一個(gè)典型局域網(wǎng)域控制器安裝配置實(shí)例五一期間應(yīng)朋友要求幫忙去安裝他公司的網(wǎng)絡(luò)，網(wǎng)絡(luò)不大，不過(guò)基本上包括了通過(guò)網(wǎng)絡(luò)安裝客戶機(jī)、域結(jié)構(gòu)建立、組策略設(shè)計(jì)和網(wǎng)絡(luò)殺毒等等，其他網(wǎng)絡(luò)都可以在此基礎(chǔ)上進(jìn)行擴(kuò)充，希望對(duì)

一個(gè)典型局域網(wǎng)域控制器安裝配置實(shí)例

五一期間應(yīng)朋友要求幫忙去安裝他公司的網(wǎng)絡(luò)，網(wǎng)絡(luò)不大，不過(guò)基本上包括了通過(guò)網(wǎng)絡(luò)安裝客戶機(jī)、域結(jié)構(gòu)建立、組策略設(shè)計(jì)和網(wǎng)絡(luò)殺毒等等，其他網(wǎng)絡(luò)都可以在此基礎(chǔ)上進(jìn)行擴(kuò)充，希望對(duì)大家有所幫助。

先說(shuō)說(shuō)基本情況：朋友的公司是一個(gè)合資工廠，現(xiàn)在在籌建期間，他就屬于總管一類的角色，除了技術(shù)，雜七雜八的事都?xì)w他管?，F(xiàn)在的公司電腦是不可少的，大約60多臺(tái)。很可氣的一點(diǎn)，公司各部門(mén)各工種人員配置非常齊全，可老板不愿招IT 支持人員。所以他要求盡量減少員工對(duì)電腦進(jìn)行更改的機(jī)率，并都能順利的互相訪問(wèn)、打印文件，還要上網(wǎng)（唉，這是他為自己準(zhǔn)備的）。

先做吧??

注：請(qǐng)不要在意文中的數(shù)字，我想數(shù)目不能決定什么，關(guān)鍵是設(shè)計(jì)思路和實(shí)現(xiàn)方法）

一、域的組建1. 服務(wù)器配置因?yàn)橹挥斜镜剞k公，所以只需要單域就夠了。服務(wù)器是三臺(tái)IBM 服務(wù)器，*作系統(tǒng)是WINDOWS 2000 SERVER版（也不一定要三臺(tái)，實(shí)際上一臺(tái)也能完成這些服務(wù)，至于用不用高級(jí)服務(wù)器版隨你便了）。

SERVER （192.168.0.1）：主域控制器，域名final.com ，IP192.168.0.1；并配置為主DNS 服務(wù)器（轉(zhuǎn)發(fā)DNS 請(qǐng)求到ISP 的DNS 服務(wù)器IP ，這樣當(dāng)客戶機(jī)的DNS 指向SERVER 時(shí)不僅可以正常使用局域網(wǎng)也可以訪問(wèn)Internet ）；安裝WINS 服務(wù)。

SERVER2（192.168.0.2）：備份域控制器，DHCP 服務(wù)器，建立作用域192.168.0.0/24，提供192.168.0.10~192.168.0.100（具體提供多少I(mǎi)P 地址請(qǐng)根據(jù)需要自定，關(guān)鍵是請(qǐng)留出一部分IP 給服務(wù)器用）；配置作用域選項(xiàng)，其中網(wǎng)關(guān)為192.168.0.254（寬帶共享路由器），DNS 、WINS 服務(wù)器地址為192.168.0.1. SERVER3（192.168.0.3）：備用。

如果為了穩(wěn)定，可以在SERVER2上配置為DNS 為主DNS 的備份區(qū)域及GC ，這樣即使SERVER 因調(diào)試重啟或故障暫時(shí)不能使用時(shí)保證客戶機(jī)仍可正常使用網(wǎng)絡(luò)。

請(qǐng)不要問(wèn)我如何安裝DC 、DNS 、DHCP 、WINS 服務(wù)，微軟的設(shè)計(jì)簡(jiǎn)直就是*瓜化的安裝。

2.OU 的建立公司有人事部、行政部、財(cái)務(wù)部、工程部、市場(chǎng)部五個(gè)部門(mén)（虛擬的）。

為了管理及配置策略方便，建立以下OU 層級(jí)。

建立一級(jí)OU 名為“FINAL ”，“FINAL ”下建三個(gè)二級(jí)OU ，分別為“管理員”、“公司領(lǐng)導(dǎo)”、“部門(mén)”。在“部門(mén)”下按部門(mén)名稱建立五個(gè)部門(mén)OU. 在每個(gè)二級(jí)OU 和**OU下分別建立安全組和用戶，并把用戶加入相應(yīng)的安全組。

用戶帳號(hào)建立原則：以公司花名冊(cè)為準(zhǔn)，用員工工號(hào)為登錄名建立用戶帳號(hào)，建立后移動(dòng)到相應(yīng)的部門(mén)OU ，并加入相應(yīng)的安全組，員工的帳號(hào)均為Domain Users組。

如在“管理員”O(jiān)U 里建立“管理組”，建立用戶“000”，并把用戶“000”加入安全組“管理組”；在OU “部門(mén)”－“人事部”下建立用戶“004”，加入安全組“人事組”。

建立用戶帳號(hào)的時(shí)候請(qǐng)完整輸入用戶的姓名資料，以便日后若安裝Exchange 時(shí)使用。

請(qǐng)注意：這時(shí)OU 里并沒(méi)有計(jì)算機(jī)帳號(hào)，因?yàn)樵谠O(shè)計(jì)OU 時(shí)客戶機(jī)并沒(méi)有安裝，請(qǐng)看后面的客戶機(jī)安裝。

3. 組策略及網(wǎng)絡(luò)使用按以上設(shè)計(jì)的OU 層級(jí)，可以在公司、管理層次、功能部門(mén)分別設(shè)計(jì)相應(yīng)的組策略。以下舉兩個(gè)實(shí)例以供參考。

例一：限制客戶機(jī)登錄用戶客戶機(jī)加入域后（客戶機(jī)的安裝及配置見(jiàn)后），默認(rèn)情況下任何一個(gè)域帳號(hào)可以在任何一臺(tái)客戶機(jī)登錄到域使用該臺(tái)客戶機(jī)?？晌遗笥压镜娜司谷徊唤邮苓@個(gè)觀點(diǎn)，說(shuō)這樣子豈不是每個(gè)人的電腦其他人都可以打開(kāi)了，不安全，要給每臺(tái)電腦再加上CMOS 開(kāi)機(jī)密碼。當(dāng)時(shí)我氣的差點(diǎn)兒六孔噴血而亡（當(dāng)時(shí)正在吃KFC ，嘴里不會(huì)吐出來(lái)的）。

在我?guī)追托闹v解，告訴他們“電腦應(yīng)做為公司一種共享的辦公設(shè)備，而不是某個(gè)單用的電腦。任何一個(gè)連入網(wǎng)絡(luò)的設(shè)備（電腦、打印機(jī)）都是網(wǎng)絡(luò)的一部分，都是公司的資源”。終于達(dá)成以下協(xié)議，每個(gè)部門(mén)的人只能登錄該部門(mén)的電腦。這一點(diǎn)從一定程度上增加了客戶機(jī)的安全性。

在**OU，如“人事部”上創(chuàng)建組策略，在“計(jì)算機(jī)設(shè)置”－“本地策略”－“用戶權(quán)利指派”－“在本地登錄”，設(shè)置Domain Admin 組和“人事組”有效，這樣只有管理員和人事部的人才能登錄人事部的電腦了。其他部門(mén)分別添加相應(yīng)組策略。

例二：網(wǎng)絡(luò)共享的設(shè)計(jì)及文件夾重定向由于給用戶的是Domain User的權(quán)限，所以用戶不能共享本地的文件，那么如何解決用戶文件共享的需要呢？這就要求在服務(wù)器上有管理員統(tǒng)一設(shè)置了。

服務(wù)器上的共享：在SERVER3上建立一個(gè)文件夾“DA TA ”，并完全共享，共享名為默認(rèn)的“DA TA ”。在“DA TA ”文件夾下建立“SHARE DOCUENT”文件夾，在此文件夾建立每個(gè)部門(mén)的文件夾并設(shè)置NTFS 權(quán)限。

其中DA TA ，Share document文件夾設(shè)置Domain Admin組，SYSTEM 完全控制，Everyone 只讀；部門(mén)文件夾的NTFS 權(quán)限設(shè)置為Domain admin 組和本部門(mén)安全組有完全控制權(quán)限，Everyone 只讀。

用戶帳號(hào)配置：建立用戶帳號(hào)時(shí)，為用戶配置“主文件夾”，連接到服務(wù)器上的本部門(mén)文件夾。

圖中的部門(mén)文件夾路徑應(yīng)為完整的UNC ，如 “server3datashare document人事部”。

這樣設(shè)置當(dāng)用戶登錄后在“我的電腦”里會(huì)多一個(gè)網(wǎng)絡(luò)映射Z 盤(pán)，映射到用戶本部門(mén)共享文件夾，用戶可以把需要共享的文件拷貝到Z 盤(pán)，其他用戶就可以通過(guò)共享訪問(wèn)。

放在共享里的文件，本部門(mén)人的有完全控制權(quán)限，其他部門(mén)人具有只讀權(quán)限。用戶可以進(jìn)一步在本部門(mén)文件夾內(nèi)建立自己的文件夾，并設(shè)置更嚴(yán)格的權(quán)限。有些用戶可能沒(méi)有固定的電腦，個(gè)人文件放在部門(mén)共享文件夾里會(huì)有一些問(wèn)題出現(xiàn)。一是安全性有待進(jìn)一步設(shè)計(jì)，二是用戶對(duì)共享不是很熟悉，多數(shù)人不會(huì)去設(shè)置文件夾安全屬性。考慮到這一點(diǎn)，再加上文件存放的方便性，我做了文件夾重定向。

在一級(jí)OU FINAL 上添加組策略，這是為了保證域內(nèi)所有的用戶的My Document文件夾都存放到服務(wù)器上。

組策略－用戶配置－Windows 設(shè)置－文件夾重定向，設(shè)置My Document 屬性，設(shè)置" 基本-將每個(gè)人的文件夾定向到同一位置" ，" 目錄文件夾位置" 為file://Server3/Data/User Document/username.以上的設(shè)計(jì)完成了兩個(gè)通過(guò)網(wǎng)絡(luò)共享方案：（1）存放在My Document 里的文件，用戶無(wú)論在哪臺(tái)客戶機(jī)登錄時(shí)均可正常訪問(wèn)，且只有自己可以訪問(wèn)；（2）各部門(mén)可在服務(wù)器上共享文件，且只有本部門(mén)有修改權(quán)限。

還可以在服務(wù)器上再建立一個(gè)文件夾，讓所有用戶均可以任意讀寫(xiě)的權(quán)限。

再提一點(diǎn)，為了防止用戶在服務(wù)器上存放垃圾文件并提高服務(wù)器的利用率，在Server3上啟用磁盤(pán)限額，每個(gè)用戶默認(rèn)限制使用100M. 這里的100M 是用戶存放在My Document 和部門(mén)共享文件夾里的文件總和。

組策略的設(shè)計(jì)關(guān)鍵在于你有什么需求，有了需求再去設(shè)計(jì)該用什么策略來(lái)完成它。

首先，要確定所需策略設(shè)置的類型。策略設(shè)置通常劃分為以下幾部分：

l 安全設(shè)置。

l 要部署的應(yīng)用程序包。

l 計(jì)算機(jī)系統(tǒng)設(shè)置。

l 用戶環(huán)境設(shè)置。

l 特定于應(yīng)用程序的設(shè)置。