4.创建Windows域

       主要从管理的角度来看工作组和域模式的区别

工作组模型的特点决定了只能适合小型网络，如果企业中的计算机和用户数量过多时，就要进行统一、高效的管理，创建Windows域，采用C/S模式

1、活动目录：提供了存储在网络上对象信息并使网络用户使用该数据的方法（具体见前面活动目录）

域是组织与存储资源的活动目录的核心管理单元，是将网络中的计算机逻辑的组织到一起，进行集中管理的一种环境，是活动目录的组成部分

活动目录特点：

集中管理：便捷的网络资源访问；可扩展性

安装域控的条件（在VMware安装需要提前把2003系统安装盘放好）

A  安装者必须具有本地管理员权限

B  OS版本满足要求

C  至少有一个分区是NTFS

D  有TCP/IP设置（使用静态地址）

E  有相应的DNS支持（建议把DNS指向自己）

F  有足够的硬盘空间

安装AD的方法：通过命令行和管理您的服务器两种

域的命名采用DNS标准（方便与因特网集成）；域的netbios名（与早期Windows系统兼容，如NT 4.0）；AD数据库存放在%systemroot%\ntds\ntds.dat，由本地的SAM数据库升级而来；SYSVOL存放了组策略的内容和脚本等

客户机定位DC的步骤：

客户机先发送DNS查询请求给DNS服务器-DNS服务器查询匹配的SRV记录-DNS服务器返回相关DC的IP地址列表给客户机-客户机联系DC-DC响应客户机请求

如果DNS的SRV记录为空或者不全，可使用命令net stop netlogon和net start netlogon来强制DC注册DNS，来补全SRV记录

客户机加入到域的步骤：

A  现保持物理上的连通

B  配置地址参数，能够保证在同一网段并且拼通

C  使用命令ping 域名，测试DNS的工作情况

D  加入到域

我的电脑-属性-计算机名-更改-隶属于-输入域名，然后输入DC上的普通或者管理员帐户和密码，重启生效（普通用户也可批准加入到域，最多10台计算机，也可在用户权利指派中指定）。客户机重启登录时，出现登录域还是登录到本机的选项

2、域用户帐户

与本地用户帐户区别：

本地帐户：本地存储，存放在SAM中；本地登录，用于工作组环境

域帐户：集中存储在AD数据库中ntds.dat，可以在所有域成员机上登录，只能用在域环境

建立规则：

使用工具“AD用户和计算机”，使用命令打开是：dsa.msc

域中的登录名必须唯一，显示名在OU中必须唯一

最长20字符，不区分大小写，不能出现非法字符

密码：最长127位，必须复杂，大小写，数字，符号三者组合，7位以上

域帐户属性：

帐户选项卡：登录时间，用来限制用户登录到域的时间，但是到时间后不会强制用户注销，还可以继续使用域中的资源。注销或关机后再登录域，就登录不了

登录到：默认域帐户可以在域内所有成员机上登录，可以限制某个帐户只在哪几台机器上登录

帐户过期：设置帐户的过期时间

用户配置文件：

与用户的工作环境相关的文件，包括桌面、开始菜单、我的文档等信息

默认每一个用户登录到计算机，都会在本地生成Document and Settings\username的文件夹，其中存放着此用户的配置文件

配置文件类型：

A 本地用户配置文件：存放的本地计算机硬盘中

B 漫游用户配置文件：桌面跟我走，无论在域中哪台机器登录都得到同样的工作环境，配置文件存放在一个网络路径中，每次登录都下载到本地，注销时上传

C 强制（漫游）用户配置文件：不保存用户对环境做的修改（能修改但是不保存），将配置文件中的ntuser.dat改成ntuser.man

D 临时用户配置文件：使用户可以临时的登录系统，但不会保存其配置文件

实现漫游用户配置文件的步骤：

A 在DC（或成员机）上建立一个共享文件夹，权限Everyone完全控制，NTFS权限everyone完全控制

B 使用工具“AD用户和计算机”找到要建立漫游配置文件的用户，双击-属性-配置文件，在配置文件路径输入UNC路径： \\IP\ 共享文件夹\用户名，或者 \\IP\ 共享文件夹\%username%，点击确定

C 使用此帐户在一台成员机上登录，修改桌面，然后注销

D 在另一台域成员计算机上登录，验证漫游配置的生效

注：在步骤c修改桌面背景需要使用图片格式为.bmp而不是.jpg，否则需要刷新才会生效

用户主文件夹的步骤：（和映射网络驱动器差不多）实现用户的重要文件放到服务器上

A 在域成员计算机上建立共享文件夹，共享权限Everyone完全控制，NTFS权限Everyone完全控制

B 使用工具“AD用户和计算机”找到要建立主文件夹的用户，双击-属性-配置文件-主文件夹，选连接，选择盘符，到 \\IP\共享文件夹\ 用户名（%username%）

C 用此用户在域成员机器上登录，打开资源管理器，查看是否有网络驱动器，验证生效

3、组的管理

组的类型：安全组：分配权限

          通信组：用户邮件通信

组的作用域分：本地域组，作用范围本地域，是一个安全边界，使用“AD用户和计算机”创建，通常按照本地资源的权限建立

全局组：作用范围是整个林和信任域，使用“AD用户和计算机”创建，通常按照逻辑结构建立

通用组：作用范围是整个林和信任域，使用“AD用户和计算机”创建。全局编录的作用：登录或者查询的速度快（用户多域环境）

4、组织单位（OU）

采用一种层次性的逻辑结构来管理域中的资源，简化管理

分类：基于部分的OU；基于地理位置的OU；基于对象类型的OU；混合的OU

帐户在OU之间移动，可以拖拽和右键点击进行移动

OU委派，首先需要安装管理工具%systemroot%\system32\adminpak.msi或者i386\admanpak.msi

再进行委派