AD安装和常用域环境策略配置(收藏)

AD域服务器配置使用手册目录•简介•安装AD域服务器•配置AD域服务器•使用AD域服务器•常见问题与解决方案简介Active Directory（简称AD）是由微软公司开发的一种目录服务，用于管理和组织网络中的用户、计算机、应用程序等资源。

AD域服务器是一个核心组件，用于集中管理和分发资源，提供统一的身份验证和访问控制。

本文档将指导您进行AD域服务器的安装、配置和使用，以便在企业网络中实现集中管理和统一认证。

在安装AD域服务器之前，您需要确保以下条件已满足：•一台运行Windows Server操作系统的服务器•具有管理员权限的帐户•确保网络连接正常按照以下步骤进行AD域服务器的安装：1.在服务器上运行Windows Server安装程序。

2.选择“自定义安装”选项，并选择“域控制器”角色。

3.指定域的名称，并设置管理员密码。

4.安装必要的依赖项和组件。

5.完成安装过程。

安装完成后，您需要进行AD域服务器的配置，以满足特定的网络需求。

以下是一些常见的AD域服务器配置任务：•添加组织单位（OU）和用户组：用于组织和管理用户和计算机资源。

•配置组策略：通过组策略设置实施安全和配置要求。

•创建用户账户和共享文件夹：用于授权和权限管理。

•配置安全认证和访问控制：用于保护网络资源免受未经授权的访问。

•配置域名服务器（DNS）和动态主机配置协议（DHCP）：用于自动分配IP地址和解析域名。

您可以通过Windows Server管理工具如Active Directory用户和计算机、组策略管理等进行以上配置任务。

使用AD域服务器一旦AD域服务器配置完成，您可以开始使用其提供的功能：•用户身份验证和访问控制：用户可以使用域帐户登录到域中的任何计算机，并访问授权的资源。

•统一管理：通过AD域服务器，您可以集中管理用户、计算机和应用程序的配置和访问权限。

•自动化管理：通过组策略和脚本，可以自动化管理和配置群组策略、软件安装等。

AD域安装详细步骤1.首先打开“开始”中“所有程序”，在其“管理工具”中找到“配置您的服务器向导”，向导中不仅仅可以配置AD域，还有其他服务可以在此安装（见图5），接下来便可以按照向导一步步安装AD域了。

图12.安装向导会提示您安装服务前所必须满足的一些要求，和需要做的准备。

图22.服务的安装需要有连接着的网络环境，请保证您的网络环境通畅。

图33.扫描完毕之后，会弹出配置选项，如果您不是很熟悉服务自定义安装，您可以选择“第一台服务器的典型配置”，如果您想定制安装请选择“自定义配置”或者点击“上一步”，再“下一步”。

图45.这里您会看到一台服务器可以安装的所有服务，我们这里需要安装AD域服务，所以点击“域控制器（Active Directory）”，然后下一步图56.然后向导会提示您所选择的安装对象，并进入预安装向导，下一步图6 7.进入AD安装向导，下一步图7 8.这里会提示你操作系统的兼容性问题图8 9.默认选择“新域的域控制器”，下一步图910.接下来依旧默认“在新林中的域”，下一步图1011.新的域名，你可以自定义，一般针对公司或者企业，填上其（名称.com）即可，名称要使用英文，下一步图1112.这时系统会显示上述域名对应的域NetBIOS名，默认就可以，当然你也可以自己修改填入新的名称图1213.接下来，想到会提示您存放数据库和日志文件夹的位置，通常为了让服务器获得最佳性能，这里最好要将这两个文件放到不同的物理磁盘上，如果系统目前只有一块硬盘，这时我需要新加一块硬盘，由于我在虚拟机做的实验，可以热添加，所以建议您在做AD域安装之前先添加一块硬盘，加入新硬盘后，使用新硬盘的步骤请看下一步图1314.安装好一块新的硬盘后，若是没被建立过分区，在使用系统内置的“磁盘管理”工具管理新磁盘时会提示“磁盘初始化和转换向导”，点击下一步图1415.这时向导会提示你选择初始化的磁盘，因为只添加了一块硬盘，故只有一个磁盘选项，如果您添加了多个磁盘，可以挑选，也可以多选。

AD域控制器如何安装配置
AD域控制器安装配置是怎么样的呢，那么AD域控制器如何安装配置的?下面是店铺收集整理的AD域控制器如何安装配置，希望对大家有帮助~~
AD域控制器安装配置的方法
工具/原料
Windows2003
方法/步骤
图1 所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:
Server IP:192.168.5.1
子网掩码:255.255.255.0
DNS:192.168.5.1
(因为我要把这台机器配置成DNS服务器)
打开虚拟机设置--选择CD/DVD，单击浏览找到Windows2003镜像
图2 打开开始菜单---运行--输入“dcpromo”单击“确定”
图3 会弹出窗口，选择默认“新域的域控制器”单击下一步
图4 选择默认“在新林中的域“ 单击下一步
图5 输入新域的DNS全名”“(这里根据你们公司实际域名情况输入)
图6 NetBLOS域名默认单击”下一步“
图7 指定放置 AD数据库文件和日志文件的路径，这里保存默认图8 SYSVOL文件夹保持默认路径单击下一步
图9 选择第二项”只与Windows2000或Windows server 2003
操作系统兼容“
图10 输入目录服务还原模式管理员密码
图11 相关设置摘要单击下一步
图12 此时正在安装，并DNS也会一起安装
图13 等待安装完成，后需要重启计算机，完成AD域控制器的安装
控制器如何安装配置。

AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略在域组策略下，viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步：将桌面背景图放到共享目录下第二步：创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：@echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /f exit第二步：创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。

ad域常用策略AD域（Active Directory）是一种由微软公司开发的用于管理网络资源的目录服务。

在企业和组织中，AD域常用策略被广泛应用于用户权限管理、安全策略、网络访问控制等方面，以确保网络的稳定运行和信息安全。

本文将介绍AD域常用策略的相关内容。

一、用户权限管理策略1. 密码策略：通过设置密码复杂度、密码过期时间等参数，确保用户的密码安全可靠。

密码复杂度要求用户使用包含大写字母、小写字母、数字和特殊字符的复杂密码，并设置密码最短使用期限和密码历史，禁止用户频繁更改密码。

2. 用户账户锁定策略：设置账户锁定阈值和锁定时间，当用户连续多次输入错误密码时，账户将被锁定一段时间，以防止密码暴力破解。

3. 用户授权策略：通过授权用户的组成员身份和所属组织单位，限制用户对资源的访问权限，确保数据的安全性和完整性。

二、安全策略1. 安全审核策略：启用安全审核策略，记录系统日志和安全事件，及时发现和处理安全漏洞和威胁。

2. 账户登录策略：限制用户登录计算机的方式和时间，设置登录失败提示信息，以防止非法用户的登录访问。

3. 文件和文件夹权限策略：通过设置文件和文件夹的权限，保护重要数据不被未授权的用户访问和修改。

三、网络访问控制策略1. 防火墙策略：设置防火墙规则，限制不同网络段之间的通信，阻止潜在的网络攻击和入侵。

2. 网络访问策略：通过设置网络访问规则和权限，限制特定用户或用户组对特定网络资源的访问，确保网络资源的安全和合规性。

四、软件安装与更新策略1. 软件安装策略：通过AD域控制器的软件分发功能，实现远程软件安装和更新，确保企业中所有计算机的软件版本一致性和安全性。

2. Windows更新策略：配置Windows更新设置，自动下载和安装操作系统和应用程序的更新补丁，及时修复安全漏洞，提高系统的稳定性和安全性。

五、域控制器策略1. 域控制器安全策略：加强对域控制器的安全管理，设置域控制器的安全审计策略、密码策略和账户锁定策略，提高域控制器的安全性。

本文档演示的系统采用Windows 2008企业版。

一安装AD域服务器1.1 安装AD域服务1.更改本机IP的DNS为自己。

2.更改VM连接方式（用虚拟机的情况下，如果不是则直接跳过这一步），选择VM菜单下的Settings选项，点击Hardware中的Network Adapter，进行修改连接模式。

3.单击“开始”，指向“管理工具”，然后单击“服务器管理器”（或者直接点击开始旁边的快捷菜单）。

或者4.在“角色摘要”部分中，单击“添加角色”。

5.在“选择服务器角色”页上，选中“Activ e Directory 域服务”复选框。

点击“下一步”完成安装。

详细的安装过程见图。

1.2 安装AD域1.安装AD域前，必须要给用户设置密码，否则将无法正常进行安装，为用户设置密码步骤：开始→控制面板→用户帐号→设置密码。

设置密码后需要注销该用户，使其生效。

2.在开始->运行中输入dcpromo命令，点击确定按钮。

3.开始安装AD域服务器，详细过程见截图。

点击下一步时，如果提示如下图错误，则需要在命令行中输入：net user 用户名密码 /passwordreq:yes。

根据实际情况来选择，不一定就是越高越好，太高有时候会导致某些机器无法加入该域，权限低可以升级到高的权限，这里就先以2008为示范。

这里一定要勾选DNS服务器！选择是。

选择是。

这里可以改变存储位置，不改变也可以。

密码一定要记住哦！可以勾选完成后重新启动，让其自动重启，否则需要手动重启。

二PC如何加入已创建AD域2.1 在AD域服务器添加用户具体做法如下：1.打开AD用户和计算机2.在accounting目录下新建一个用户3.在弹出的添加用户界面输入相关信息单击“下一步”输入密码，可勾选“用户下次登录时必须修改密码”，也可不勾选，单击“下一步”单击“完成”添加用户成功2.2 将测试机加入到AD域控制器中具体做法如下：1.单击“我的电脑－属性－计算机名－更改”，弹出如下:2.勾选“隶属于－域”，输入正确的域名（目前的AD域名为）3.单击“确定”，将弹出一个界面，要求输入有权限加入该域的用户名4.输入步骤1中添加的用户名、密码、域名5.单击“确定”等待一段时间后，若加入成功，将弹出“欢迎加入8btest的提示信息”。

AD域搭建1.添加用户和角色2.默认下一步3.安装类型选择“基于角色或基于功能的安装”，下一步4.选择服务器5.选择域服务6.在选择功能界面，不需要选择任何功能，直接下一步7.确认已经选择所有需要安装的组件后，点击安装8.点击关闭9.提升为域控制器10.添加新林（此林根域名不要与对外服务器的DNS名称相同）11.选择林功能级别，域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器角色第一台域控制器不可以是只读域控制器（RODC）设置目录还原密码（目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码）12.出现此警告无需理会，下一步13.系统会自动创建一个netbios名称14.数据库文件夹：用来存储AD数据库日志文件文件夹：用来存储AD的更改记录，此记录可以用来修复AD数据库SYSVOL文件夹：用来存储域共享文件（例如组策略）（如果计算机内有多个硬盘，建议将数据库与日志文件夹分别放置在不同的硬盘内，分两个硬盘可以提供运行效率，而且分开存储可以避免两份数据同时出现问题，以提高修复AD的能力，或只与操作系统分区分开就可以）15.顺利通过检查，直接安装若提示无法新建域，因本地Administrator帐户密码不符合要求执行cmd—net user administrator /password req:yes16.完成安装后重启17.检查DNS服务器内的记录是否完备域控会将自己扮演的角色注册到DNS服务器内，以便让其他计算机能够通过DNS 服务器来找到域控。

因此先检查DNS服务器内是否已经存在这些记录，需要用域管理员帐户来登录检查主机记录选择管理工具—DNS18.默认会有一个的区域，主机记录表示域控已经正确的将其主机名与ip地址注册到DNS服务器内。

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置）【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验步骤】一、安装活动目录1）新建DC的角色。

在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如: 或者或者之类的DNS全名。

按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。

NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。

一为什么需要域？此文档转自网上，希望能对需要的朋友有所帮助！对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Directory 系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

常用AD组策略设置常用AD组策略设置利用Windows活动目录(AD)组策略，可以比较方便的对域中所有Windows客户端的桌面、屏幕保护、本地管理员密码、可信站点等等诸多元素，进行统一设置。

根据需要，有些组策略可以在整个域里实施，有的可以在域内不同的组织单位(OU)中单独实施。

相应的操作也就是在域或OU的属性页中，增加、编辑和应用组策略。

下面是实际操作演示：AD域控制器：Windows Server 2003/2008以域管理员权限运行“Active Directory 用户和计算机”1. 设置屏保程序打开“”域下组织单位“北京”的属性(如下图)：可看到已经启用了一个名为“bjboshi”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“计算机配置”－“Windows设置”－“脚本”中，打开“启动”的属性(如下图)，增加一个名为setscr.bat的脚本。

脚本存放路径为域控制器的C:\Windows\SYSVOL\sysvol\\Policies\{5F158A 23-FFAA-4469-BAED-FE6D46963630}\Ma chine\Scripts\Startup该setscr.bat脚本的内容是：copy bssec.scr c:\windows\system32即每次系统启动时，将域控制器上的屏保文件bssec.scr复制到客户端电脑的c:\windows\system32路径下。

作用就是分发和同步所有客户端电脑的屏保文件。

下面进行关于客户端屏保的策略设置。

打开“”域的属性(如下图)：可看到已经启用了一个名为“Default Domain Policy”的组策略，选中它，点击“编辑”按钮，进入组策略对象编辑器。

在“用户配置”－“管理模板”－“控制面板”－“显示”，启用右侧的“屏幕保护程序”，启用“可执行的屏幕保护程序的名称”，填入屏幕保护文件名：bssec.scr，(如下图)：同时启用右侧的“密码保护屏幕保护程序”，设置屏保超时(如下图)：屏保设置完毕。

AD安装和常用域环境策略配置AD（Active Directory）是一种用于管理域网络中的用户、计算机和其他网络资源的软件服务。

安装AD并配置常用的域环境策略是企业网络管理中非常重要的一环。

以下是一份AD安装和常用域环境策略配置的指南，以帮助管理员了解如何进行操作。

一、AD安装1.准备工作首先，确认服务器满足以下基本要求：Windows Server操作系统、4GB以上RAM、100GB以上磁盘空间。

接着，更新服务器操作系统，包括安装最新的Service Packs和补丁程序。

2.安装AD角色登录服务器，打开服务器管理器，选择“添加角色和功能”，按照向导选择“基于角色或基于功能的安装”，选择当前服务器，再选择“Active Directory域服务”，点击“安装”。

完成安装后，点击“完成”。

3.配置域环境打开Windows PowerShell或命令提示符，输入“DCPromo”命令，按照向导参考以下步骤进行配置：a)在“域控制器类型”对话框中，选择“创建一个新的域树”。

b)在“完全限定的名字”对话框中，输入新域的名称。

c)在“域功能级别”对话框中，选择适当的功能级别。

d)在“附加的域控制器选项”对话框中，选择适当的选项。

e)在“布置域控制器账户”对话框中，输入管理员凭据。

f)在“证书服务”对话框中，根据需求选择是否安装证书服务。

g)在“附加的选项”对话框中，选择适当的选项。

h)配置DNS服务器，在“DNS服务器选项”对话框中选择域名系统配置选项。

i)在“附加的域控制器选项”对话框中，输入一些全局目录服务柜分区的位置。

j)在“安装配置完成”对话框中，确认设置并点击“完成”完成安装。

4. 开启Active Directory用户和计算机安装完成后，打开“管理工具”，选择“Active Directory用户和计算机”来管理用户和计算机。

二、常用域环境策略配置1.密码策略配置a)打开“组策略管理”，右键点击“默认域策略”。

AD安装的情况以及配置方法情况一：单域，主域控制器设备：两台win2k server,配置如下：1．计算机名：zky-01 IP:192.168.10.47 netmask:255.255.255.0 gw:192.168.10.12. 计算机名：zky--02 IP:192.168.10.48 netmask:255.255.255.0 gw:192.168.10.1 目的：zky-01为主域控制器（primary domain server），zky--02为成员服务器(member server)DNS可以在安装AD的前中后安装，本例是在安装前配置的.1.安装DNS在zky-01上打开DNS配置窗口，在此前要先把原来的DNS卸除干净，包括删除system32下的DNS 目录，然后再安装服务。

1）.创建正向解析区域（forward lookup zone）,为.反向解析区域(reverse lookup zone),网络号：192.168.102). 设置两个区域的属性：要注意以下几点：先打开区域的属性①进入“属性”的“常规”选项允许两个区域为动态更新状态，（dynamic update）选择”是”图1②打开“起始授权机构(SOA)”，在“主服务器”后加上后缀(primary dns suffix)为,也就是在zky-01后加上,其他设置根据自己的需要进行操作，如下图所示：图2③在“名称服务器”选项中，“编辑”服务器名zky-01,再其后添加，完成操作后，会出现下图3所示：图3④就是要打开反向区域,设置和正向区域是一样的，不再獒述。

至此，DNS的配置基本可以。

4)在“本地连接”属性中让DNS指向本机地址192.168.10.475)restart;这是必需的。

6）重启后，在区域中会有A记录，反向区域中有PTR记录，这说明DNS配置正确。

2.安装AD“运行”→dcpromo,选择安装新域的域控制器，新树，新森林。

AD域服务器详细搭建AD (Active Directory) 域服务器是一个基于Windows服务器的网络服务，它提供集中管理和控制网络用户、计算机和其他网络资源的功能。

以下是AD域服务器详细搭建的步骤和注意事项。

步骤1：规划和设计1.确定域的名称和结构：选择一个域名，确保其符合DNS命名约定。

设计域的结构，包括子域和组织单元（OU）的层次结构。

2.确定域控制器的数量和位置：根据组织的规模和地理分布，确定需要多少个域控制器，并计划将其部署在哪些位置。

3.确定安全策略和权限：根据组织的安全要求，确定域中的安全策略和权限设置。

4. 准备硬件和软件资源：确保有足够的硬件资源（服务器和存储）来支持域控制器。

确保每台服务器都安装了Windows Server操作系统。

步骤2：安装和配置域控制器1. 安装Windows Server操作系统：在每台服务器上安装Windows Server操作系统。

根据实际情况选择版本，如Windows Server 20242. 升级操作系统：如果服务器上已经安装了较旧版本的Windows Server操作系统，可以选择执行升级。

3. 添加“Active Directory域服务”角色：在服务器管理器中添加“Active Directory域服务”角色。

按照向导进行配置。

4.创建新域或加入现有域：可以创建新的域或加入现有的域。

在创建新域时，提供域名和域控制器名称。

在加入现有域时，需要提供域名和域管理员凭据。

5.配置域设置：根据设计规划中的决策，配置域设置，如域名系统（DNS）设置、林/树/子域设置等。

6.完成安装和配置：根据向导完成安装和配置过程。

等待域控制器在网络上复制和同步数据。

步骤3：管理域控制器和域1. 创建和管理用户账户：使用Active Directory用户和计算机工具创建和管理用户账户。

指定用户的属性、密码策略等。

2.创建和管理组：创建和管理组，以便对用户账户进行分组和管理。

为何不能交‎互式登陆？前一段时间‎做了一个w‎i n200‎0的终端网‎，采用win‎2000 appli‎c atio‎n serve‎r终端服务‎模式+citri‎x(sp3)，客户机上出‎现登陆窗口‎，以域用户账‎号登陆便会‎出现提示:"计算机不允‎许交互式登‎陆",而用adm‎i nist‎r ator‎登陆却没有‎问题，开始有点呐‎闷，这个问题怎‎么同NT或‎w in20‎00的非本‎地账号登陆‎域服务器出‎现的问题一‎样，后来查了一‎查资料，顿时明白过‎来。

在这里我必‎须讲一讲N‎T和win‎2000的‎身份验证机‎制。

NT和wi‎n2000‎针对域用户‎账号登陆的‎验证分别是‎通过NTL‎M和Ker‎b eros‎协议,而对本地账‎号登陆的验‎证是MSV‎1_0协议‎，用户通过提‎供登陆信息‎（如用户名和‎密码）,服务器将这‎些信息发送‎到服务器上‎的验证机构‎，验证机构通‎过比较储存‎在本地的数‎据库文件(SAM)来判断此用‎户的身份真‎实性，如果通过，就会向用户‎发送一个令‎牌，此访问令牌‎即toke‎n,又称为SI‎D.在原来的N‎T模式下,由于域之间‎的信任关系‎是单向的，不可传递的‎，所以一个域‎用户要获得‎另一个域的‎资源访问权‎限，必须手工建‎立信任关系‎，授权该用户‎的访问权限‎。

而在现在的‎w in20‎00模式下‎,每个用户的‎t oken‎是SID+域ID,即GUID‎,在一个森林‎中是永远不‎变的，他是由每域‎的RID 主‎机（相对关系主‎机）来分配的。

SID在每‎个域中是独‎一无二的，但在其他域‎中也可能出‎现同样的S‎I D，但是由于域‎I D的不同‎，所以二者的‎G UID就‎不可能相同‎。

但这必须建‎立在Ker‎b eros‎协议的基础‎上，kerbe‎r os 提供‎了域之间可‎传递的，双向的信任‎关系，即A信任B‎，B信任A；A信任B，B信任C，A信任C。

AD域用户常用组策略设置通过AD共享创建域用户个人共享数据盘第一步：创建共享文件夹-userdisk第二步：创建用户登陆时，在共享userdisk目录下个人文件夹组策略在域组策略下，viewuser组下创建GPO域组策略-用户配置-首选项-Windows设置-文件夹\\10.10.0.66\viewdata\userdisk\%LogonUser%第二步：创建用户登陆时，挂载共享userdisk目录下个人文件夹组策略域组策略-用户配置-首选项-Windows设置-驱动器映射\\10.10.0.66\viewdata\userdisk\%username%设置域用户统一桌面背景图第一步：将桌面背景图放到共享目录下第二步：创建用户登录后修改桌面背景组策略域组策略-用户配置-策略-管理模板-桌面-桌面-启用Active Desktop域组策略-用户配置-策略-管理模板-桌面-桌面-桌面壁纸启用\\10.10.0.66\viewdata\Desktop-Wallpaper.jpg设置用户登陆后自动修改时间格式为yyyy-mm-dd第一步：做修改时间格式为yyyy-mm-dd批处理新建记事本文件data-扩展名改成bat输入：echo off & titlereg add "HKCU\Control Panel\International" /v sShortDate /t REG_SZ /d yyyy-MM-dd /fexit第二步：创建用户登陆时自动运行批处理组策略域组策略-用户配置-策略-Windows设置双击显示文件夹-将做好的data.bat文件放到该文件夹下已经要放在这个组策略对应User\Scripts\Logon再点击添加点击浏览。

AD域用户常用组策略设置在Active Directory（AD）域环境中，组策略是用于管理和配置用户和计算机的集中策略工具。

组策略允许管理员通过在域中创建和应用组策略对象（GPOs）来定义用户和计算机的设置。

以下是AD域用户常用的组策略设置：1.密码策略：通过密码策略，管理员可以设置密码的复杂性要求、密码过期时间以及密码历史保留的数量。

这有助于增加密码的安全性。

2.帐户锁定策略：通过帐户锁定策略，管理员可以配置登录失败尝试的次数和锁定持续时间。

这有助于防止恶意用户通过暴力破解密码来获取访问权限。

3.账户密码策略：管理员可以配置密码重置和更改密码的要求。

这包括要求用户更改密码的频率、提供密码重置选项和密码复杂性要求。

4. 安全选项：管理员可以配置安全选项，包括启用或禁用自动管理员登录、禁用Guest帐户、强制使用加密方式进行网络通信等。

5.审核策略：通过审核策略，管理员可以配置要审计的事件类型以及要记录的日志信息。

这有助于保护系统免受安全威胁并进行安全审计。

6.应用程序控制：管理员可以配置允许或拒绝运行的应用程序列表，以帮助防止使用未经授权的应用程序。

7.注册表设置：管理员可以配置注册表设置，以控制计算机上注册表项的访问权限和配置。

8.文件和文件夹权限：管理员可以使用组策略设置来定义共享文件和文件夹的权限，确保只有经过授权的用户可以访问和修改文件。

9.桌面设置：管理员可以通过组策略设置来配置桌面背景、屏幕保护程序、任务栏、桌面图标等，以统一组织内工作站的外观和体验。

10.网络设置：管理员可以使用组策略设置来配置网络接口卡、防火墙、代理服务器等网络设置，以保护网络安全并优化网络性能。

11.程序安装和升级：管理员可以使用组策略设置来自动安装和升级特定的应用程序，以减轻用户手动操作的负担。

12.远程桌面设置：管理员可以配置远程桌面访问权限，限制哪些用户可以远程访问计算机。

13. Internet Explorer设置：管理员可以使用组策略设置来配置Internet Explorer的安全性、高级选项和首选项，以确保一致的浏览器体验。

安装与配置Active Directory/china/technet/prodtechnol/windowsserver2003/technologi es/directory/default.mspx1、实验目的让学生掌握目录服务知识。

2、实验环境多台装有Windows 2000 Server的计算机。

3、相关理论活动目录是一种目录服务，它存储有关网络对象的信息，例如，用户、组和计算机账户、共享资源和打印机等，并使管理员和用户可以方便地查找和使用网络信息。

活动目录的应用起源于Windows NT 4.0，在Windows 2000 Server中得到进一步的应用和发展，具有可扩展性和可调整性，并将结构化数据存储作为目录信息逻辑和分层组织的基础。

活动目录的优点：(1)基于策略的管理(2)扩展性(3)可调整性(4)信息复制(5)与DNS的集成(6)灵活的查询(7)信息安全性4、实验内容（1）在安装Active Directory前首先确定DNS服务正常工作，下面来安装在根域为的第一台域控制器。

（2）运行Active Directory安装向导将Windows 2000 Server计算机为域控制器创建一个新域或者向现有的域添加其他域控制器。

5、实验步骤安装活动目录的具体操作步骤如下：(1) 执行“开始”→“程序”→“管理工具”→“配置服务器”命令，打开“Windows 2000配置服务器”对话框，如下图所示。

注释：安装完Windows 2000 Server后，每次启动计算机，系统都会自动打开“Windows 2000配置服务器”对话框。

(2) 在左边的列表中单击Active Directory(活动目录)选项，并将右边的滚动条拖动到底部，使对话框如下图所示。

(3) 单击“开始Active Directory向导”选项，打开“欢迎使用Active Directory 安装向导”对话框。

该对话框显示了Active Directory安装向导的简单欢迎信息。