部署活动目录有关问题

有关活动目录的问题已经有很多位大虾都提出并解决了。本人作为一菜鸟，只能搞些基础的东东啦。欢迎灌水和拍砖啊。

好的，进入正题。

首先安装域控的条件：

包括权限，操作系统（08除Web版），磁盘至少有一个为NTFS文件操作系统，有tcp/ip设置和相应的DNS服务器支持等基本条件。

一・其中DNS在活动目录中起到了定位dc的作用，主要靠域的dns区域中的SRV（资源服务记录）。

如果DNS中的SRV资源记录没有或不全，则在定位DC方面可能出现一下问题：

1.在将计算机加入域是找不到父域。

2.添加子域是找不到上级域。

3.建立信任关系时找不到信任域或被信任域。

要补全SRV资源记录一种方法是执行命令：net stop netlogon或net start netlogo。也可删除DNS区域，或重新建立DNS区域。

二・在客户机加入域时收到错误报告信息，通常是客户机不能正确定位到域控。可按以下步骤排查：

1.检查DNS客户端网络配置

2.检查防火墙配置。

在命令行下使用telnet命令连接域控的53端口。不能连，则检查防火墙配置。

3.检查DNS服务器配置。

三・域账户的命名规则

两个唯一：

域用户账户的登录名在域中必须是唯一的。

域用户的显示名在其所在的OU中是唯一的。

四・组的管理

包括安全，通讯（只能用作电子邮件大的通讯）

组的作用域包括本地，全局，和通用组。

1.其中本地域组作用范围为本域。

假如要使10个用户读取本域中特定的文件夹，可创建一本地域组并将用户加入该组，然后赋予权限。这类似于ADLP规则。a为账户，DL表本地域组，P为赋予权限。本地域组的成员除了用户帐户，还可以是全局组，通用组。

2.全局组的使用范围为整个林以及信任域。

通常使用全局组管理那些具有相同管理任务或访问权限的用户帐户。可按部门建全局组。

*实际应用中，可先将部门中的用户帐户加入一个全局组，再将全局组加入到本地域组，最后给于权限。这就是AGDLP.

3.通用组作用范围是整个林和信任域。通用组的成员一般在全局编录中（根域中）

*OU的委派

如何在非DC计算机上执行委派任务？

可以先在自己的计算机上安装08活动目录管理，然后以域管理员帐号打开08的“ 服务器管理器”在控制台上选择“功能”并添加“远程服务器管理工具（SRAT)”的AD服务工具。完成后。发现即使不是DC也可在管理工具中有AD。这样经过授权的用户就可在自己的哭户籍上惊醒指派的任务了。

五・发布共享文件夹

在域中可将共享文件夹发布到活动目录中，统一管理。避免了当网络中的共享文件太多时，逐台查找不方便。

当然了，在AD中发布共享文件必须是DOMAIN ADMIANS或ENTERPRISE ADMINS组的成员。

1。先创建一个共享文件夹SOFEWARE，并设置好共享和NTFS权限。

2.建一个叫共享文件夹的OU

3.右击此OU选择新建-共享文件夹。输入名称和网络路径\\ip\software确定

4.域用户在可通过“网络”中的"搜索AD"来查找。

以上只是本人对部署AD基础的一点总结。欢迎交流和意见哦！