2023年11月27日发(作者:)

网络技术应用网

按照微软的说法,一般网络中的PC数目低于10台,则建议建议采对等网的工作

模式,而如果超过10台,则建议采用域的管理模式,因为域可以提供一种集中

式的管理,这相比于对等网的分散管理有非常多的好处,那么如何把一台成员服

务器提升为域控?

服务器采用Windows2003Server为例,客户端以XP为例(专业版,home版的不

支持)

域控制器名字:server

IP1921681.254;

子网掩码:2552552550;

网关:1921681.1;

DNS1921681.254

由于Windows Server 2003在默认的安装过程中DNS是不被安装的,所

以我们需要手动去添加,添加方法如下:“开始—设置—控制面板—添加删除程

序”,然后再点击“添加/删除Windows组件”,则可以看到如下画面:

向下拖动右边的滚动条,找到“网络服务”,选中:

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

默认情况下所有的网络服务都会被添加,可以点击下面的“详细信息”进行自定

义安装,由于在这里只需要DNS,所以把其它的全都去掉了,以后需要的时候再

安装:

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

然后就是点“确定”,一直点“下一步”就可以完成整个DNS的安装。在整个安

装过程中请保证Windows Server 2003安装光盘位于光驱中,否则会出现找不到

文件的提示,那就需要手动定位了。

安装完DNS以后,就可以进行提升操作了,先点击“开始—运行”,输入

“Dcpromo”,然后回车就可以看到“Active Directory安装向导”直接下一步

就可以了`

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

这里是一个兼容性的要求,Windows 95NT 4 SP3以前的版本无法登陆运行到

Windows Server 2003的域控制器,我建议大家尽量采用Windows 2000及以上

的操作系统来做为客户端。然后点击“下一步”:

在这里由于这是第一台域控制器,所以选择第一项:“新域的域控制器”,然后

点“下一步”:

既然是第一台域控,那么当然也是选择“在新林中的域”:

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

在这里我们要指定一个域名,我在这里指定的是

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

这里是指定NetBIOS名,注意千万别和下面的客户端冲突,也就是说整个网络里

不能再有一台PC的计算机名叫“demo”,虽然这里可以修改,但个人建议还是

采用默认的好,省得以后麻烦。

在这里要指定AD数据库和日志的存放位置,如果不是C盘的空间有问题的话,

建议采用默认。

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

这里是指定SYSVOL文件夹的位置,还是那句话,没有特殊情况,不建议修改:

第一次部署时总会出现上面那个DNS注册诊断出错的画面,主要是因为虽然安装

DNS,但由于并没有配置它,网络上还没有可用的DNS服务器,所以才会出现

响应超时的现像,所以在这里要选择:“在这台计算机上安装并配置DNS,并将

这台DNS服务器设为这台计算机的首选DNS服务器”。

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

“这是一个权限的选择项,在这里,我选择第二项:“只与Windows 2000

Window 2003操作系统兼容的权限”,因为在我做实验的整个环境里,并没有

Windows 2000以前的操作系统存在”(可根据需要)

这里是一个重点,还原密码,希望大家设置好以后一定要记住这个密码,千万别

忘记了,因为在后面的关于活动目录恢复的文章上要用到这个密码的。

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

这是确认画面,请仔细检查刚刚输入的信息是否有误,尤其是域名书写是否正确,

因为改域名可不是闹着玩的,如果有的话可以点上一步进入重输,如果确认无误

的话,那么点“下一步”就正式开安装了:

稍后安装即可完成.

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

点完成,点“立即重新启动”。

然后来看一下安装了AD后和没有安装的时候有些什么区别,首先第一感觉就是

关机和开机的速度明显变慢了,登陆界面如下:

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

多出了一个“登陆到”的选择框,进入系统后,右键点击“我的电脑”选“属

性”,点“计算机”

这样就把普通一台2003Server升级成DC(主域控制器啦)

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

接着讲客户端的相关操作(客户端操作系统是Windows XP专业版,需要大家注意

的是Windows XP Home版由于针对的是家庭用户,所以不能加入域)

计算机名:Test

IP:192.168.1.101

网关:1921681.1

子网掩码:255.255.225.0

DNS服务器:192.168.1.254

(这里要特别注意要把客户端的首选DNS指向DCIP地址,否则加入DC时会非

常慢)

设置完网络以后,在“我的电脑”上击右键,选“属性”,点“计算机名”。

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

在这里把“隶属于”改成域,并输入:“”,并点确定,这是会出现如

下画面:

输入在域控上建的那个“swg”的帐号,点确定:

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

出现上述画面就表示成功加入了,然后点确定,点重启就算OK了。来看一下登

陆画面有没有什么不一样:

看到那个“登陆到”了吧,可以选择域登陆还是本机登陆了,在这里选择域

“DEMO”,这样就可以用域用户进行登陆了。进入系统后,在“我的电脑”上击

右键,选“属性”,点“计算机名”:

看到用黑框标出来的地方和没有加入到域的时候的区别的吧?

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

密码策略设置

在域服务器上添加客户端帐号时,因为组策略的关系,创建客户端密码时会出现"

密码不符合策略要求",这时我们必须进行如下操作:

在域控制器上的开始菜单中打开“运行”,输入后回车,即打开活动目

录的用户和计算机管理控制台。在域节点右键,进入属性,打开组策略选项卡,

在里边找到Default Domain policy这个GPO选中他,点击下面的编辑,,打开

组策略编辑器,在这个组策略编辑器中找到一下路径:计算机配置-WINDOWS

-安全设置-帐户策略-密码策略。在这个路径下找到“密码必须符合复杂性要

求”设置为禁用,“密码长度最小值”设置为0。这样你就可以创建空密码的用

户帐户了(当然在这里你也可以为你的域设置你自己需要的密码策略)完成了

以上设置后并没有完,还有最后一步,就是在开始菜单的运行中输入“gpupdate

/force”这个命令。(即组策略刷新)

另:

1、如何在WIN2003中添加用户?每次添加用户时总是提示我不符合密码策略,

怎么办?

问:如何在WIN2003中添加用户?我将公司的主域服务器改成win2003,但是

win2003却不让我添加用户,每次添加用户是总是提示我不符合密码策略,怎么

办?

答:对于2003域,默认域的安全策略与2000域不同。要求域用户的口令必须符

合复杂性要求,且密码最小长度为7。口令的复杂性包括三条:一是大写字母、

小写字母、数字、符号四种中必须有3种,二是密码最小长度为6,三是口令中

不得包括全部或部分用户名。

当然也可以重新设默认域的安全策略来解决。操作如下:开始/程序/管理工具/

域安全策略/帐户策略/密码策略:

密码必须符合复杂性要求:由“已启用”改为“已禁用”;

密码长度最小值:由“7个字符”改为“0个字符”。

使此策略修改生效有如下方法:

1、等待系统自动刷新组策略,约5分钟~15分钟

2、重启域控制器(若是修改的用户策略,注销即可)

3、使用gpupdate命令。(推荐使用这个)

说明:2000中使用的刷新组策略命令secedit /refreshpolicy machine(

user)_policy /enforce 命令在03中已由gpupdate取代。命令格式如下:

仅刷新计算机策略:gpupdate /target:computer

仅刷新用户策略: gpupdate /target:user

二者都刷新: gpupdate

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

此命令也适用于,修改了域/OU上的组策略,欲对客户机或用户马上生效。

在客户机上运行此命令即可。自动刷新间隔:DCDC5分钟,2个以上的多

DC,最长可能达到15分钟,DC到非DC90+ -30分钟,即60~120分钟。

说明:安全策略只是组策略的一部分,或者说子集。所以有的网友说改默认域的

组策略也是对的。

操作:开始/程序/管理工具/AD用户和计算机/域上右键/属性/组策略/默认域的

组策略/计算机配置/windows设置/安全设置(MS只不过把这部分单独提出来做

了鯩MC控制台——域安全策略,而已)/帐户策略/密码策略。

=====================================================================

再问:这种方法我一开始就修改了,重新启动电脑,还是不行。用

修改倒是没有尝试?那我去试试,这两种方法是不是一致的啊,要是都是一致的,

看来也不行。

再答:是用来编辑本地策略的。

1、如果你建的是“域”用户,需要编辑默认域的策略才行。(按照你的上文,

我是这样理解的,即是在“AD用户和计算机中”创建。)按照上面的方法,不

可能不好使。只有一种可能,我先说一下理论:

组策略应用的优先级(由低到高,策略有冲突时,高的说了算,不冲突时累加,

都生效):LSDOU

即:本地、站点、域、OU、小OU„„

以域控制器上的安全策略为例,涉及到:本地安全策略、域安全策略、域控制器

安全策略。

因为默认:03域是在域安全策略上设的,把这个改回“已禁用”,“0”即可。

唯一的可能就是有人动了域控制器的安全策略。

2、如果你是在域成员(非DC)上建“本地”用户,那么在DC上修改了默认域

策略后,需要在客户机上刷新策略才行,用下列方法之一:

1)用seceditgpupdate

2)重启客户机

3)等1~2小时后

说明:由于帐户策略是计算机策略(而非用户策略),在域上设,就会对域内所

有的

计算机生效,生效的结果进而影响了本地帐号,虽然本地帐号不是域帐号。

我的经验:更改完域的安全策略中关于密码策略后,一般都不能解决问题,还要运

打开本地策略管理器把密码策略中关于密码长度设为0.这样应该

就可解决问题.

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

找不到网络路径

1.从开始菜单选择运行输入打开服务管理窗口检查:A:netlogon

服务是否启动;/IP NETBIOS服务是否启动

2.客户端DNS地址已经指向了DC

域控制器上没有安装DNS服务。

4.客户端防火墙已经关闭。

可以连接到DNS服务器的53 135 139端口。

去掉Microsoft网络客户端的复选矿。

安装NETBIOS协议。

重装TCP/IP协议。

漫游用户配置文件方法

漫游用户配置文件的作用是无论用户登录到哪台基于 Microsoft Windows NT 的计算机上,

漫游用户配置文件都为用户提供相同的工作环境。这样就可以避免因为换了机器而丢失以前

的作用环境而不爽了,也不会降低工作质量。

创建漫游用户配置文件过程有两个步骤:创建测试用户配置文件,然后将测试用户配

置文件复制到网络服务器。

步骤一:在此过程中,您会为漫游用户创建一个测试配置文件:1. 创建一个充当测试

用户帐户的用户帐户。例如,创建一个名为 Sales Profile 的帐户。2. 以测试用户帐户登录。

这会在本地计算机的 C:WinntDocuments and Settings用户名文件夹中自动创建用户配置文

件。 3. 配置桌面环境,包括外观、快捷方式和开始菜单选项。4. 注销,然后以管理员身份

登录。

步骤二:最后复制测试配置文件,在此过程中,您会将测试配置文件复制到网络服务

器:

1. 在网络驱动器上创建一个要在其中存储网络配置文件的文件夹。(为共享文件夹,在共享

权限中设置为完全控制)例如:server_nameProfilesuser_name

2. "控制面板"中,双击系统,然后单击用户配置文件选项卡。在"储存在本机上的配置文

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

"下,单击要复制的配置文件,然后单击复制到。

3. 在将配置文件复制到对话框中,键入该文件夹的网络路径。在"允许使用"下,单击更改。

4. 添加相应的用户,然后单击确定。

5. "域用户管理器"中,双击该用户帐户,然后在用户属性对话框中,单击配置文件。

6. 在用户配置文件路径框中,键入网络配置文件所在文件夹的 UNC 路径。例如:

server_nameProfilesuser_name

实现桌面墙纸的漫游方法 (此方法本人试过好像不需要这样操作也可以实现)

学会如何漫游配置文件后,大家会发现,桌面墙纸是不会与漫游配置文件一同漫游的,

这是为什么呢?

我们来对比一下本地配置文件和漫游后的配置文件。在本地配置文件中有一个Local

Settings文件夹,在漫游配置文件中我们是找不到它的,但是漫游配置文件中却多出了个叫

使

[General]ExclusionList=Local Settings;Temporary Internet Files;History;Temp原来,Windows

漫游配置文件的默认情况下,Local Setting文件夹是被排除的,而在这个文件当中存放的就

是我们桌面墙纸的信息。那我们要怎样将这个文件夹找回来呢?下面就介绍下如何使用注册

表恢复桌 面墙纸的漫游:

1、使用需要漫游的用户名登录域当中的任何一台计算机(包括域控),运行Regedit打开

注册表;

2[HKEY_CURRENT_USERSoftware

MicrosoftWindowsNTCurrentVersionWinlogon]项,并修改ExcludeProfileDirs键值,将数

数据中的Local Setting删除,退出注册表;

3、设置用户要用的桌面背景,退出系统;

4、使用同一用户名在域当中的其他机器上登录,会发现在上一台计算机上设置的墙纸在这

台机器上也出现了。这时我们在打开域控制器上的漫游配置文件,你会发 Local Setting

文件夹又回来了,而配置文件的内容变成了ExclusionList=Temporary Internet

Files;History;Temp;到这时候我们对桌面墙纸的漫游配置就大功告成了!注意:在您创建的

络文件夹中,如果这是一个强制用户配置 件,则将 文件重命名为

使用组策略实现统一桌面

在企业中为了实现企业形象的统一性,会要求在企业所有计算机上实现标准的桌面化配置环

境。那么要怎么实现呢?详细过程如下:(在做好了上面所说的用户配置文件的漫游后,不

专业和专注企业网络技术服务器网络安全应用

网络技术应用网

需要再做桌面墙纸的漫游。

1、在域控上建立存放背景图片的文件夹,将其设置为共享文件夹;

2、在开始运行中命令进入组策略编辑器,并双击用户配置--管理模板--桌面

--Active Desktop中的Active Desktop 墙纸选项,将其设置为已启用。

3、在墙纸名称路径框中输入存放桌面背景文件的完整路径。如:servershare文件名。在

墙纸样式中任意选择一项,按确定;

4、将用户配置--管理模板--桌面--Active Desktop中的启用Active Desktop 选项设置为已启

用;

5、在开始--运行中输入GPupdate命令,刷新组策略。这时候域当中所有用户的桌面背景全

部为统一图片。

专业和专注企业网络技术服务器网络安全应用