建立单域双DC之步骤

1、组建单域双DC步骤目的：建立一个单域双DC的域环境，域名为：。域中有多台DC的优点：提高用户登录效率。因为多台域控制器可以同时分担审核用户名与密码的工作，因此可以加快用户登录的速度。提供容错的功能。即使其中一台域控制器出现故障，仍然可以由其他域控制器来提供服务，让用户可以正常登录。实验环境：本实验使用Vmware Workstation v6.0，全新正常安装两个windows server 2003 sp2 enterprise chs虚拟机，各有一个网卡，计算机名分别为DC1，DC2。新建一 Windows XP SP3 cht虚拟机，计算机名为Client1。DC1的IP设置情况是：IP

2、: 子网掩码：网关：无（可根据实际情况填写）首选DNS服务器：DC2的IP设置情况是：IP: 子网掩码：网关：无（可根据实际情况填写）首选DNS服务器： （在DC2提升为第二台 DC前，需将 DNS指向第一台 DC的IP）Client1的IP设置情况待建域完成后再设置在DC1， DC2上都安装上 Windows Support Tools, Windows Resource Kit Tools, GPMC等工具，方便以后管理和维护域控制器。Windows

3、Support Tools和Windows Resource Kit Tools 是微软工程师及微软技术爱好者开发的工具集，二者都包括很多 强大的命令行工具、图形工具，及脚本等，女口 support tools 工具集中的 dcdiag.exe, dsastat.exe,getsid.exe，,netdiag.exe, ntfrsutl.exe，repadmin.exe，replmon.exe 等常用工具， Resource Kit Tools 工具集中有 gpotool.exe， lockoutstatus.exe， robocopy.exe 等常用工 具，对于我们管理、维护及对域环境的排错

4、有很大的帮助，值得好好研究。Windows Support Tools 在系统光盘 SUPPORT'TOOLS 中，双击 SUPTOOLS.MSI 安装即可。Windows Resource Kit Tools 要到微软网站上下载： nloads/details.aspx?FamilylD=9d467a69-57ff-4ae7-96ee-b18c4790cffd&DisplayLa ng=e n下载安装即可。GPMC是Group Policy Ma nageme nt Con sole，即是组策略管理控制台，此程序功能相当强大，对于我们管理、部署及对 组策略的排错非常方便高效，

5、推荐安装。此程序为免费软件，要到微软网站上下载： nloads/details.aspx?FamilylD=0a6d4c24-8cbd-4b35-9272-dd3cbfc81887&DisplayLa ng=zh-c n 稍后文中会介绍使用方法。建立篇1首先将DC1提升为第一台 DC （即主域控制器）在DC1中，点击“开始”-> “执行”，输入“ dcpromd'命令:3#点击"确定”，出现#点击“下一步”，出现#请行 VfLDdowi Server 2006 的或 劳蛊用更安全的方式与域控制盟建用的玄全去萱要求客户谅和耳炖服矗作系聊菱容性Windows Sti

6、ver 2003中改进酌安全设瓷叠至响前版本的Iflindonn#些回扳衣鬥WindmvE ®括Vindovs 95和HI 4.0 SF3或更早版 醞嚼疇鉛巔竝蠶：蹄亦Z咗DS '轿有关更实厲息请绘闻董客性帮旳<上一势创归贬竝桑1点击“下一步”出现#Active Dir«ctor7 安装向导g控制器类型洁扌錠想要此服务器担任的角色0建丈新域2d燃想要此服务的域控制器还是现有域的颔外域控制器”I柠 肆躅域瀚器“現有域卜域控制器新域树戒新林.出艮务器将成为新理中的第一 建立額外域控制器，就是輛助域控制器4主用这平选项来处理将会删除所有在这亍巌务器上的本地怙

7、6; 所有密钥将被刪除，应该在继续之前将密钥导岀.熬翩敬严或曲'55上一歩|壬一歩？#，点击“下一步”因为我们是要建立新域，所以选择第一项（稍后建第二台DC （额外域控制器）时，要选第二项）#选择第一项，点击“下一步”输入域名： con toso.co m,点击“下一步”5Netbios域名默认即可，此处默认是：contoso。点击"下一步”此处设置的是 AD （活动目录）数据库和日志存放的位置，默认即可。点击“下一步”Sysvol文件夹的存放位置默认即可，点击“下一步”78#DNS服务DC1此前活动目录是和 DNS服务紧密联系在一起的，DNS服务可以离开活动目录的支持，但活

8、动目录一定不能离开的支持（活动目录与 DNS服务可以不在同一台电脑上，但安装活动目录必须要连接到一台DNS服务器上）。因为默认第二项即可，点击“下一步”并没有安装DNS服务，所以此时要选择安装上DNS服务。选择默认的第二项，点击“下一步”在上图中设置目录服务还原模式的系统管理员密码，“目录服务还原模式”是一个安全模式( safe mode)，进入该模式可以修复Acitve Directory数据库，我们可以在系统开机启动时按F8键进入该模式，不过必须输入上面设置的密码。此环境下目录服务不在运行，可以进行已删除的域账号恢复，AD数据库及日志存放位置的转移等等操作。“目录服务还原模式”的系统管理员

9、与域的系统管理员是不同的账号，其密码也可以设为不同的密码，请不要混淆。此处设置的密码如果忘了，也可以 通过在正常模式下的命令提示符窗口中，使用ntdsutil命令进行重设(当然，最好是不要忘了！)。此处设置好密码后，点击“下一步”点击“下一步”，开始安装活动目录安装期间要求插入 windows server 2003系统光盘，等待几分钟时间，安装完成后，重启计算机。重启完成后，输入域 管理员密码，登录到“ contoso ”(此时只能登录到 contoso域，无其它选项)。进入桌面后，检查DC是否安装成功：1) .检查DC1的IP设置的首选DNS服务器是否是指向自身，确定是：192.16821

10、。2) .检查“开始”-> “程序”-> “管理工具”里，确保有以下几项：曲Dirsetory用户和计直机 Directory堀和信任关系 嚅如tiv* Dirtetory站点和服务3) .检查 C:windowssysvolsysvol 和 C:windowssysvolsysvol'scripts文件夹是否共享成功F-H |_Jj srchasiEit二I g-yst amE 亡| syaIH lZj systol E lj_j dtimknIrii ctafineu*h.e.cento5a. com-H LJFoLacisIl .( scripts ICJTAPI4)

11、 .检查DNS安装是否成功。打开DNS控制台，检查 DNS的"_ ”区域和" ”的属性是否如下:“ ”区域属性：11#DC 后面是否有*号。注意：点开"_”属性的"名称服务器”窗口，检测#如果有*号，则说明该 DNS服务器可能没有存储真正的记录，要修复此问题，可将此项删除，重建。在上图中，选定"DC "项，点击"删除"，将此项删除，然后点击"添加"：如上图操作，确定后完成新建，如下图:点击上图中“确定”点击“是”，完成操作。“ con ”区域属性:1213检查DNS各项记录是否完整:S + 圍固

12、鸾回凰轻回|包1|禅吕oss£- KI*1 lul爭件查看貉B LJ正向査找区域.sdcs. tomt©冨。 de domains gc pdiccontoso- c>ob 10 个记录名称冋* _l-_|A Ui CJ冋tottt <i3d._R>sd?sS O jiZS -LJ _tcp LJ _adpffi 'C Diiwn &inDuZ one s 回 口 FrtitDMZoMS * -J反向査駆越IjTjJ _msdcs _| _sitesI_tcpQj_udpC_J Daaai nDn&Z om s CjFcmg 仙期$

13、J与父文件来相同） a与父文件夹相同） g与爻空件夹相同）=del起始技叔机构GW 名称服勞器弧） 主机 王机的SV, del contDSO. c4m., del. ewit mo. com192. 16S.2 1192. 16S.2. 1#_tep2叩记录塔称|宾型1耳Zb"此tsav）服老竝遐CSKV）0 100 86 Q1OO3B9 d<i. eonUie co*.El" 3 KI r y爭件查看器 -_l正向查拢区锁S-tey msdes. contosa- eoaB- Cj Ac 白 O _lit*a 冋 l_la gfil_J _lcp51

14、一I domainsffl -O fit S"CJ pd©:J_注意：以上各个分支都点开看一下，如果DNS各项内容不完整，可以在命令提示符下输入：nItest /dsregdns，或者重启netlogon服务进行修复。检查并确保安装成功后，因我们新建域中的DC只有windows server 2003操作系统，为了发挥 widnows server 2003域的最大功能，须将“域功能级别”和“林功能级别”都提升到Windows server 2003模式，方法如下：在DC1中，打开管理工具中的 “Active Directory 域和信任关系”，右击""

15、，将"域功能级别” 提升到"Windowsserver 2003 模式。#->2. -Windows Server 2Q03n 模式当前域功d那别Tindwt 2000混合根式丄.右击* contO5Q.com ”-选弃“提升 域功能飯别*选特一亍町用的熾功能鑲别findovs; Server 2003JS 舗鈔能醐脚操惟是不可逆的有关更列功總级别的详细营息谊单击提升点击“提升”-> “确定”-> “确定”，完成域功能级别的提升。右击"Active Directory 域和信任关系”，提升“林功能级别”至Windows Server 2003 &

16、quot;模式。点击“提升”-> “确定”'确定”，完成林功能级别的提升。S3BE文件（£）操作 查看 帮助®1 右击"Actin Direclory域和信任关选择“提升林功能圾剔”I K4IActiw Directorr关系2安装第二台DC （额外域控制器）在DC2上用本地管理员账号登录，点击“开始”-> “执行”，输入“ dcpromo "确定，点击“下一步”，一直到下面窗口15Ac-tive Directory 安装向 9诜指定炬要此服务器担任的螢色.XJ16世咚要此瓯芻爵成为新W：的啟控割器迅是现百战的範引威控黑!1靳威的域拧

17、制黯辽）选挥此选项来创理新子螳、新威村陀新抹此.枫觀将或向新域中的第一 -T軀制署.u现首秋的師可瓦拄起鸽|£ .尋遠个氐顶来处删合AH踪所有狂这个服务器上的本臧户.卿密朝苗植M除.应碗樂读之前葩匹钥号出.翳翩儡翩曲电网件选择“现有域的额外控制器”，点击“下一步”#在上面窗口输入 DC1的域管理员账号，密码，域名是，点击“下一步"#点击“浏览"，选择 ,点击“下一步"#默认即可，点击“下一步默认即可，点击“下一步”输入目录服务还原模式的管理员密码，点击“下一步”，开始安装活动目录。安装完成后，重启电脑。重启后输入域管理员账号和密码，登录到contoso域

18、。检查DC2活动目录是否建立成功：1) .检查“开始”-> “程序”-> “管理工具”里，确保有以下几项:Active Directory用戶和计算机 % Active Directory域和信任关系 ijji Active Directory 站点和服务2) .检查 C:windowssysvolsysvol 和 C:windowssysvolsysvol'script文件夹是否共享成功b M X | 屈 e18#注意：有时这两个文件夹会没有共享。可以通过以下方法修复：在DC2中，打开“管理工具”的“Active Directory 站点和服务”，检查下图中，分别点击DC

19、1和DC2的NTDS Settings， 检查右面是否有相应的连接， 如果没有自动生成， 则需要手动建立。 右击窗口右侧空白处， 选择"新建acitve directory连接"， 选择另一个DC，"确定”，即可手动建立连接。盘 文件匹査看 窗口血 帮朋®FTDSB-NTDS Setting畑站点.和服备 IB- O SitHesD«£kul t-F irstS it«-Nui*El LJ Server sB 3 D£1Eb 匚JTransports1*1 r 1 Sut&e I a#确定分别点击 DC1和

20、DC2下的NTDS Settings，右侧窗口中都有连接后，右击这两处的连接，选择“立即复制副本” 如复制成功，则会弹岀以下窗口：稍等几分钟后或者重启计算机后，再检查 DC2 的 C:windowssysvolsysvol 和 C:windowssysvolsysvol'script两个文件夹是否共享成功。此时第二台DC已建立完毕，此时需要检查两台DC间是否能正常通信及工作，使用命令dcdiag,netdiag,gpotool,repadmin/showreps，命令查看生成结果中是否有failed或error。（后面的维护篇有详细介绍）为了实现DNS服务的容错（假如 DC1挂掉了，那

21、DC2同样可以临时维持网络及客户端验证服务的正常运行），也需要在DC2上安装DNS服务（上面DC2提升为第二台 DC后并不会自动安装 DNS服务，它使用的还是第一台 DC的DNS服务）， 并和DC1上的DNS区域一样设置成主要区域，与 DC1上的DNS实现区域复制，互做冗余。在DC2上建立DNS服务前，先要在 DC1上的DNS进行设置，以允许 DC1上的DNS的设定及信息能传送给DC2的DNS，实现由 DC1 DNS至U DC2 DNS的区域复制。在DC1中，打开DNS控制台，右击“_ ，选择"属性”，点击"名称服务器”，把 "添 加”进去。19->点击“区

22、域复制”_«sdcE. CCntCiS'O. COB J9£t*t区域复制区威宜制垸送1Z域的刖本劉话求的服君器.P允许区戲宴制©.C刘所有服毋器（DI悴貝百在“宮秫服冬器”选顶卡中列出的服IR见许到下列服务器QO勵励I需嚎萼理 |曙週知辅助服為-诸选择-目动通知"碗龙堆址空:瞻® |泾在“名肺服躍"谨项卡上列岀的服务器下列冬器 ip地址吧：3.选择北项要指定服拓器授收区威更新调却，话单m2.点击占通知”Th通知应用如取消右击“ 区域，选择“属性”，再次进行上面相同的设置F面开始在DC2上安装DNS服务，在DC2的“控制面板”

23、中，打开“添加或删除程序”-> “添加/删除Windows组件”“网络服务”，勾上“域名系统（DNS ）”，“确定”，插入 Windows server 2003系统光盘，安装上 DNS服务211T 世 adW* indovs 组件可以添加或H際Win-icw|Dfx；J|OMB要更Wlh如T程序帕E让 軽t c c - _k wmn!吐 VM-1 -1 -1组件©:3；：!网络巖势用杠萃服务弱.占选程存错n |由讦书;第描述:包含各种专I所需琳盘空间町用犠益至|田懿?鶴諜蹄:灰色框表示曲5岡箱廉务的子蛆件（£） HTTP代理上的RFC Sloiterne t验证程勞

24、nlindowE Internet 名称服务 OINS）:列动态主机配置WF）閒单TCP/IP服务Mr!描述一矩1.5MB2dC/DCOr1遴过Internet信島鞭务器（I的HI7F进行通讯°所希班盘空间: 可用班盘空间:4. 3 MB3689.8 MB ; - -详蛹石JT-|确定 取消安装完成后，等待一段时间后（一般15分钟内），打开DNS控制台:A立件®操作® 查看通窗口址）帮助囱因厨国曲住回|ma b二 dluiSBgBt - DISDC2 1EH查找匿JS'fonl："。- co»罠MIS-J DC2*妙事件査看邸9-0正向

25、查找区域El "(gp _msdc3. cant a so. com1£ _l ic 匡 Cl domainsE 2J $c£ ,_| pdc- 引 contosc comE jj _m4ci匡 I _si Les+ O _tcp lr -一I _udp庄 I DoBinllniZoiuE+ _J ForestDnsHtmEE *1 -J厦向査找叵或effintoso- coa13 平记录数据|1bl：_mEdc5亠i"Qj曲|_|_iiidp匸3 Dc>m ai nDn.sZ one sg (与交文件夹相同j起始授权机构蚀帕37dc2. cGnt

26、oso. cm.a （与父文件夹相同）名称服舊器CHS）del.住onto名口.com.0 （与哎立件夹相同】名称嚴势器血）de2. ciLtoED. com.g（与芟文件夹相同j主机00192. 168.2.2團（与父文件夹相間】主机GO192 16$ 2.1崗血1主机192.16S.2. 1JjBC2主机的192.16®.2.2打开“正向查找区域”，相应的DNS区域应该会自动从DC1的DNS中复制过来。分别检查 "区域和" "区域的属性，进行以下操作:1）查看“名称服务器”中是否如下，如缺少某一项，则手动加进去:232）查看"区域复制”，进

27、行下面设定。3) “ _ ”区域属性:24con ”区域属性:现在可以修改 DC1和DC2的DNS设置了。将DC1的首选DNS服务器设置成：192.16821 ,备用DNS服务器设置成：192.168 22, DC2的首选 DNS服务器设置成：，备用 DNS服务器设置成：。（推荐此种 DNS设置） 设置完成后，在DC1和DC2上的命令提示符窗口中，分别运行“n Itest /dsregd ns "，再次将自已注册到 DNS中，稍后使用dcdiag，netdiag， gpotool， repadmin /showreps命令检查域是否正常（使

28、用方法见维护篇）。GC又称为global catalog（全局编录），由域控制器来扮演，它包含本域中的AD的所有对象及属性，还包括林中其它域的Active Directory内所有对象，不过只存储每一个对象的部分属性，而不是全部的属性。这些属性都是平常比较 常用的，如用户的姓，名，登录账号名称等，“全局编录”让用户即使在不知道对象是位于哪一个域内的情况下，仍然可以很快速的找到所需的对象。一个林内的所有域树共享相同的“全局编录”， 默认情况下，林中的第一台DC是默认的GC，此处DC1是GC,为了 GC容错，也将 DC2设置成GC，方法如下：打开“ Active Directory 站点和服务”，

29、点开DC2，右击“ NTDS Settings 选择“属性”-> “常规”，勾上“全局编录” （GC）。此时，单域双 DC域环境已建立完成。DC2 有两块网卡,下图：IP地址分别为：和，这样域建好之后，DNS中会有两项 A记录IP地址指向DC1，如罩，DIE二日Ml三CJ正自查找区域出(qJ s x. rantozo. cm0-曲 anloE®.3_m i de s.Ellias3 LJ _lep屮匚 J _Tlllp (3- l_l3 I Feres t J) ns Zones: 島口更向查挽区轉补充：在有些实际环境中，DC可能同时安装

30、了两块网卡，例如DC1有两块网卡，IP地址分别为：192.16821和10.4221 ,C«At«5O- £©15个足录若称1貰型1数基O_3 it 43-|_lcpILM_J d git 电 j OlFore'二 i（与爻文忡灭相同J起嚅擾权机杓GOA）721, dlcl. contoxo.r kos tnas t er.与父文件卖相同J宮肺服务器朋）dc2. vgt».（与盘立件夹相同名聃服务器0（5 ）del a cgtQ沁 ccm脱空标相同）主机知（宵龙文伸灭相同J茧机加1龍.163.2.1de

31、l主机如!«. 163.2. 1dd主机0010 42. 2.BC2主机如10.12. 2.2HC2主机加DC安装有两块网卡有时会影响客户端登录验证的使用，一定要注意以下几处：1）设定侦听IP:在DC1的DNS控制台中，右击 DNS服务器名“ DC1 ”，选择“属性”，切换到“接口”窗口,26默认情况下 DNS服务器在两个IP地址上同时侦听，因为我们的DC只对网段提供服务，所以在此处把10.4221 去掉2）设定网络服务访问的优先顺序在DC1中，右击“网上邻居”-> “属性”，点击菜单栏中“高级”-> “高级配置”，打开网络服务

32、访问的优先顺序窗口:27注意：此处必须将提供域控制器服务对应的网络连接排在最上面，否则域控制器提供相关服务时时会出现问题，此处将LAN1调在最上面：3）上面看到，DNS中，会有两条A记录指向DC1，因为10.4221这条记录并不会用到，所以可以将其删除，但发现，删除后不久，它又会再次岀现，其实这是这个网络连接属性中有个默认项要修改一下才行：右击“网上邻居”-> “属性”，点击“ LAN2 ”本地连接-> “属性”，双击“ In ter net协议（TCP/IP ）” -> “高级” -> “ DNS”, 将“在DNS中注册此连接的地址”前的勾去掉即可，

33、然后在DNS中删除的A记录，以后就再不会岀现了。注意：以上三步再在 DC2上操作一次！ ！ ！操作篇Windows Server 2003域建好并确定成功后，就可以设计0U，添加计算机账号，用户账号，部署组策略了。1. 设计0U对于服务器与客户端众多的大公司来说，0U设计一定要合理，这样以后在管理中才会方便。一般设计0U有以下思想：将DC放在DC所在的默认 OU （ Domain Controllers ）中并单独管理为用户和计算机创建单独的OU使用OU把用户/计算机按照角色分组默认情况下，所有新账户创建在users或者computers容器中（不能链接GPO），所以，如果在

34、 Windows 2003域，并且域功能级别提升到 Windows server 2003模式时，可以使用"redirusr.exe”和"redircmp.exe ”指定所有新用户 账户和计算机创建时默认的 OU，这样就允许使用组策略管理新创建的账户了。点击"开始"-> “程序"-> "管理工具"，打开“Active Directory 用户和计算机"（或在"运行"中，输入“ dsa.msc"） 下图是个示例，用户应该根据自已的实际情况来设计OU :30Active Dir

35、ectory 用户和计璇fl母文件I）撰作査看迪窗口 1）帮助如*1包固 eirf a 包回|邀讳遏它匂31$ Active Directory 用户和计算机DC1 保存的直询|- =岁 COJltOLO. Com 口 Euiltin l Computers|Carktrallirs_| Far si gnSiturityFr inrip*l s | UggCoutosa2个对象名称r組銀单位0匚omputerS組襄单位#日 0 ContosoE ；型 Users 胡 Engineer 型 Finance 母 I Market=田 MIS."Si Conput ers 型 Serve

36、rs<51 CliftlltE2. 客户端加域加域的过程很简单，将客户端 Client1的IP设置为：192.168211，子网掩码：，网关：无（根据实际 情况填写，首选 DNS服务器：，备用DNS服务器：。（以上IP设定可使用 DHCP服务器进行设 置，客户端自动获取相关设定。）在加域前，最好使用redircmp.exe命令复位向一下加域后计算器账号存在的OU，在DC1上打开命令提示符窗口，输入以下命令：C - >redii*cmp 重定向成功*頁 C : WlBDOVSKsyTleBSZCBd exeou=i

37、c lien ts r oii=coimputei*s 事ou=contosode =condeacon回车后，重定向成功。注意：此操作要求域功能级别为Windows server 2003模式。在Client1中，用本地管理员登录，右击“我的计算机”-> “属性”-> “计算机名”-> “更改”，选择“网域”输入域名，“确定”时会弹岀窗口要求输入有权加入域的账号，可以使用域管理员账号，也可以使用委派了加域权限的普通 域账户，如此处的普通域账户jerry账号就是委派了加域权限。（事先在MIS OU中新建一用户账户jerry，然后委派此用户账户加域权限）蒂辭容翔容轉婪更竜腐容辑

38、QJ：clwnil芫签竜關名稱:cBmtl.咸員課凰:牺感ipitfl辿迫上MdLf耳他園轄甌入W1育便审摊限的帳戶名辑及耀确朿加工網域連用E15CEJ：fi contosoWny確龙I 砲消确定后显示成功加入域，重启计算机，客户端clie nt1成功加入域,Actiire Di recterr用尸和计算机总 丈芹 操作 萱看旨口肚|帚助辿3 二 百而 也口 X厨的話 包应 遗132 V G EU Cmpiititrs-圍 ContGso日匚趣 CijmputeriServersrs® 3I Domain C&ntroilers田 LJ Foreipciir i tyFr i

39、fteiptls由匚J Users母Xuliw Dir.cto寸用戶和讦算机UCI1± _|保存的奁询E cjl contflso, comEQ 匚J Bail tinCIji ents注：默认情况下，所有的普通域账号都有10次加域的权限，这是个危险的设定，所以要修改所有的普通域用户无权将计算机加入域，除非被委派了权限，以防止外来计算机随便加入本公司域，提高安全性。修改方法如下：在 DC1 或 DC2 中，打开"运行”，输入"adsiedit.msc”，打开 ADSI 编辑器，展开 Domain,右击"DC=contoso,DC=com文件夹，选择&qu

40、ot;属性”，找到"ms-DS-MachineAccountQuota ”项，将其默认值 10改为0，确定。如下图：32畔|匡)画| X S' 0 sAUribut Editor 安金kDSI Idit冷 M)SI Edi t-§ D«i»aia tDCl H LJ DC=tonlo3D BC=coffi 田唱 Coiififfursli 皿BC1 cantosI Scharik* DC1. contoso con取消 I应用时IUS匚eoniios： OlZ=e*B Pr operfiAAbibute1 SyntaHI V竝tlmsDS'

41、;AlUisersT iwtQuolaiIrisger100CmS-Apprcwnnnried Sutadi.Irtcger15msDS-B ehavior-VersionInNeger2fr-DS-CohMtencyCNdCMjrtIrtegw<Not Set>mS-DS-ConsflerKiJGUdOdetStiing<N« sa>msDS-LogcHiTimeSrid nteivInlegef<Mo( SetJrnK-D S -W achneAcctxinlQ uctaInleger0msOsmasteredByDistinguished.ENrN

42、'DS SetlinnKDSMefrbsidFoiAzFtolsBLDtdinguished.<Mat Set>msDS NCRe|)CursorsUnicode String<DS RE.PL CURmsDSNCfieipInb 口 undMeighh.Unicode Shing<DS,REPLNEI(msDS N DRepOutboundN eig.UriiMde Stiing<DS_REPLNEI(1nwOS-NDriMwibeisBLDclinauithed.<Mot SS>臣 £hciw goandalory 甘Itnbdt

43、ejwP Show jQpiiond dhibutes厂 5 how onV atirfoufe that have values Aihiiutes;33，就会出现错误窗口,以后加域时，如果使用未委派加域权限的普通域账号加域（此设置不影响域管理员账户加域） 无法加域。3. 部署组策略建立与部署组策略要在GPMC中完成，在DC1中，点击“开始”-> “程序”-> “管理工具”-> “组策略管理”（或在"运行"中，输入"gpmc.msc"”，打开组策略管理控制台：#为方便演示：我们建立两个组策略对象 （GPO），分别设定一个“计算机策略”

44、和一个“用户策略”，计算机策略为“禁用系统防火墙”，用户策略为“统一用户桌面背景图片”。默认情况下，客户端装好XP SP2/SP3后，系统自带的防火墙处于开启状态，它会自动拦截很多通信服务，不利于远程管理，所以要将其关闭，在此我们实现的是，客户端在加入域后，自动关闭系统自带的防火墙。logo,我们在此要实现的是用户在用域账号登录一般公司为提升企业形象，经常要将客户端桌面统一布署成公司后，显示统一的桌面背景。建立禁用防火墙的计算机策略步骤如下：在DC1中(域DC2 )中，点击"运行"，输入"gpmc.msc”，打开"组策略控制台"，右击你想布署的

45、客户端所在的0U(如Client OU)，“创建并链接 GPO”输入组策略名称“Disable Firewall ”，确定。34->右击“ Disable Firewall ”，选择“编辑”，打开“组策略对象编辑器”，依次打开“计算机配置”-> “管理模板”"网络"-> “网络连接"-> “Windows防火墙"-> “域配置文件"，双击右面的“ Windows防火墙：保护所有网络连接" 选择“已禁用”#Tindw敬丸匕：泾护用有砂建签Httr天目帝心.一设赶叫| 下一设置确是 | 取消叵用确定，完成禁用

46、防火墙的设定。因为我们只将此策略作用于计算机账号，所以此策略的“用户配置策略”用不到，为加快组策略处理速度，可以将“用户配置策略”禁用掉。-» |E I Eg a I ffl|山1 亡 Firev«ll IDC1. comIvso.匡 _jias* _ WinJovl 役舌 B _|苣理頂極+ _| WLtid如,SB伴Id »媒F. _）网 J8ffl _ Hlct«xd tt , _| IJfB 容尸iJS _|师文件 :-:_l鯛匡抿 B Cj Vindas 肪火:垮 _i嘲EH文伴 _|标聯己査丈件 i±i _3Sca数鶴包计划程序I

47、SfflP 石台吿H錐送服务 打印机-盛用户配直E歆件丧餐* _J W3 Ei.dlQ¥3 iSS导出列表g.目羅巻看它的描述.風计境砸苗 虚用户配置右聲"DisableFirewall",點辛嚼性"在打开的窗口中，勾上“禁用用户配置设置”，确定。35完成计算机配置的禁用防火墙策略，关闭组策略对象编辑器 设定统一用户桌面背景图片：首先将要设定的图片（如picture1.jpg ）复制到 C:WINDOWSSYSVOLsysvol'SCRIPTS下（共享路径为'NETLOGON ），此路径比较特殊，在DC间做同步时，会自动同步复制此文件夹中

48、所有的文件及文件夹。同计算机配置策略一样，右击你想设定的域用户账号的OU （如Market OU，此OU下有个tom的普通域用户账号）-> “创建并链接GPO”，输入组策略名称" Background Picture ”，36#H 虫 ft： ccntc3D. cne国喊S contaso. con営alt Dcfibin Folity 曰匚OEitCEDE) 1 Cenpubfirs.S 型 Qi Di 51iL1c f j2 Servers B 闽 Vsers 型 Eiif n« ti* £l FbDATiC曰 p pafkE夏Stf ault恚 Dia

49、tbLt ± Mir爸饪霧* /站点 昂蛆集耳理脛 -3爼集晒节杲to30 . C I>T'p列站点、城和魁垠垦俛钱蘇J此CK tt）：宝全筛迭此敬内的谡査只鬼用于下利组用FfiH+HflKS）：VM 0).-Ihi轎选比GFO链段到下列vra 馳器©:1&：| b血rk孕心aiJ P i Qtura I 直WES- Dormn ControllersDefault Duehlh Cctnlrolitr s-筑黄环对球三了 l-takgroiuid. Fic tiirtDoha.lil CbihlrollKr eDoiiain Folieybackgz

50、ound Ficture柞用取I详闸信且I iSS Sift I在此俛逼內显示6接（L）：雰*kuthAD讥 c X aJ Us tr z#右击"Background Picture ” -> "编辑"，打开组策略编辑器，依次展开"用户配置" -> "管理模板"-> "桌面"-> “ ActiveDesktop ”，双击右边的"Active Desktop 墙纸”，输入相关信息:#U2dActive ia-Eklop 屈性37#tckpiui'J F卄t(ir&g

51、t; DCi ci -團 i+Ksua王_i炊件衣去i _| A'SBaawt iftE± _i karate.三竝用尸配査z 一I软件设总R _ J 旳 Fiilcv五 i55曰-J普理根菽由口 VindiMiE巡件任君栏和开対Sb-QIB ,|j'J 1 kslivt Daiiktopuu世査-> JB用D皿畑吊票用 Activa Btsktop 甬禁用斯有顶目 淨不册輙 斗奈止添加現目 莘禁止尉壊顶目ActLVfi Ik业tapActor曲緊止豪i顶目 半浆止兔讯顼冃Ac1lv« Desktop 墙眦斗口恋评快用也EUffifc名称-P>'i.cc-nlcso. >:c«T,i.FETL7C*7JI，,>pi tt-ureJ, jjij崇:硏止不药分谿军黑示皴果不 同*推蕉說曹成“找禅5例如:梗用CAw ind如u '皿础 1出 klip kptrVliit. jp(