一.手动安装ActiveDirectory:1.单击“开始”按钮,单击“运行”,键

2024年1月15日发(作者：)

一．手动安装Active Directory：

1.单击“开始”按钮，单击“运行”，键入“DCPROMO”，然后单击“确定”。

2.在出现“Active Directory 安装向导”时，单击“下一步”开始安装。

3.阅读“操作系统兼容性”信息后，单击“下一步”。

4.选择“新域的域控制器”（默认），然后单击“下一步”。

5.选择“在新林中的域”（默认），然后单击“下一步”。

6.对于“DNS 全名”，键入“”，然后单击“下一步”。（这表示一个完全限定的名称。）

7.单击“下一步”，接受将“test”作为默认“域 NetBIOS 名”。（NetBIOS 名称提供向下兼容性。）

8.在“数据库和日志文件文件夹”屏幕上，将 Active Directory“日志文件文件夹”指向“L:WindowsNTDS”，然后单击“下一步”继续。

9.保留“共享的系统卷”的默认文件夹位置，然后单击“下一步”。

10.在“DNS 注册诊断”屏幕上，单击“在这台计算机上安装并配置 DNS 服务器”。单击“下一步”继续。

11.选择“只与 Windows 2000 或 Windows Server 2003 操作系统兼容的权限”（默认），然后单击“下一步”。

12.在“还原模式密码”和“确认密码”中，键入密码，然后单击“下一步”继续。

13.单击“下一步”开始安装 Active Directory。

14.在“Active Directory 安装向导”完成后，单击“完成”。

15.单击“立即重新启动”以重新启动计算机。

二．创建组织单位和组，创建 OU 和安全组

1.单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory 用户和计算机”。

2.单击“”旁边的“+”号将其展开。单击“”本身，显示其在右窗格中的内容。

3.在左窗格中，右键单击“”，指向“新建”，然后单击“组织单位”。

4.在名称框中键入“testou1”，然后单击“确定”。

5.重复步骤 3 和 4 以创建“testou2”和“testou3”OU。

6.在左窗格中单击“testou1”。此时将在右窗格中显示其内容。（此过程开始时它是空的。）

7.右键单击“testou1”，指向“新建”，然后单击“组织单位”。

8.键入“testou11”，单击“确定”。

9.重复步骤 7 和 8，在“testou1”中创建“testou12”和“testou13”OU。完成后，OU 结构应与下图中显示的内容相似。

10.使用同样的方法，在“testou3”OU 中创建“testou31”、“ testou32”和“testou33”。

11.右键单击“testou2”，指向“新建”，然后单击“组”以创建两个安全组。要添加的两个组是“testou21”和“testou22”。每个组的设置应该是“全局”和“安全”。单击“确定”分别创每个组。完成所有步骤后，最终的 OU 结构应与下图中显示的内容相似。

三．创建用户帐户

1.在左窗格中，单击“testou11”（在“testou1”中）。此时将在右窗格中显示其内容。（在此过程开头时它为空。）

2.右键单击“testou11”，指向“新建”，然后单击“用户”。

3.键入“testuser”作为“名”；键入“testuser”作为“姓”。（注意，在“姓名”框中将自动显示全名。）

4.键入“testuser”作为“用户登录名”。窗口应与下图相似。

5.单击“下一步”。

6.在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server 2003 要求所有新创建的用户使用复杂密码。可通过组策略禁用密码复杂性要求。

如果密码不符合组策略密码复杂性要求，则会弹出错误对话框，如图所示：

可通过如下操作禁用组策略密码复杂性要求：

（1）单击“开始”—>“所有程序”--“管理工具”--”域安全策略”—>”安全设置”--”帐户策略”--”密码策略”—>”密码必须符合复杂性要求””已禁用”—>”确定”。如图所示：

（2）单击“开始”—>”运行”—>输入cmd—>输入gpupdate或gpupdate/force命令。

7.单击“完成”。此时，testuser testuser 作为用户显示在右窗格的“/testou1/testou11”下面。

8.重复步骤 1 到 7，在“testou12”和“testou13”OU 中创建用户。

四．将用户添加到安全组中

1.在左窗格中，单击“testou2”。

2.在右窗格中，双击“testou21”组。

3.单击“成员”选项卡，然后单击“添加”。

4.单击“高级”，然后单击“立即查找”。

5.按住“Ctrl”键并单击用户名，从下面部分中选择所有相应的用户。在突出显示所有成员后，单击“确定”。再次单击“确定”，将这些成员添加到“testou21”安全组中。单击“确定”关闭“testou21 安全组属性”页。

6.重复步骤 2 到 5，为testou22 组添加成员。

7.关闭“Active Directory 用户和计算机”管理单元”。

五．将Windows XP Professional连接到域

准备工作:在windows server 2003中配置ip地址为：

在windows XP Professional中配置ip地址为

1.右击“我的电脑”，选择“属性”。

2.单击“计算机名”选项卡，然后单击“更改”。

3.单击“域”单选按钮（如图所示）。

4.在“隶属于”下面，键入“”作为“域”，然后单击“确定”。

5.此时将出现“域用户名和密码”对话框。您提供的帐户必须拥有加入该域的权限。在“名称”框中，键入“Administrator”，然后单击“确定”。（本分步指南不需要输入任何密码。）

6.在出现“欢迎加入 test 域”消息时，说明计算机已成功加入该域。单击“确定”。

7.单击“确定”重新启动计算机，然后单击“确定”关闭“系统属性”窗口。

8.在出现“系统设置改动”对话框时，单击“是”重新启动计算机。

六．配置自定义Microsoft 管理控制台

1.以“Administrator”的身份登录到Windows XP Professional上。

2.单击“开始”按钮，单击“运行”，键入“mmc”，然后单击“确定”。

3.在“控制台1”窗口中，单击“文件”，然后单击“添加/删除管理单元”。

4.在“添加/删除管理单元”对话框中，单击“添加”。

5.在“添加独立管理单元”对话框的“可用的独立管理单元”列表框中，单击“Active

Directory 用户和计算机”，然后单击“添加”。

6.在“可用的独立管理单元”列表框中双击“Active Directory 站点和服务”管理单元。

7.向下滚动，然后双击“组策略对象编辑器”。

8.在“选择组策略对象”对话框中，确保选中了“组策略对象”下面的“本地计算机”。单击“完成”，然后单击“关闭”。

9.在“添加/删除管理单元”对话框中，单击“扩展”选项卡。确保为添加到 MMC 控制台中的每个主扩展选择了“添加所有扩展”复选框（它们是默认选中的）。单击“确定”。

要保存控制台更改，请按照以下步骤操作：

1.在 MMC 控制台中，单击“文件”，然后单击“保存”。

2.在“保存为”对话框的“文件名”文本框中，键入“testconsole”，然后单击“保存”。控制台应该如下图所示。

七．组策略管理

(1)从“Active Directory 用户和计算机”中打开组策略，请按照以下步骤操作：

1.在“testconsole”MMC 控制台的控制台树中，单击“Active Directory 用户和计算机”旁边的“+”号。

2.在控制台树中，右键单击“”以访问组策略。

3. 单击“属性”，然后单击“组策略”选项卡。

(2)创建新的 GPO 并将其链接到“testou11”OU 上：

1.在“testconsole”MMC 中，展开“Active Directory 用户和计算机”下面的“”。

2.单击“testou1”旁边的“+”号以展开该树。

3.右键单击“testou11”，然后单击“属性” 。

4.在“testou11 属性”页上，单击“组策略”选项卡。

5.单击“新建”，键入“HQ Policy”，然后按“Enter”键。“testou11 属性”页如下图所示：

（3）使用管理模板设置基于注册表的设置：

1.在“HQ Policy”GPO 的组策略对象编辑器中，单击“用户配置”节点中“管理模板”旁边的“+”号。

2.单击“任务栏和「开始」菜单”。注意，详细信息窗格将所有策略显示为“未被配置”。

3.在右窗格中，双击“从「开始」菜单中删除‘运行’菜单”策略。

4.在“从「开始」菜单中删除‘运行’菜单”对话框中，单击“已启用”。单击“确定”以完成操作。结果如图所示：

（4）定义登录脚本组策略设置：

1.关闭“HQ Policy”的“组策略对象编辑器”。

2.在“testou11 属性”对话框中，单击“关闭”。

3.在“testconsole”控制台中，右键单击“”域，单击“属性”，然后单击“组策略”选项卡

。4.在“组策略属性”页上，从“组策略对象链接”列表中选择“Default Domain

Policy”GPO，然后单击“编辑”以打开“组策略对象编辑器”管理单元。

5.在“组策略”管理单元的“用户配置”下面，单击“Windows 设置”旁边的“+”号，然后单击“脚本（登录/注销）”节点。

6.在详细信息窗格中，双击“登录”。

此时将出现“登录属性”对话框，并显示在指定用户登录时运行的脚本的列表。这是一个有序列表，最先运行的脚本位于列表的顶部。您可以通过选择某个脚本，然后使用上箭头键或下箭头键来更改顺序。

要将新脚本添加到列表中，请单击“添加”按钮。这将显示“添加脚本”对话框。通过从此对话框进行浏览，您可以指定位于当前 GPO 中的现有脚本的名称，或者浏览到另一个位置并选择它以便在该 GPO 中使用。登录用户必须能够访问脚本文件，否则该文件不会运行。该用户自动可以使用当前 GPO 中的脚本。要创建新的脚本，请右键单击空白区域，选择“新建”，然后选择一个新文件。

要编辑列表中现有脚本的名称或参数，请选择该脚本，然后单击“编辑”按钮。此按钮不允许对脚本本身进行编辑。要编辑脚本，请使用“显示文件”按钮。要从列表中删除脚本，请选择该脚本，然后单击“删除”。

“显示文件”按钮显示 GPO 脚本的 Windows 资源管理器视图。这样，您就可以快速访问这些文件，或访问将支持文件复制到的地方（如果脚本文件需要的话）。如果从此位置更改脚本文件名称，您还必须使用“编辑”按钮来更改文件名称，否则，脚本无法执行。

注意：如果将此文件夹的“查看文件夹选项”设置为“隐藏已知文件类型的扩展名”，则文件可能具有多余的扩展名，而使之无法运行。

7.单击“开始”按钮，单击“所有程序”，单击“附件”，然后单击“Windows 资源管理器”。浏览到“”文件，右键单击该文件，然后单击“复制”。

8.关闭“Windows 资源管理器”。

9.在“登录属性”对话框中，单击“显示文件”按钮，将“”脚本粘贴到默认文件位置。如下图所示。

10.关闭包含“”的窗口。

11.在“登录属性”对话框中，单击“添加”。

12.在“添加脚本”对话框中，单击“浏览”。在“浏览”对话框中，双击“”文件。

13.在“添加脚本”对话框中，单击“确定”（不需要任何脚本参数），然后再次单击“确定”。 如下图所示：

14.关闭“组策略对象编辑器”。

15.在“ 属性”页上，单击“确定”。结果如图所示：

（5）基于安全组成员身份来筛选 GPO 应用：

1.在“testconsole”控制台的“testou1”OU 中，右键单击“testou11”OU，然后单击“属性”。

2.在“testou11 属性”对话框中，单击“组策略”选项卡。

3.右键单击“组策略对象链接”列表中的“HQ Policy”GPO，然后从上下文菜单中选择“属性”。

4.在“属性”页上，单击“安全”选项卡。

5.在“安全”属性页上，单击“添加”。

6.在“选择用户、计算机或组”对话框的“输入对象名称来选择”中，键入“testou31”，然后单击“确定”。

7.在“HQ Policy 属性”页上的“安全”选项卡中，选择“testou31”组并查看权限。

注意：默认情况下，仅将“testou31”组的“读取”访问控制项 (ACE) 设置为“允许”。这意味着，“testou31”组成员没有应用此 GPO，除非他们还是另一个组的成员（默认情况下，他们还是“Authenticated Users”的成员）— 该组选定了“应用组策略”ACE。

此时，“Authenticated Users”组中的每个成员 都应用了此 GPO，包括“testou31”安全组的成员。

（6）创建新的 GPO：

1.在“testconsole”MMC 中的“”下面，右键单击“testou1”OU。

2.单击“属性”，然后单击“组策略”选项卡。

3.单击“新建”，输入“Default User Policies”作为 GPO 名称，然后按“Enter”键。

4.再次单击“新建”，输入“Enforced User Policies”作为 GPO 名称，然后按“Enter”键。

5.单击“Enforced Users Policies”GPO，然后单击“向上”按钮将其移到列表的顶部。

注意：“Enforced Users Policies”GPO 应该具有最高的优先级。注意，此步骤仅用于说明“向上”按钮的功能；强制实施的 GPO 始终优先于未强制实施的

GPO。

6.通过双击“禁止替代”列或使用“选项”按钮，为“Enforced User

Policies”GPO 选择“禁止替代”设置。此时“testou1 属性”页应该如下图所示。

（7） 示例脚本

// Script Sample for Windows Scripting Host

// Define constant values.

var MB_ICONINFORMATION = 0x40;

var MB_ICONQUESTION = 0x20;

var MB_ICONYESNO = 0x04

var IDYES = 6;

var IDTIMEOUT = -1;

var POPUP_WAIT = 60; // close popup after 5 seconds.

// Create ActiveX Controls

var Shell = Object("")

var Env = nment("PROCESS")

//

// Set greeting message.

//

var strTitle = "简单登录脚本";

var strMsg = "欢迎 "" + Env("UserName")

strMsg += "" 来到 "" + Env("UserDomain") + "" 域rnrn"

(strMsg, POPUP_WAIT, strTitle, MB_ICONINFORMATION);

// Launch Internet Explorer if user wants.

strMsg = "你是否想访问Windows Server 2003网站?";

var strURL;

strURL = "/windowsserversystem/";

var intAnswer = (strMsg,

POPUP_WAIT,

strTitle,

MB_ICONQUESTION | MB_ICONYESNO );

if (intAnswer == IDYES)

{

(strURL);

}