域控制器重命名方法

当生产环境当中的主域控出现故障，需要把域控的组织架构、策略、用户账号信息迁移到新域控，首先是搭建一台辅助域控然后提升主机模式到2003纯模式，最后迁移主域控的五个操作主机即可。

Active Directory内总共定义了五个操作主机角色：架构主机（schema master）域命名主机(domain naming master)RID主机(relative identifier master)PDC模拟主机(PDC emulator master)基础结构主机(infrastructure master)每个操作主机的主要功能如下：1、架构主机：负责更新与修改schema内的对象与属性数据，只有有Schema Admin组内的成员才有权利修改schema内的数据。

如果架构主机出现故障或离线，可能会影响某些软件的运作，例如某些服务器级的软件在安装时，会在schema 内添加对象，如果架构主机出现故障或离线，将无法安装这些软件。

2、域命名主机：负责管理林内域的添加与删除工作。

如果域命名主机出现故障或离线，将无法在林内添加或删除域。

3、R ID主机：a、发放RID RID主机负责发放RID（relativeID）给其域内的所有域控制器。

当域控制器内添加一个用户、组或者计算机对象时，域控制器必须指派一个惟一的安全识别码（SID）给这个对象，此对象的SID是由域的SID与RID所组成的，也就是说“对象的SID=域的SID+RID”，而RID并不是由每一台域控制器自己产生的，它是由“RID操作主机”来统一发放给其域内的所有域控制器的。

每一台域控制器需要RID时，它会向“RID主机”索取一些RID，用完后再向“RID操作主机”索取；b、移动对象无论目前所连接的域控制器是哪台，当要将某个对象传送到另外一个域时，系统会移动位于“RID主机”内的对象，然后通知其他域控制器该对象已被转移。

这种做法可以避免位于不同域控制器的同一对象被重复传送到不同域的情况发生。

AD域重命名手册
1.使用具有Domain Admins、Schema Admins和Enterprise Admins组成员权限的
账号登录到服务器.
2.在DNS区域中建立demo-ceva.local的主要区域,手动复制以实现DNS的一致
性.
3.打开CMD命令行,输入rendom.exe /list准备域重命名信息
4.使用记事本打开domainlist文件,将所有demotnt替换为demo-ceva,并保存
5.运行rendom.exe /upload上传域重命名信息
6.运行rendom.exe /prepare以让域控制器准备重命名.
7.运行rendom.exe /execute正式开始域重命名.
8.待域控制器执行完成后,所有域控制器将自动重新启动.
9.在域重命名完成后,域控制器的DNS后缀名并未自动更改,需手动更改为demo-ceva.local
10.重启服务器,到此,域重命名完成.
11.所有客户端将在连接网络的情况下,自动将计算机的域名由原来的
demotnt.local更改为demo-ceva.local
12.所有计算机需使用新的登陆名登陆计算机,即demo-ceva\username。

近期公司要规范服务器命名，在AD环境中，更改成员服务器名称还算容易，但是要改变域控制器的名称就不是那么容易了，下面这篇，我就来介绍一下如何更改域控制器的名称。

一、需要注意的事项1．域控制器需要是Windows 2003及以上版本，且域功能级别为2003以上。

2．执行操作需要使用Domain Admins组和Enterprise Admins组成员。

3．在Windows 2003中，本次操作使用的系统支持工具netdom，包含在Windows 2003 Support Tools中。

二、更改域控制器名称要更改的域控预览，此次将DC03改名为DC01。

如图1图1打开命令行，先查询一下DC03的所有名称，包括主要名，替代名。

命令为：netdom computername ComputerName /enumerate:{AlternateNames | PrimaryName | AllNames}其中ComputerName为域控FQDN，enumerate是一个过滤项，可以有选择的输出的名字类别：AllNames（全部显示），AlternateNames（仅显示别名），PrimaryName（仅显示主要名），默认是全部显示。

图2显示的是当前DC03的全部名称。

图2接下来为DC03先添加一个替代名称DC01，替代名称要填写FQDN。

命令为：netdom computername CurrentComputerName /add: NewComputerName CurrentComputerName为当前主机名，为IP或FQDN或NetBIOS名。

NewComputerName为要添加的替代名称，本例为：如图3图3在显示一下DC03当前的全部名称，图4中，DC01已经作为替代名称添加到DC03中了。

如图4图4执行完添加替代名操作，相当于更新了AD中该计算机的SPN属性，并更新了DNS记录，所以需要等待修改更新到其他DC和DNS中。

重置被遗忘的域控制器（DC）管理员密码
安装好AD的DC后，经常由于域中的管理员帐户的密码过于复杂而忘记，迫使管理员重新创建AD，从而耽误工作。

现在向大家介绍一个好工具，以后域控的管理员密码即使忘掉了也不用重新搭建AD了，是作为系统管理员的一个必备好工具。

工具软件：重置被遗忘的域控制器（DC）管理员密码工具2.0版
2.0版本与1.0版本的区别
2.0版本中不需要在使用ERD Commander工具，只需“MCSE技术论坛专用PE光盘”即可完成的整个破解过程。

使用版本：
Windows2000、Windows2003、Windows2008
使用方法：
1.在Bios中选中光盘引导。

2.完成“MCSE技术论坛专用PE光盘”引导后根据提示完成操作即可
3.进入正常模式后，用户名：mcse密码：
P@ssw0rd。

（特别指出“0”是数字，不是字母“O”）
4.请修改administrator用户权限以及用户密码。

5.请手工删除mcse用户。

目前版本：Beta v1.0 测试阶段之提供活动目录用户重置功能，其他功能正在测试中，稍后提供请关注我们的MCSE技术论坛。

谢谢！
ps：
菜单列表：
1.重置域控制器管理员密码
2.重置本地管理员密码
3.绑定IP地址（如果您的网络中有DHCP则无需绑定。

）
4.远程桌面
5.游览器
6.ghost
操作步骤：。

活动目录之域控重命名关于域的重命名也是很多网络管理人员近几年遇到的比较多的一个现象，往往是由于公司内部或外部的一些原因而导致公司的名称发生变化，那么公司的域名也要发生相应的变化，但是由于域构架的特殊性，所以对域进行重命名可不像对修改计算机的主机名这么简单，那么接下来我将为大家详细说一下域的重命名的操作流程。

先给大家罗列一下实验环境:原域域名:域控制器:IP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1其中还有一台域外额控制器，名为:，一个子域:实验目的:把重命名为一、前提条件:1、所有的域控制器必须全部是Windows Server 2003，这是一个必备条件，因为Windows 2000域并不支持域重命名。

如果你是Windows 2000域的话，那么你只能用ADMT进行活动目录迁移，具体操作请参见我的上一篇文章。

2、由于域的重命名操作并不是在域控制器上完成的，(这一点出乎很多人的意料之外吧)，所以除了域控制器外，还要有一台装着Windows Server 2003的成员服务器，而且必须已经加入到该域。

本实验环境中这台计算机的配置如下:计算机名:IP:192.168.5.6子网掩码:255.255.255.0DNS:192.168.5.1二、准备工作:1、在进行域的重命名操作以前，请一定要用Ntbackup工具备份现在所有域控制器的系统状态数据数据，以防万一。

我在前面的文章——“活动目录之备份与恢复”上已经详细讲过了，这里就不重复了。

2、要进行域的重命名操作，所有的域控制器一定要是Windows Server 2003，并且提升域和森林的功能级别到Windows 2003纯模式，因为默认是Windows 2000混合模式;关于提升域功能级别我已要在“活动目录之迁移”是提到了，这里我只是提一下提升森林的功能级别: 点击“开始-设置-控制面板-管理工具-Active Directory域和信任关系”:在“Active Directory域和信任关系”上击右键:选择“提升林功能级别”:点击“提升”就可以了，只是这个操作也是不可逆的。

如果我们在前期ad规划时规划的不好，由于工作的需要来重新命名Active Directory，下面进行详细介绍。

1、前提条件：1.所有的域控制器必须是Windows Server 2003，因为Windows Server 2000不支持AD重命名2.域的重命名并不是在DC上进行的，还需要一台加入此域的成员服务器（Windows Server2003），域用户要有企业管理员组的权限。

3.重命名AD之前建议备份系统状态。

4.进行域的重命名，所有的dc必须是Windows Server 2003系统，并且要提升域和林的功能级别为Windows Server 2003纯模式。

提升域和林的功能级别请参考我的日志《建立林信任》。

5.如果林中有Exchange系统，请不要进行重命名，因为一旦进行重命名操作，EX将停止工作。

不得在任一域控制器上安装Exchange Server。

如果某个域控制器正在运行Exchange Server，则须从该域控制器中移走Exchange 数据，然后删除Exchange Server6.森林在短时间内停止工作，具体时间取决于DC多少和网络规模大小7.域的重命名操作要么所有的DC完成重命名工作，要么就从森林里删除8.在域的重名过程中，不能添加或删除DC，不能进行新的信任关系的建立。

2、网络环境：dc设置：域名test.adip ：192.168.228.200子网：255.255.255.0dns:127.0.0.1os : windows server 2003 r2域功能和林功能级别都是windows server 2003成员服务器：ip：192.168.228.5子网：255.255.255.0dns：192.168.228.200os：windows server 2003 r23、AD重命名1、建立新的DNS Active Directory集成区域（1）打开DNS管理控制台（2）右击正向查找区域，点New Zone(3)出现向导，点next（4）选择主要区域和在AD中存储此区域（5）选择T至AD林test.ad中的所有dns 服务器(6)输入新的域名i t.ad(7)选择安全的动态更新（8）点完成，完成创建新的dns2、域控制器重命名域重名软件在Windows Server 2003光盘中，具体位置在x:\VALUEADD\MSFT\MGMT\DOMREN\目录中，rendom用来重命名的主要工具，gpfixup是用来修复组策略的工具。

重命名域控制器
重命名域控制器即更改域控制器的计算机名称，其实施过程其实是在命令行下为域控制器添加一个新的计算机名，并将该计算机名提升为主计算机名，待重启计算机使新计算机名生效后再在命令行下删除旧计算机名，详细的操作过程如下：
1、依次选择“Start”—“Run”—输入cmd—单击“Ok”，打开命令行窗口；
2、使用命令“netdom computername 当前计算机FQDN名/add：新计算机FQDN名”添
加一个新的计算机名称；
3、使用命令“netdom computername 旧计算机FQDN名/enumerate”查看当前的计算机名
称，如下图所示，可以看到当前计算机拥有两个计算机名称；
4、使用命令“netdom computername 旧计算机FQDN名/makeprimary：新计算机FQDN名”
提升新计算机名称为主计算机名；
5、重启该域控制器；
6、确认计算机名已更改为新计算机名；
7、确认DNS中相关SRV记录已变更为新计算机名；
8、确认DNS中已自动注册了新计算机名的A记录；
9、删除旧计算机名的A记录；
10、确认在Active Directory Users and Computers中的Domain Controller容器中，域控
制器名已变更为新名称；
11、打开命令行，使用命令“netdom computername 新计算机FQDN名/remove：旧计
算机FQDN名”删除旧计算机名；
12、使用命令“netdom computername 新计算机FQDN名/enumerate”查看当前是否只
有一个新计算机名；
13、至此，重命名域控制的工作便成功完成了。

AD域管理解决方案一、架构设计1. 域控制器（DC）：在企业网络中配置多个域控制器，确保高可用性，并减少单点故障的风险。

每个域控制器都要运行Active Directory服务，并拥有复制和故障转移功能。

2.组织单位（OU）：根据企业的组织架构和业务需求，创建适当的OU来对各个部门、组织单元进行管理。

OU可以根据需要进行重命名、合并或删除。

3.安全组和分发组：根据不同的权限需求，创建安全组来管理用户的访问权限。

分发组用于将软件包、策略等分发给特定的用户组。

4.策略管理：使用组策略管理（GPO）来对用户和计算机进行集中管理和配置，例如设置密码策略、桌面背景、软件安装等。

可以根据业务需求创建不同的GPO，并将其应用到不同的OU或安全组上。

5.用户管理：使用AD提供的用户管理功能，对用户进行创建、删除、禁用、启用、密码重置等操作。

同时，使用单一登录（SSO）技术，可以实现用户在任何一个域控制器上登录的能力。

6.计算机管理：通过AD可以对计算机进行集中管理，包括加入域、远程管理、软件分发等。

可以使用域管理员账户对计算机进行管理，并通过组策略对其配置进行统一管理。

7.安全审计和监控：使用AD提供的安全审计功能，对域内的活动进行监控和记录。

可以设置审计策略，并将审计日志发送到集中的日志服务器进行分析。

8.备份和恢复：定期备份AD数据库和系统状态，以防发生丢失或故障。

同时，进行灾难恢复演练，以确保在紧急情况下能够快速恢复AD服务。

二、操作流程1.设计和规划：根据企业的组织结构和业务需求，设计适合的域控制器架构和管理策略。

确定OU结构和安全组设置，制定相应的操作规范和权限策略。

2.部署域控制器：根据设计方案，在企业网络中配置域控制器，确保其高可用性和故障转移能力。

进行域控制器的加入和复制配置，并进行适当的测试和验证。

3.创建组织单位和安全组：根据设计方案，在AD中创建组织单位和安全组，并进行相应的配置和权限分配。

备份域控制器提升为主域控制器的步骤备份域控制器提升为主域控制器通过获取5个FSMO来进行提升，具体步骤如下：转移架构主机角色使用"Active Directory 架构主机"管理单元可以转移架构主机角色。

您必须首先注册Schmmgmt.dll 文件，然后才能使用此管理单元。

注册 Schmmgmt.dll1. 单击开始，然后单击运行。

2. 在打开框中，键入 regsvr32 schmmgmt.dll，然后单击确定。

3. 收到操作成功的消息时，单击确定。

转移架构主机角色1. 依次单击开始和运行，在打开框中键入 mmc，然后单击确定。

2. 在文件菜单上，单击"添加/删除管理单元"。

3. 单击添加。

4. 依次单击 Active Directory 架构、添加、关闭和确定。

5. 在控制台树中，右键单击 Active Directory 架构，然后单击更改域控制器。

6. 单击指定名称，键入将成为新角色持有者的域控制器名称，然后单击确定。

7. 在控制台树中，右键单击 Active Directory 架构，然后单击操作主机。

8. 单击更改。

9. 单击确定以确认您要转移该角色，然后单击关闭。

转移域命名主机角色1. 单击开始，指向管理工具，然后单击"Active Directory 域和信任关系"。

2. 右键单击"Active Directory 域和信任关系"，然后单击"连接到域控制器"。

注意：如果您不在要将角色转移到其上的域控制器上，则必须执行此步骤。

如果您已经连接到要转移其角色的域控制器，则不必执行此步骤。

3. 执行下列操作之一： ? 在"输入其他域控制器名称"框中，键入将成为新的角色持有者的域控制器的名称，然后单击确定。

- 或 -? 在"或者，选择一个可用的域控制器"列表中，单击将成为新角色持有者的域控制器，然后单击确定。

一.前述从win NT到win2000、win2003、win2008都提供提供活动目录功能，然而不同操作系统运行的域都提供不同功能的服务，在域内由不同类型的操作系统组合而成的域，支持不同的功能、服务，这就称之为域的功能级别。

同理在林中也存在林的功能这个概念在Windwos2003的Active Directory中提供了比Windows2000 Active Directory更高的功能级别，称为windows2003临时模式和windows2003模式。

只有把所有的与控制器升级到Windows2003模式，整个森林才能被提升到Windwos2003模式。

森林功能级别的提升需要手动完成。

二.域功能级别域功能激活只影响整个域和该域的功能。

Windows Server 20008功能级别支持五功能级别，一下分别介绍五功能级别及其功能级别所支持的域控制器1：Windows 2000 混合模式（默认）其网络配置使用Windows 2000和Windows NT 的任意组合系统。

Windows 2000 域控制器和Windows NT 4.0 备份域控制器可以在同一个域中无缝共存而不会出现任何问题。

当然Windwos 2003域控制器也支持此模式。

激活的功能包括本地与全局组并支持全局编录2：Windows 2000本机模式。

域中所有域控制器都可以运行Windows2000或Windwos2003.激活的功能包括组嵌套、通用组、Sidhistory、安全组与通讯组之间的转换、3：Windows Server 2003临时模式。

允许Windows 2003域控和Windows NT 4 域控制器的混合使用。

但不能与Windows2000域控制器混合使用。

显见支持的域控为Windows 2003和Windows NT4.此级别内没有域范围的激活功能。

该模式只在将NT4的域控升级到Windows2003域控时使用4：Windows Server 2003模式。

Windows域控管理说明：1.本文档没有目录，本文档在发布时为pdf文档，有章节书签，可以下载到本地来查看，点击书签进入相应的章节。

2.蓝色的字为配置命令，绿色的字为命令的注释，有时命令太密集时，就不用蓝色标出了。

3.注意：本文档的所有操作请先在在虚拟机里进行实践，请不要直接在真实的服务器中操作！作者：李茂福日期：2019年12月24日Windows域Windows中的域（domain）是一套统一的身份验证系统，是企业应用的基础。

组策略通过用户身份验证和域绑定得比较紧密。

域树：由多个域组成，这些域共享同一个存储结构和配置，形成一个连续的名字空间，有相同的DNS后缀。

域林：由一个或多个没有形成连续名字空间的域树组成，构成域林的各个域树之间没有形成连续的名字空间，没有相同的DNS后缀。

但域林中的所有域树仍共享同一个存储结构、配置和全局目录。

根域：网络中创建的第一个域，一个域林中只能有一个根域（Root Domain）。

DC>get-ADforest//查看根域部署第一台域控制器1.以管理员帐号Administrator登录服务器2.更改计算机名3.设置静态IP4.首选DNS配置为本机IP5.添加角色和功能：打开“服务器管理器”→添加角色和功能→基于角色或基于功能的安装→...→Active Directory域服务→....→安装进度（结果）→点击“将此服务器提升为域控制器→添加新林一般第一台域控制器同时也是“集成区域DNS服务器”>net accounts//查看计算机角色，第一台域控的角色为Primary>net share//查看系统共享卷，以下为安装DC功能后添加的NETLOGON C:\Windows\SYSVOL\sysvol\\SCRIPTS Logon server share SYSVOL C:\Windows\SYSVOL\sysvol Logon server shareFSMO操作主机角色Flexible Single Master Operation>netdom query fsmo//查看5种操作主机角色所在的域控制器1.架构主机Schema Master域林中只有一个架构主机，作用是定义所有域的对象属性（定义数据库字段及存储方式）2.域命名主机Domain Naming Master域林中只有一个域命名主机，负责控制域林内域的添加或删除3.PDC主机PDC Emulator Master每个域中只有一个PDC主机，作用：兼容低版本的DCPDC主机角色所在的DC优先成为主域浏览器，用>net accounts查看的那个Primary 活动目录数据库的优先复制权时间同步防止重复套用组策略，使用组策略时，组策略编辑器默认连到PDC主机4.RID主机Relative Identifier Master每个域中只有一个RID主机作用是在域中创建对象时保证每个对象有一个唯一的SID，跨域访问、迁移域对象时，通过RID主机确认域对象的唯一性5.基础结构主机Infrastructure Master每个域中只有一个基础结构主机，负责对跨域对象的引用进行更新*整个域林中只有一台架构主机和一台域命名主机*每个域中都有自己的PDC主机、RID主机和基础架构主机各一台FSMO角色转移将Primary上的操作主机角色转移到Backup上登录Backup DC>ntdsutilntdsutil:rolesFsmo maintenance:connectionsServer connections:connect to server //连接至Backup DC server connections:quitFsmo maintenance:transfer schema master//转移架构主机角色Fsmo maintenance:transfer naming master//转移域命名主机角色Fsmo maintenance:transfer RID master//转移RID主机角色Fsmo maintenance:transfer PDC//转移PDC主机角色Fsmo maintenance:transfer infrastructure master//转移基础结构主机角色抢占当Primary DC出现故障时，就不能进行转移操作了，只能占用操作主机，操作过程同上，只是把transfer改为seize>get-ADforest//查看域林信息>netdom query fsmo//查看操作主机角色修改域控IP1.直接在网卡配置里修改IP2.命令行里操作：>net stop NETLOGON>net start NETLOGON>ipconfig/registerdns3.打开DNS服务器管理控制台，删除所有和原IP相关的A记录重命名域控制器>netdom computername /enumerate//查看DC的所有FQDN名称>netdom computername /add://添加新名称>netdom computername /makeprimary:重启域控制器>netdom computername /remove://删除原来名字>netdom computername /enumerate//查看删除原来的DNS记录（正向查找区域）允许域用户将计算机加入域的数量*默认每个域用户可将10台计算机加入域，自定义设置：Win+R输入adsiedit.msc//打开ADSI编辑器右击“ADSI编辑器”→连接到→默认命名上下文→右击DC=cof,DC=com→属性→ms-DS-MachineAccountQuota→值为0~65535表示用户可加入域的计算机数*或者单独委派用户加域权限打开Active Directory用户和计算机→右击域名→委派控制→下一步，添加用户→下一步，将计算机加域→完成查看用户修改密码的时间Active Directory用户和计算机→选中用户→双击属性→属性编辑器下边底部→pwdLastSet 即为最近修改密码的时间-LastLogon最后一次登录时间AD域控相关端口号端口号tcp/udp服务53t/u DNS88t/u Kerberos123u NTP135t Rpc Endpoint Master（msrpc）137u NetBIOS Name Service138u NetBIOS Datagram Service139t/u NetBIOS session Service（netbios-ssn）389t/u LDAP445t SMB(CIFS)（microsoft-ds）464Kpasswd5593ncacn_http（msrpc over HTTP1.0）636u/t LDAPS（tcpwrapped Ldap over SSL）2179vmrdp3268t LDAP GC（Global Catalog）3269t LDAPS GC（Global Catalog over SSL）域策略1.允许指定用户远程登录到计算机*计算机→策略→Windows设置→安全设置→本地策略→用户权限分配允许通过终端服务登录：添加远程用户组(Remote Desktop Users和Domain Admins）*计算机→首选项→控制面板选项→本地用户和组组名：Remote Desktop Users(内置)添加远程用户进去2.允许指定用户从本地登录到计算机*计算机→策略→Windows设置→安全设置→本地策略→用户权限分配允许本地登录：添加指定用户或组3.用户密码输错3次锁定5分钟*计算机→策略→Windows设置→安全设置→帐户策略→帐户锁定策略在此后重置帐户锁定计数器5分钟帐户锁定时间5分钟帐户锁定阈值3次无效登录4.十五分钟无操作自动锁屏*用户→策略→管理模板→控制面板→个性化带密码的屏幕保护程序已启用屏幕保护程序超时已启用900秒启用屏幕保护程序已启用5.将指定用户加入到计算机的某个组*计算机→首选项→控制面板设置→本地用户和组组名：xxxx(内置)→本地组→操作为更新→组名xxxx，添加成员6.将登录到计算机的用户添加到该计算机的某个组*用户→首选项→控制面板设置→本地用户和组组名：xxxx(内置)→本地组→操作为更新→组名xxxx7.设置计算机的组策略后台更新时间*计算机→策略→管理模板→系统→组策略设置计算机的组策略刷新间隔15分钟随机时间5分钟设置域控制器的组策略刷新间隔15分钟随机时间5分钟8.映射网络磁盘S盘给指定用户（用户登录后自动挂载共享磁盘）*用户→首选项→Windows设置→驱动器映射S：属性信件S，位置\\dc\sharepool常用→项目级别目标：安全组9.允许ping包入站（icmp echo request入站）*计算机→策略→管理模板→网络→网络连接→Windows防火墙→域配置文件Windows防火墙→允许icmp例外：允许传入回显请求10.禁止用户更改计算机系统时间*计算机→策略→Windows设置→安全设置→本地策略→用户权限分配更改时区空（无用户）更改系统时间空（无用户）11.指定域用户的桌面（墙纸）*用户→策略→管理模板→桌面→Active Desktop启用Active Desktop已启用桌面墙纸\\dc\share\desktop.jpg平铺12.用户登录时运行指定的程序*用户→策略→管理模板→系统→登录在用户登录时运行这些程序添加指定程序13.用户登录时运行指定的脚本*用户→策略→Windows设置→脚本→登录名称：脚本文件名脚本文件位于DC上的：C:\Windows\SYSVOL\sysvol\域名\Policies\{组策略唯一ID}\User\Scripts\Logon里14.受限制的组（只有指定的用户才在该组里）*计算机→策略→Windows设置→安全设置→受限制的组组名BULTIN\Administrators成员：指定的用户15.用户文件夹重定向到D盘或服务器上*用户→策略→Windows设置→文件夹重定向→（选桌面和/或文档）基本（重定向所有人的文件夹到相同位置）路径D:\%username%\desktop或documents16.漫游用户配置文件*计算机→策略→管理模板→系统→用户配置文件为正在登录此计算机的所有用户设置漫游配置文件路径：已启用\\dc\share\%username%17.允许多个用户同时远程登录计算机（加授权）*计算机→策略→管理模板→Windows组件→远程桌面服务→远程桌面会话主机→连接限制连接的数量允许的RD最大连接数100将远程桌面服务用户限制到单独的远程桌面服务会话已启用为远程桌面服务用户会话远程控制设置规则已启用不经用户授权完全控制*计算机→策略→管理模板→Windows组件→远程桌面服务→远程桌面会话主机→授权设置远程桌面授权模式按用户使用指定的远程桌面许可证服务器//加了域的主机，仅允许网络级别身份验证的远程桌面的计算机连接，所以RDP客户端计算机要求也要在域中，如果不在域中，那么服务端计算机要安装远程桌面服务的“远程桌面会话主机”角色，并指定授权服务器18.无须按下Ctrl+Alt+Del登录*计算机→策略→Windows设置→安全设置→本地策略→安全选项→交互式登录交互式登录已启用：无须按Ctrl+Alt+Del19.不显示最后登录的用户名*计算机→策略→Windows设置→安全设置→本地策略→安全选项→交互式登录交互式登录已启用：不显示最后的用户名20.域用户密码策略*计算机→策略→Windows设置→安全设置→帐户策略→密码策略密码最长期限300天强制密码历史无最短密码期限0天最短密码长度8字符*计算机→策略→Windows设置→安全设置→本地策略→安全选项→交互式登录交互式登录提示用户在密码过期之前更改密码10天21.允许指定用户关闭计算机（含重启）*计算机→策略→Windows设置→安全设置→本地策略→用户权限分配关闭系统添加指定的用户从远程系统强制关机添加指定的用户22.用户注销时清除最近打开过的文档记录*用户→策略→管理模板→“开始”菜单和任务栏退出系统时清除最近打开的文档的历史已启用23.计算机启动时自动部署安装软件*计算机→策略→软件设置→软件安装新建数据包使用网络路径//软件包必须为.msi的安装包24.配置防火墙规则*计算机→策略→Windows设置→安全设置→高级安全Windows防火墙出入站规则新建xxx*计算机→策略→管理模板→网络→BranchCache启用BranchCache已启用25.发布通告消息给用户（用户登录界面上显示）*计算机→策略→Windows设置→安全设置→本地策略→安全选项→交互式登录试图登录的用户的消息标题标题内容试图登录的用户的消息文本消息内容26.禁止管理人员修改IP（网络配置）*计算机→策略→Windows设置→安全设置→系统服务选择Network Connections，手动，删除指定用户everyone之类的完全控制权限*用户→策略→管理模板→“开始”菜单和任务栏删除网络图标已启用*用户→策略→管理模板→网络→网络连接禁止访问LAN连接的属性已启用27.禁止用户使用外部存储设备（U盘）*用户→策略→管理模板→系统→可移动存储访问可移动磁盘：拒绝读取权限已启用可移动磁盘：拒绝访问权限已启用//重启生效28.远程桌面会话时间限制*计算机→策略→管理模板→Windows组件→远程桌面服务→远程桌面会话主机→会话时间限制设置活动但空闲的远程桌面服务会话时间限制已启用30分钟（到时断开）设置活动的远程桌面服务会话的时间限制已启用总时间2小时设置已中断会话的时间限制已启用10分钟（到时结束会话默认情况下远程桌面服务允许用户断开会话而不注销和结束会话，会话处于断开状态时，用户运行的程序仍保持活动。

1、本地域组：多域用户访问单域资源（访问同一个域）本地域组的成员可包括Windows Server2003、Windows 2000或WindowsNT域中的其他组和账户，而且只能在其所在域内指派权限.2、全局组：单域用户访问多域资源(必须是一个域里面的用户）全局组的成员可包括其所在域中的其他组和账户，而且可在林中的任何域中指派权限；3、通用组：多域用户访问多域资源通用组的成员可包括域树或林中任何域的其他组和账户，而且可在该域树或林中的任何域中指派权限；当域功能级别设置为Windows2000混合模式时,不能创建具有通用组的安全组。

本地域组: 可以从任何域添加用户账户、通用组和全局组.域本地组不能嵌套于其他组中。

它主要是用于授予位于本域资源的访问权限。

全局组: 只能在创建该全局组的域上进行添加用户账户和全局组，但全局组可以嵌套在其他组中。

可以将某个全局组添加到同一个域上的另一个全局组中，或添加到其他域的通用组和域本地组中（注意这里不能它加入到不同域的全局组中，全局组只能在创建它的域中添加用户和组）。

虽然可以利用全局组授予访问任何域上的资源的权限，但一般不直接用它来进行权限管理。

通用组：通用组是集合了上面两种组的优点，即可以从任何域中添加用户和组，可以嵌套于其他域组中。

比如：有两个域，A和B，A中的5个财务人员和B中的3个财务人员都需要访问B中的“FINA”文件夹。

这时，可以在B中建一个DL，因为DL的成员可以来自所有的域，然后把这8个人都加入这个DL，并把FINA的访问权赋给DL.这样做的坏处是什么呢？因为DL是在B域中，所以管理权也在B域，如果A域中的5个人变成6个人，那只能A域管理员通知B域管理员，将DL的成员做一下修改,B域的管理员太累了。

这时候，我们改变一下,在A和B域中都各建立一个全局组(G)，然后在B域中建立一个DL，把这两个G都加入B域中的DL中，然后把FINA的访问权赋给DL.哈哈，这下两个G组都有权访问FINA文件夹了，是吗?组嵌套造成权限继承嘛！这时候，两个G分布在A和B域中，也就是A和B的管理员都可以自己管理自己的G啦,只要把那5个人和3个人加入G 中,就可以了!以后有任何修改，都可以自己做了,不用麻烦B域的管理员!这就是A-G—DL—P.注：A表示用户账号,G表示全局组，U表示通用组，DL表示域本地组，P表示资源权限。

如何更改域控制器的计算机名实验环境：企业一台的域控制器，由于特定的目的需要将计算机名改为。

实验步骤：1．将“域功能级别”提升为“Windows Server 2003”级别。

a)打开“Active Directory用户和计算机”管理控制台。

b)右键点击“”节点，在弹出菜单中选择“提升域功能级别”。

c)在下拉菜单中选择“Windows Server 2003”，然后单击“提升”按钮。

2．安装netdom.exe程序，此程序包含在“Windows增效工具包”中。

a)将“Windows Server2003安装光盘”插入光驱，打开以下路径，并双击SUPTOOLS.MSI程序安装“Windows增效工具包”。

3．运行“netdom computername目前的计算机名/add:新的计算机名”命令。

注：此命令的目的是添加一个新的计算机名，要使用FQDN名。

a)打开“命令提示符”窗口。

b)在“命令提示符”窗口中输入以下命令。

4．运行“netdom computername目前的计算机名/makeprimary:新的计算机名”命令。

注：此命令的目的是将新的计算机名设置为主名。

a)在“命令提示符”窗口中输入以下命令。

b)重启计算机（非常重要）5．运行“netdom computername 新的计算机名/remove:旧的计算机名”命令。

注：此命令是将旧的计算机名移除。

a)在“命令提示符”窗口中输入以下命令。

实验总结：本次实验经常会犯的二个错误是：1．计算机名没有使用FQDN名，很多人喜欢使用Netbios名。

2．需要重新启动计算机的时候没有重启。

Rendom.exe的我使用的版本为1.4，Gpfixup.exe的版本为1.1，下载地址（大小为364 KB）。

工具下载安装后，将位于本地系统的\Program Files\Microsoft Domain Rename Tools目录中。

此域重命名工具允许你更改AD域的名称，你可以有多种原因需要这么做。

例如，企业发生合并、分拆或者只是公司更改名称，你需要更改AD域的名称以反映企业的变化。

或者，以前在部署时使用了错误的名称，而挑剔的你希望一切都能够完美。

现在，域重命名工具能够帮助你弥补这一个缺憾。

但是，域重命名工具只解决了在重命名AD域之后引发的一部分问题。

例如，除了微软已经解决的Exchange支持的问题之外（仅适用于Exchange 2003 Server），域重命名工具不支持通过重命名的方法将域加入或者脱离某个域森林。

所以，该工具对于企业合并的域名问题没有任何帮助，你还是需要第三方的支持。

还有，你不能对企业的根域进行重命名。

最后，你不能进行类似域名互换的操作，你需要先将目标域移岀，然后将另一个加入（使用和目标域一样的域名），或者先更改目标域的域名，然后将第二个域使用原先域的域名。

当然，所有这些关键操作都需要Enterprise Admin普通会员的权限（或者拥有每个域中Domain Admin的权限）。

在开始重命名之前，测试和检查你环境中所有的应用程序和基础构架支持你将要进行的操作。

因为不是太多程序能够识别域重命名工具所做的修改，虽然表面上没有发现，但是可能存在潜在问题。

不要以为是微软的产品就肯定支持，连微软自己都没有进行过完全测试。

将测试过程和时间也加入你重命名域的计划中，而且要学会在论坛中查找有用信息。

一、事前准备Random工具只能用于Windows server 2003标准版、企业版、数据中心版，Windows server 2000不支持域重命名。

在域重命名操作的过程中我们影改注意一下6点。

一、确认FSMO角色1.确认当前域FSMO角色所在服务器1)运行cmd打开命令提示符2)键入：netdom query fsmo3)确认PDC、RID和Infrastructure角色不再要删除的域控制器上Schema owner Domain role owner PDC role RID pool manager Infrastructure owner 二、删除已经离线的域控制器如果承担角色的域控制器已经离线，则需要占用FSMO角色到现存域控制器请使用本方法将FSMO强制指定到目前可用的域控制器。

1)运行cmd打开命令提示符2)键入：ntdsutil3)在ntdsutil 命令提示符下，键入：roles4)在fsmo maintenance 命令提示符下，键入：connections5)在server connections 命令提示符下，键入：connect to server DomainController★Domaincontroller 为当前可用域控制器计算机名6)在server connections 提示符下，键入：quit7)在fsmo maintenance 命令提示符下，键入：seize PDCseize RID masterseize infrastructure masterquit2.清理AD数据库1)运行cmd打开命令提示符2)键入：ntdsutil3)在ntdsutil 命令下，键入：metadata cleanup4)在metadata cleanup 命令下，键入：connection5)在connection 命令下，键入：connect to server DomainController★Domaincontroller 为当前可用域控制器计算机名Server6)在connection 命令下，键入：quit7)在metadata cleanup 命令下，键入：select operation target8)在select operation target 目录下，键入：list sites9)选择服务器所在的站点编号，键入：select site SiteNumber10)在select operation target 目录下，键入：list domains in site11)选择服务器所在域的编号，键入：select domain DomainNumber12)在select operation target 目录下，键入：list servers in site13)选择要删除的服务器编号，键入：select server ServerNumber14)在select operation target 目录下，键入：quit15)在metadata cleanup 命令下，键入：remove selected server三、新建域控制器1)将新服务器加入到当前域2)单击“开始”，单击“运行”，然后键入dcpromo 以打开“Active Directory 安装向导”。

windows server 2003 域控制器转移迁移准备工作:1. 在Windows Server 2003上运行dcpromo命令将其升级为域控制器，并在升级时选择使其成为现有Windows 2003域的额外的域控制器。

2. 在Windows Server 2003上安装DNS服务，确认它已经和原来的Windows 2003DNS服务器上的数据复制同步后，将它的DNS服务器地址指向自己。

3. 将这台Windows Server 2003域控制器设为全局编录（Glocal Catalog）服务器，具体方法请参考下面这篇文档：《How to promote a domain controller to a global catalog server》：</?id=296882>4. 将原来的Windows 2003域控制器上的5个FSMO角色转移到这台Windows Server 2003域控制器上，具体方法请参考下面这篇文档：《如何查看和转移Windows Server 2003 中的FSMO 角色》：</?id=324801>当最后一步转移结构主机角色时可能会提示“当前域控制器是全局编录服务器，不要将结构主机角色转移到该域控制器上”，由于是在单域环境中，直接确认忽略该提示即可。

关于在Windows 2003域控制器上放置FSMO的更多信息，请参考下面这篇文档：《在Windows 2003 域控制器上放置和优化FSMO》：</?id=223346>5. 完成以上操作之后，新的Windows Server 2003域控制器便替代了原来的第一台Windows 2003域控制器的角色，但我们需要等待一段时间使原来的Windows 2003域控制器上的和全局编录及FSMO角色相关的活动目录信息完全复制到WindowsServer 2003域控制器上。

建议您观察一两天时间，并确认新的Windows Server 2003域控制器/DNS服务器一切工作正常后，再将原来的Windows 2003域控制器降级。

如果我们在前期ad规划时规划的不好，由于工作的需要来重新命名Active Directory，下面进行详细介绍。

1、前提条件：1. 所有的域控制器必须是Windows Server 2003，因为Windows Server 2000不支持AD重命名2. 域的重命名并不是在DC上进行的，还需要一台加入此域的成员服务器（Windows Server 2003），域用户要有企业管理员组的权限。

3. 重命名AD之前建议备份系统状态。

4. 进行域的重命名，所有的dc必须是Windows Server 2003系统，并且要提升域和林的功能级别为Windows Server 2003纯模式。

提升域和林的功能级别请参考我的日志《建立林信任》。

5. 如果林中有Exchange系统，请不要进行重命名，因为一旦进行重命名操作，EX将停止工作。

不得在任一域控制器上安装 Exchange Server。

如果某个域控制器正在运行 Exchange Server，则须从该域控制器中移走 Exchange 数据，然后删除 Exchange Server6. 森林在短时间内停止工作，具体时间取决于DC多少和网络规模大小7. 域的重命名操作要么所有的DC完成重命名工作，要么就从森林里删除8. 在域的重名过程中，不能添加或删除DC，不能进行新的信任关系的建立。

2、网络环境：dc设置：域名test.adip ：192.168.228.200子网：255.255.255.0dns:127.0.0.1os : windows server 2003 r2域功能和林功能级别都是windows server 2003 成员服务器：ip：192.168.228.5子网：255.255.255.0dns：192.168.228.200os：windows server 2003 r23、AD重命名1、建立新的DNS Active Directory集成区域（1）打开DNS管理控制台（2）右击正向查找区域，点New Zone(3)出现向导，点next（4）选择主要区域和在AD中存储此区域（5）选择T至AD林test.ad中的所有dns 服务器(6)输入新的域名it.ad(7)选择安全的动态更新（8）点完成，完成创建新的dns2、域控制器重命名域重名软件在Windows Server 2003光盘中，具体位置在x:\VALUEADD\MSFT\MGMT\DOMREN\目录中，rendom用来重命名的主要工具，gpfixup是用来修复组策略的工具。