，而域用戶的用戶配置文件夾為swg.demo 。

域帳號先登陸:那么域用戶的用戶配置文件夾為swg ，本地用戶的配置文件夾為swg.testxp 。

通過上面的截圖，我們可看出，用戶配置文件包括桌面設置、我的文檔、收藏夾、IE 設置等一些個性化的配置。另外需要說明的是在“Documents and Settings”文件夾下有一個名為“All Users”的文件夾，如果你在這個文件夾下的“桌面”文件夾下新建一個文件的話，你會發(fā)現(xiàn)所有用戶在登陸時的桌面上都有這個文件，所以這個文件夾里的配置是對這臺計算機的每個用戶均起作用的。

當網(wǎng)絡變成域構架后，所有的域用戶可以在任意一臺域內(nèi)的計算機登陸，當你在一臺計算機上的用戶配置文件修改后，你會發(fā)現(xiàn)到另一臺計算機上登陸時，所有的設置還是原來的，并沒有發(fā)生修改，這是因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那臺登陸的計算機上。我們可以在“我的電腦”上擊“右鍵”，選“屬性”，點“高級”，然后在“用戶配置文件”里點“設置”:

請注意“類型”里用紅框標出的部分，全部是“本地”，這就說明用戶配置文件保存在本地，那么如何才能讓用戶的配置文件隨著帳號走，也就是不管用戶在哪臺計算機上登陸都能保持用戶配置文件一致呢? 為了解決這個問題，就要用到漫游用戶配置文件，原理就是把用戶配置文件保存在一個網(wǎng)絡的公共位置，當用戶在計算機上登陸里，會從網(wǎng)絡公共位置把用戶配置文件下載到本地并加以應用，然后當用戶注銷時，會把本地的用戶配置文件同步到網(wǎng)絡公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那么如何來實現(xiàn)這個功能呢? 現(xiàn)在就來實踐一下:

首先，要在一個網(wǎng)絡的公共位置開設一個共享文件夾，用來存放用戶配置文件，在個實驗里，就在域控制器上開設一個為share 的共享文件夾，并開放權限:

然后，點擊“開始-設置-控制面板-管理工具”，雙擊“AD 用戶和計算機”，并選中相應的用戶，這里以“swg ”帳號為例:

在“swg ”帳號上雙擊，然后選“配置文件”，在“用戶配置文件-配置文件路徑”里輸入:2.168.5.1shareusername，“192.168.5.1”是域控制器的IP 地址，如下圖所示:

然后點確定，接下去就到客戶端去，用“swg ”帳號登陸一下，看看會發(fā)生什么變化。

如上圖所示，DEMOswg的狀態(tài)由剛剛的“本地”變成了“漫游”，此時注銷一下用戶，那么就會自動的將該用戶的本地用戶配置文件同步到網(wǎng)絡公共位置，如果再用“swg ”到另外的域內(nèi)計算機上去登陸的話，會發(fā)現(xiàn)所有的用戶配置文件和這臺計算機上是一樣的。那么服務器上發(fā)生了些什么變化呢?

如上圖所示，服務器的“share ”文件夾里會自動創(chuàng)建一個和用戶名一樣的“swg ”文件夾，默認情況下這個文件夾只允許對應的用戶打開:

畫面很熟悉吧?

目前很多公司的IT Pro都有共同的感嘆，就是用戶喜歡把自己的桌面什么的搞得亂七八糟，雖然通過組策略可以限制掉一部份，但總覺得不是很完善，在這里，向大家推薦使用強制用戶配置文件，用戶可以對自己個人配置文件任意修改，但是一旦注銷后，這些修改將不會被保存，這樣用戶下次登陸里，用戶的配置文件還是保持和原來一樣，那么如何實現(xiàn)這個功能呢? 其實只要將用戶配置文件夾下的“Ntuser.dat ”改成“Ntuser.man ”就可以了，來看一下修改過程:

首先，在顯示隱藏文件和已知文件的擴展名，可以在“工具-文件夾選項-查看”里進行修改：

~

點“確定”后，就可以在看到那個“Ntuser.dat ”文件了，但此時會有一個問題，如果去修改C:Documents and Settingsswg下的“Ntuser.dat ”，會發(fā)現(xiàn)根本沒有辦法修改這個文件，因為文件在使用中，無法修改; 如果去修改網(wǎng)絡公共位置的“Ntuser.dat ”，也就是2.168.5.1shareswg下的“Ntuser.dat ”，修改當然可以修改，但是由于在“swg ”用戶注銷的時候，本地的“Ntuser.dat ”會把網(wǎng)絡公共位置的“Ntuser.man ”覆蓋掉，也就是等于沒有修改。很多人都想直接在服務器上更改 “swg ”文件夾的所有者，然后給管理員帳號添加權限，這樣就可以直接在服務器上把“Ntuser.dat ”改掉，但本人實踐過幾次，都發(fā)現(xiàn)這樣的操作會引起一些權限無法繼承，而導致出錯的情況，所以不建議大家使用，這里推薦一種方法:

先把“swg ”帳號注銷掉，然后用另外一個帳號登陸，比如管理員，當然，如果在登陸成功后直接去訪問2.168..5.1shareswg以試圖修改的話，那么你將會感到失望，因為還是拒絕訪問的，那么如何訪問并修改呢，可以這樣操作，“開始-運行-cmd ”然后回車，這樣就啟動了命令行，在命令行下輸入:net use 2.168.5.1 password /user:swg，顯示“命令成功完成”，這樣就利用“swg ”和服務器建立一個連接，此時就可以2.168.5.1shareswg，里進行修改了，

然后再注銷管理員帳號，用“swg ”登陸，看看有沒有成功:

看到了吧，類型由“漫游”變成了“強制”，現(xiàn)在可以在桌面這些地方進行任意的修改，你會發(fā)現(xiàn)注銷再登陸，又恢復到了原樣。這種設置在多人使用同一個帳號的情況下非常有用。 最后再請大家注意兩個問題:

1、 在配置強制用戶配置文件時，當用其它用戶登陸修改時，請保證被修改的用戶處于注銷狀態(tài)，為什么? 大家不妨自己想一想!

2、 當使用漫游用戶配置文件時，請不要在桌面等地方存放一些大型的程序或文件，因為用戶在登陸和注銷過程中會下載和上傳配置文件，如果文件過大，會影響登陸和注銷的速

度。

按照手冊配置好后，遇到問題及解決辦法

1. 訪問，總是提示輸入用戶名密碼的提示框。

解決辦法：在域控服務器上，我的電腦——管理——服務與應用服務——Internet 信息服務（IIS ）管理器——網(wǎng)站——默認網(wǎng)站——右鍵菜單中點擊屬性——在目錄安全性中——身份認證與訪問控制——編輯——勾選啟用匿名訪問——選擇匿名訪問時的用戶帳戶（這里選擇的是administrator ）

確保administrator 的權限為完全控制，在默認網(wǎng)站——右鍵菜單選擇權限——確保administrator 的權限為完全控制

2. 客戶機不能登陸到域控服務器

可能是域控服務器上創(chuàng)建的用戶沒有進行“委派控制”

可能是服務TCP/IP NetBIOS Helper沒有啟動

可能是沒有關閉客戶端防火墻

3. 登陸域服務器時只能以管理員身份登陸，以其他用戶身份登錄，會提示“本地策略不允許交互式登錄”

解決辦法：這個問題一般在域服務器上才會出現(xiàn)，當那臺服務器升級為域控制器后，除了域管理員，其他權限組的用戶都不能登陸，彈出“此系統(tǒng)的本地策略不允許你采用交互式登錄”的對話框，解決這個問題的方法是在域服務器上進行操作，控制面板－－管理工具－－域控制器安全策略－－安全設置－－本地策略－－用戶權利指派－－在本地登陸，雙擊其，點擊添加用戶或組，選擇允許登陸的用戶或組，一般添加權限組就行了（添加的是Domain Users，即所有域用戶），在那個權限組內(nèi)的用戶就都能進行登陸了。如果是其他客戶機上也出現(xiàn)類似的問題，那就改本地安全策略里的那一個選項就OK 了。

4. 他人遠程操作你的計算機時，被操作計算機設置如下：

我的電腦——右鍵屬性——遠程——勾選“允許用戶遠程連接到此計算機”

5. 測試CCID 開機域登陸步驟

域控服務器端：配置好證書服務器后，以管理員用戶登錄，安裝CCID 安裝包（這里安裝的是管理員工具），申請一張頒發(fā)給管理員的證書，再申請一張頒發(fā)給用戶的證書，兩張證書放在不同的key 中，拔key ，自動注銷，插key ，彈出提示框要求輸入PIN 碼。插入管理員證書的key ，登錄到管理員權限下；插入用戶證書的key ，登錄到用戶權限下

客戶端：首先確保域控服務器中添加了名為test 的用戶，并且已經(jīng)進行“委派控制”設置。第二，將DNS 改為域控服務器的IP 地址，即10.0.26.234

第三，我的電腦——右鍵屬性——計算機名——更改——隸屬于，選擇域，寫入demo.com ，確定，提示輸入用戶名密碼，輸入test 用戶名和密碼，提示成功加入到域中

第四，重新登錄計算機，在登陸到處選擇域demo ，輸入用戶的用戶名和密碼，就是以test

身份登陸入計算機

第四，重新登錄計算機，在登陸到處選擇域demo ，輸入域中管理員的用戶名和密碼，就以域中管理員的身份登入計算機

第五，安裝CCID 管理員工具的包，進行測試，類似在域控服務器本機的測試。