域控中 管理计算机和用户帐号

AD域域：域是一种管理边界，用于一组计算机共享共用的安全数据库，域实际上就是一组服务器和工作站的集合。

其实上我们可以把域和工作组联系起来理解,在工作组上你一切的设置在本机上进行包括各种策略，用户登录也是登录在本机的，密码是放在本机的数据库来验证的。

而如果你的计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，也就是说你的账号密码可以在同一域的任何一台计算机登录。

AD：活动目录(Active Directory)主要提供以下功能：①基础网络服务：包括DNS、WINS、DHCP、证书服务等。

②服务器及客户端计算机管理：管理服务器及客户端计算机账户，所有服务器及客户端计算机加入域管理并实施组策略。

③用户服务：管理用户域账户、用户信息、企业通讯录（与电子邮件系统集成）、用户组管理、用户身份认证、用户授权管理等，按省实施组管理策略。

④资源管理：管理打印机、文件共享服务等网络资源。

⑤桌面配置：系统管理员可以集中的配置各种桌面配置策略，如：界面功能的限制、应用程序执行特征限制、网络连接限制、安全配置限制等。

⑥应用系统支撑：支持财务、人事、电子邮件、企业信息门户、办公自动化、补丁管理、防病毒系统等各种应用系统。

【AD域控制器在Windows Server 2003安装及简单应用实验指导书】实验日期：2011年8月2日处别：Commercial DT组别：DT103撰写人：王敦培【实验名称】：AD域控制器在Windows Server 2003安装实验指导书【实验目的】：了解域的作用以及安装方法【实验任务】：搭建一个新域、配置额外域控制器、设置漫游用户配置文件【需要设备】：Windows Server 2003安装版本光盘一张、正常运行台式机一台一、将Windows Server 2003安装至PC上二、将服务器安装AD控制器先设置AD域：1.依次打开：开始-设置-控制面板-管理工具-管理您的服务器(不是向导)-打开后如图一所示2.下一步，选择自定义3.选中域控制器(Active Directory)下一步4.然后会让你安装dns和配置网络,5.把网卡的网线接好，处于已经连接状态，下一步6.安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”:在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但是我建议还是采用默认的好，省得以后麻烦。

域控详解范文域控详解域控(Domain Controller)是指Windows Server操作系统上运行的一种服务，用来管理网络中的用户、计算机和其他资源。

域控是一个基于Active Directory(AD)的服务器，它提供了集中管理和控制用户身份验证、权限分配和其他安全特性的功能。

域控的主要作用是创建和管理AD域，AD域是一个逻辑组织结构，用来集中管理网络中的用户、计算机、资源对象等。

域控充当了这个组织结构的核心，负责存储和管理域中的所有对象以及相关的策略和权限。

域控的功能主要包括以下几个方面：1.用户管理：域控可以创建和管理域中的用户账户，包括配置用户的登录名、密码和其他属性。

通过域控，管理员可以集中管理和控制用户的访问权限和资源分配。

2.计算机管理：域控可以创建和管理域中的计算机账户，包括配置计算机的名称、IP地址、操作系统等信息。

通过域控，管理员可以集中管理和控制计算机的访问权限和配置设置。

3.安全策略和权限管理：域控可以配置和管理域中的安全策略，例如密码策略、账户锁定策略等。

管理员可以通过域控对用户和计算机的权限进行精细控制，确保网络的安全性。

4.资源共享和访问控制：域控可以创建和管理域中的文件夹共享和打印机共享，并对用户和计算机的访问进行权限控制。

管理员可以通过域控对资源的共享和权限进行集中管理。

5.单点登录：域控可以提供单点登录功能，用户只需要在登录域中的一台计算机上进行身份验证，就可以访问域中的其他计算机和资源，无需多次输入用户名和密码。

6.备份和恢复：域控可以进行备份和恢复，以保证域中的数据安全和可靠性。

管理员可以定期备份域控的数据库和配置文件，以防止数据丢失或损坏。

域控的实现是基于Active Directory(AD)的，AD是一种分布式数据库，用来存储和管理域中所有的对象和相关信息。

域控负责管理和维护AD数据库，并提供与客户端的通信和交互接口。

域控的部署通常采用至少两台服务器的方式，其中一台充当主域控制器(Primary Domain Controller, PDC)，另一台充当备域控制器(Backup Domain Controller, BDC)。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

前言为何要加入域？域（Domain）是一个共用“目录服务数据库”的计算机和用户的集合，加入域成员计算机和域用户都共用这个域的“目录服务数据库”，域管理员可以基于域的“目录服务数据库”来进行集中管理、共享资源。

如用户、组、计算机帐号、权限设置、组策略设置等。

目录服务为用户提供唯一的用户和密码，用户只需一次登录，即可访问本域或有信任关系的其它域上的所有资源（当然用户得有权限才行），而不需要多次提供用户和密码登录。

在Windows 2000/XP/2003工作站加入到域后，更可以接受域控制器的补丁更新和安全防护。

1我的电脑如何加入域1.1加入域的步骤以WindowsXP为例。

1、首先需要将“本地连接”中的DNS服务器地址指向具体的ip。

2、右键点击“我的电脑”，选择“属性”，在“系统属性”中选择“计算机名”中的“更改”后：3、在“隶属于”中点选“域”，并输入域名：*，后点击确定，如果之前的DNS没有配置刚才设定的ip时，这一步会提示错误。

4、点击“确定”后，会提示要求域管理员用户和密码验证；5、成功的话出现欢迎对话框，随后系统会要求重启，按照要求操作才能将域生效。

1.2重新登录后的操作重启动后在登录时，点击选项，出现“登录到”的选择栏，选择域名；用户名输入各自拼音的全称；初始密码为先输入拼音的简拼即第一个字母。

系统登录后会出现全新的界面，桌面都和原来不一样了。

不要着急，没关系，只是保存在另一个地方，等会考过来就复原了。

这个等下做，我们先进入“控制面板”，点击“用户帐户”，会提示您不是本机管理员，要先输入本机之前的密码后，点击确定就可以进入查看“用户帐户”点击“添加”，如下图在上图中，输入域用户的帐号与密码输入后，点下一步，选择“其他”中的Administrators后，点击完成。

成功后根据系统提示注销，再进入系统你的用户将会具有管理员权限。

1.3还原桌面的操作1、现在来恢复我们找不到的那些桌面文件。

进入C:\Documents andSettings\Administrator\桌面，这里面存放了原来所有的桌面文件，全选并把它们复制到现在的桌面上。

系列文章链接‎如下：（点击名字即可‎进入）企业部署Wi‎n dows域‎实验案例企业域控DC‎管理案例企业Wind‎o ws域环境‎中的组策略应‎用案例一企业Wind‎o ws域环境‎中的组策略应‎用案例二前言：工作组网络模‎型只适合小型‎网络，如果企业网络‎中计算机和用‎户账户数量较‎多时，我们可以通过‎使用Wind‎o ws域，对网络资源进‎行集中管理，提高工作效率‎。

本篇博文通过‎两个案例的实‎施，介绍了创建W‎i ndows‎域并将计算机‎加入域，在域环境下如‎何对账户、组以及OU进‎行管理等。

在小型网络中‎，管理员通常单‎独管理每一台‎计算机，每台计算机都‎是一个独立的‎管理单元。

例如，在每台计算机‎中都需要为访‎问它的用户创‎建用户账户。

但当网络规模‎扩大到一定程‎度后，如超过10台‎计算机，每台计算机需‎要有10个用‎户访问，那么管理员就‎要创建100‎个以上的用户‎帐户，相同的工作就‎要重复很多遍‎。

虽然可以将用‎户需要访问的‎资源集中到某‎台服务器，但在实际中，并不是所有资‎源都可以很方‎便的集中在服‎务器上。

此时可以将网‎络中的计算机‎逻辑上组织到‎一起，将其视为一个‎整体，进行集中管理‎，这种区别于工‎作组的逻辑环‎境叫做Win‎d ows域，域是组织与存‎储资源的核心‎管理单元。

----------------------------------------------------------------------案例环境一：安装活动目录‎某公司有10‎0多台计算机‎和100多名‎员工，现在需要集中‎管理计算机、用户账户以及‎其他网络资源‎。

需要建立Wi‎n dows Server‎2008域，域名为yye‎。

案例描述：1）在服务器DC‎01上安装活‎动目录，域名为“”2）将客户机加入‎域3）创建域用户账‎户案例实施：1）检查DC01‎是否满足安装‎活动目录的条‎件。

一台计算机要‎安装成DC，必须具备以下‎几个条件：1.安装者必须具‎有本地管理员‎权限。

一 工作组与域的区别域管理与工作组管理的主要区别在于：1、 工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。

在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。

而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。

这就是两者最大的不同。

2、 在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

3、 域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

而工作组只是进行本地电脑的信息与安全的认证。

二 公司采用域管理的好处1、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装，保证网络内软件的统一性。

4、 很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

A D域控及组策略管理目录一、Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于：1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。

在网上邻居中能够看到的工作组机的列表叫浏览列表是通过广播查询浏览主控服务器，由浏览主控服务器提供的。

而域网实现的是主/从管理模式，通过一台域控制器来集中管理域内用户帐号和权限，帐号信息保存在域控制器内，共享信息分散在每台计算机中，但是访问权限由控制器统一管理。

这就是两者最大的不同。

2）、在“域”模式下，资源的访问有较严格的管理,至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器（Domain Controller，简写为DC）”。

3）、域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

而工作组只是进行本地电脑的信息与安全的认证。

2、公司采用域管理的好处1）、方便管理,权限管理比较集中，管理人员可以较好的管理计算机资源。

2）、安全性高，有利于企业的一些保密资料的管理，比如一个文件只能让某一个人看,或者指定人员可以看,但不可以删/改/移等。

3）、方便对用户操作进行权限设置，可以分发，指派软件等,实现网络内的软件一起安装。

4）、很多服务必须建立在域环境中，对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。

☑域和工作组域和工作组是针对网络环境中的两种不同的网络资源管理模式。

在一个网络内，可能有成百上千台电脑，如果这些电脑不进行分组，都列在“网上邻居”内，可想而知会有多么乱。

为了解决这一问题，Windows 9x/NT/2000就引用了“工作组”这个概念，将不同的电脑一般按功能分别列入不同的组中，如财务部的电脑都列入“财务部”工作组中，人事部的电脑都列入“人事部”工作组中。

你要访问某个部门的资源，就在“网上邻居”里找到那个部门的工作组名，双击就可以看到那个部门的电脑了。

在对等网模式（PEER-TO-PEER）下，任何一台电脑只要接入网络，就可以访问共享资源，如共享打印机、文件、ISDN上网等。

尽管对等网络上的共享文件可以加访问密码，但是非常容易被破解。

在由Windows 9x构成的对等网中，数据是非常不安全的。

一般来说，同一个工作组内部成员相互交换信息的频率最高，所以你一进入“网上邻居”，首先看到的是你所在工作组的成员。

如果要访问其他工作组的成员，需要双击“整个网络”，就会看到网络上所有的工作组，双击工作组名称，就会看到里面的成员。

你也可以退出某个工作组，只要将工作组名称改动即可。

不过这样在网上别人照样可以访问你的共享资源，只不过换了一个工作组而已。

你可以随便加入同一网络上的任何工作组，也可以离开一个工作组。

“工作组”就像一个自由加入和退出的俱乐部一样，它本身的作用仅仅是提供一个“房间”，以方便网络上计算机共享资源的浏览。

与工作组的“松散会员制”有所不同，“域”是一个相对严格的组织。

“域”指的是服务器控制网络上的计算机能否加入的计算机组合。

实行严格的管理对网络安全是非常必要的。

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，相当于一个单位的门卫一样，称为“域控制器(Domain Controller，简写为DC)”。

“域控制器”中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

简介普通用户加入域后默认是在Domain Users 组里，该组中用户具有将10台计算机加入域的权限，在一些安全要求极高的企业是绝对不允许的，存在较高的风险，所以需要禁止普通domain users 组中用户加域权限；但是可能公司部门较多的时候需要有二级网管来负责普通的运维比如将某部门新入职员工计算机加入域，但是不能将超管的密码外泄所以需要专门用来加域的用户；Windows server 2003 禁用普通domain users组的加域权限（管理员账号不受此限制）1. 在开始运行中输入adsiedit.msc或者输入mmc打开控制台，在控制台中添加adsiedit（如果提示找不到这个命令式因为没有安装SupportTools在2003系统光盘上可以找到D:\SUPPORT\TOOLS\SUPTOOLS.MSI）2. 打开后依次展开图中指示，右击dc=accp,dc=com选择属性，找到ms-DC-MachineAccountQuota，其默认值为10，将此值改为0，并单击OK；Windows server 2008 禁用普通domain users组的加域权限（管理员账号不受此限制）1. 使用管理员的账号登陆域控制器，开始>管理工具>ADSIEdit；3. 右键ADSI编辑器，点击连接到，保持默认点击确定；4. 在DC=benet,DC=com处右击属性（域级别），选择ms-DS-MachineAccountQuota属性，双击，修改其值为0，并单击ＯＫ；微软指南1. 微软帮助文档：/kb/243327/zh-cnWindows server 2003授权特定普通域用户将计算机加入域1. 打开AD管理工具，选择（域级别），右击属性，选择委派控制2. 点击下一步，添加需要提升为具有将计算机加入域的账号（普通域账号账号）3. 在委派页面选择将计算机加如到域，并单击下一步，完成4. 在下面的页面，单击确定退出就完成了对普通用户的权限提升。

AD域控规划方案AD（Active Directory）域控是一种用于管理和组织网络资源的目录服务。

它是基于Microsoft的Windows域架构开发的，可以在整个网络中管理和控制用户帐号、计算机、组织单元和其他网络资源。

在进行AD域控规划时，需要考虑以下几个方面：1.网络架构：首先确定网络的拓扑结构，例如是否采用分布式架构、中心化架构还是混合架构。

网络拓扑结构决定了域控的部署策略。

2.组织单元（OU）设计：OU是AD域中的容器，用于组织和管理对象，如用户、计算机和组等。

合理的OU设计可以方便管理和控制权限。

一般可以根据组织结构、业务需求或地理位置等因素进行划分。

3.域名称：域名称是AD架构的基础，它应该与组织的名称相关联，方便记忆和管理。

建议选择一个能够代表组织的名称，并确保唯一性。

4.域控部署策略：域控可以部署在物理服务器上，也可以采用虚拟化技术。

需要根据网络规模、性能需求和容错能力来确定部署策略。

5.域控的数量和位置：域控的数量和位置应该能够满足业务需求和可扩展性要求。

一般建议至少部署两个域控以提高容错能力，可以选择不同的物理位置或数据中心。

6.域控的安全性：域控是网络中最关键的服务器之一，应该采取一系列安全措施来保护其安全性。

例如使用强密码、限制远程访问、定期备份和监控等。

7.域控容灾和恢复：在域控发生故障或灾难时，需要有相应的容灾和恢复策略。

可以采用备份和还原、冗余部署或灾难恢复计划等方式来确保域控的可用性。

8. 域控的更新和维护：域控的更新和维护是保持系统稳定和安全的重要任务。

可以使用Windows更新服务、定期巡检和故障排除来确保域控的运行良好。

在具体的AD域控规划中，可以按照以下步骤进行：1.定义AD域的目标和需求：明确组织的需求和目标，确定AD域的作用和范围。

2.设计OU结构和组织方式：根据组织结构、权限需求和业务流程来设计OU结构。

确保OU结构清晰、简洁和易于管理。

3.确定域名称和架构：选择一个能够代表组织的域名称，并确定AD 域的架构和拓扑结构。

域控中管理计算机和用户帐号管理计算机和用户帐号在Windows2000中用户可以在活动目录用户和计算机管理工具中实现建立用户帐号、计算机帐号、组、安全策略等项。

它可以用于建立或编辑网络中的用户、计算机、组、组织单位、域、域控制器、以及发布网络共享资源。

活动目录用户和计算机管理器是安装在域控制器上的目录管理工具，且用户可以在Windows2000 Professional 中安装它的管理工具，以便利用客户机对活动目录进行远程管理。

本章介绍了Active Directory用户和计算机的常用管理工具的使用：1. 账户、组、组织机构相关的基本概念2. 用户和计算机账户的配置与管理3. 组的创建和管理4. 组织机构的添加与管理5. 资源的发布和搜索6. 域和域间信任的管理7.1 基本概念活动目录用户和计算机管理器中的帐号标识的是一个物理实体如计算机或用户，计算机和用户的帐号在它们登录到网络或访问域中的资源时提供安全信任。

帐号可以用于：验证计算机或用户的身份允许访问域中资源审核用户或计算机帐号的活动7.1.1 用户帐号用户帐号能够让用户以授权的身份登录到计算机和域中并访问其中资源。

用户帐号也可以作为某些软件的服务帐号。

7.1.2 计算机帐号每一个运行Windows 2000 和Windows NT 的计算机在加入到域时都需要一个计算机帐号，就象用户帐号一样，被用来验证和审核计算机的登录过程和访问域资源。

7.1.3 组组是可包含用户、联系人、计算机和其他组的Active Directory 或本机对象。

使用组可以：管理用户和计算机对Active Directory 对象及其属性、网络共享位置、文件、目录、打印机列队等共享资源的访问。

筛选器组策略设置创建电子邮件通讯组有两种类型的组：安全组通讯组安全组用于将用户、计算机和其他组收集到可管理的单位中。

为资源（文件共享、打印机等等）指派权限时，管理员应将那些权限指派给安全组而非个别用户。

域控中管理计算机和用户帐号域控（Domain Controller）是一种在Windows Server操作系统上运行的服务，用于管理计算机和用户账号。

域控是基于目录服务的概念，它使用了Windows Active Directory（AD）作为其目录服务。

域控的主要功能是集中管理和控制网络中的计算机和用户账号。

它通过提供统一的身份验证和授权机制，使得企业或组织能够更好地管理和保护其计算资源和数据。

以下是域控管理计算机和用户账号的主要应用：1.用户账号管理：域控可以集中管理和控制用户账号。

管理员可以创建、删除和修改用户账号，并为其分配角色和权限。

用户账号的信息被存储在AD中，登录到域控的计算机时，用户可以使用其账号进行身份验证和访问控制。

2.计算机管理：域控可以管理和控制网络中的计算机。

管理员可以将计算机添加到域中，从而使其受到域控的管理和控制。

域控可以为计算机提供集中的软件安装、补丁管理、策略设置等功能。

管理员可以通过域控远程管理计算机，而不需要直接登录到每台计算机上去进行管理。

3.组策略管理：域控可以通过组策略设置来集中管理计算机和用户账号的配置。

组策略可以控制计算机的安全设置、网络设置、软件设置等，以及用户账号的权限和配置。

管理员可以通过组策略设置统一的规则和标准，确保网络中的计算机和用户账号都按照企业或组织的要求进行配置和使用。

4.身份验证和访问控制：域控通过集中的身份验证和访问控制机制，确保只有经过身份验证的用户账号才能访问网络中的计算资源。

用户账号可以通过域控进行身份验证，并根据其权限和角色来控制对计算机和资源的访问。

域控使用了统一的身份验证协议，并提供了强大的访问控制策略，以保护网络中的信息资产。

5.安全审计和报告：域控可以提供安全审计和报告功能，以监控和记录网络中的用户和计算机的活动。

管理员可以通过域控获取各种安全日志和报告，以及监控和分析网络中的安全事件。

这有助于保护网络免受恶意活动和安全威胁。

域控制器的优点一、权限管理集中、管理成本下降 1. 域环境，所有网络资源，包括用户，均是在域控制器上维护，便于集中管理。

所有用户只要登入到域，在域内均能进行身份验证，管理人员可以较好的管理计算机资源，管理网络的成本大大降低。

2. 防止公司员工在客户端随意安装软件, 能够增强客户端安全性、减少客户端故障，降低维护成本。

3. 通过域管理可以有效的分发和指派软件、补丁等，实现网络内的一起安装，保证网络内软件的统一性。

4. 配合ISA的话就可以根据用户来确定可不可以上网。

不然只能根据IP。

二、安全性能加强、权限更加分明 1. 有利于企业的一些保密资料的管理,比如说某个盘允许某个人可以读写，但另一个人就不可以读写；哪一个文件只让哪个人看；或者让某些人可以看,但不可以删/改/移等。

2. 可以封掉客户端的USB端口，防止公司机密资料的外泄。

3. 安全性完全与活动目录(Active Directory) 集成。

不仅可在目录中的每个对象上定义访问控制，而且还可在每个对象的属性上定义。

活动目录(Active Directory)提供安全策略的存储和应用范围。

安全策略可包含帐户信息：如域范围内的密码限制或对特定域资源的访问权；通过组策略设置下发并执行安全策略。

三、账户漫游和文件夹重定向 1. 个人账户的工作文件及数据等可以存储在服务器上，统一进行备份、管理，用户的数据更加安全、有保障。

当客户机故障时，只需使用其他客户机安装相应软件以用户帐号登录即可，用户会发现自己的文件仍然在“原来的位置”（比如，我的文档），没有丢失，从而可以更快地进行故障修复。

2. 卷影副本技术可以让用户自行找回文件以前的版本或者误删除的文件（限保存过的32 个版本）。

在服务器离线时（故障或其他情况），“脱机文件夹”技术会自动让用户使用文件的本地缓存版本继续工作，并在注销或登录系统时与服务器上的文件同步，保证用户的工作不会被打断。

四、方便用户使用各种共享资源 1. 可由管理员指派登录脚本映射分布式文件系统根目录，统一管理。