域控制器配置说明
首先我们要理解域环境的概念
将网络中多台计算机逻辑上组织到一起，进行集中管理，这种区别于工作组的逻辑环境叫做域
域是组织与存储资源的核心管理单元
它优于工作组的地方：
集中管理
便捷的网络资源访问
用户一次登录就可访问整个网络资源
网络资源主要包含用户帐户、组、共享文件夹、打印机等
可扩展性
所以一般就是公司pc机大于30台左右，一般就建议采用域结构：
一：域控制器的搭建：
1.操作系统的要求：
安装者必须具有本地管理员权限
操作系统版本必须满足条件（Windows Server 2003除Web版外都满足）
本地磁盘至少有一个分区是NTFS文件系统
有TCP/IP设置（IP地址、子网掩码等）
有相应的DNS服务器支持
有足够的可用空间
2.操作系统的安装：
按Enter键
创建分区：
格式化分区，一般用NTFS（快）区别，此选项为不检测磁盘。

系统正在安装。

3.域环境的搭建：
启动安装向导，使用管理您的服务器向导
使用命令DCPROMO
（推荐使用第二种方法）注意，安装的时候一定要有静态的IP地址和DNS。

安装向导：
第一项为，新的域控制器：也就是在域林中新建一个域控制器。

第二项为，现有域控制器的额外控制器，即为现有域控制器的一个备份。

实现很好冗余
选择在新林中的域：解释上面很详细。

DNS的建立，这步为最重要的，安装的时候请将2003的安装光盘放入到光驱中去，因为DNS的安装必须读取I386里面的文件：
这就是必须要个NTFS分区的原因：
对于新手，我们建议算在第二项。

安装域，等待········完成之后重启就OK了
重启之后，我没就可以看到管理工具里面多了活动目录和DNS、域安全策略等，说明域控制器已经搭建完成！
4.域控制器的管理。

1.组织单位的管理
这是域控制器默认的几个OU，及为管理单元，我没可以手动新建！----右击---新建----组织单位。

（组织单位相当于一个容器，可以多容器内的用户进行统一设置，也可以实现OU委派等）
2．组的管理，组，就是用于赋予权限的安全组织，一般控制文件的权限就用组来完成，可以右击一个组织单元，也可右击oleship.con新建，我们可以做个规划，新建一个gorup的组织单位，然后在里面再新建组：
说明：作用域是指组的作用范围，当处于多域环境中就尤为重要了，组类型，安全组，主要用于控制权限，而通讯组主要用于exchange发送邮件。

通用组，在域版本为2000的混合模式是不可用的，需右击提升域的级别。

此操作是不可逆的！
3．用户的新建
用户，为域中最小的单元，域控制器就是统一动用户进行管理的！右击组织单元-------新建------用户！
如上图所示，姓名为用户的中文名，登录名为:zhangsan
域环境提供了几种密码的方案供管理员选择
4.漫游配置文件：
作用：就像QQ漫游配置文件一样。

也就是将用户的桌面漫游到服务器上，这样就以后不管用户在域中的哪个pc上登陆桌面将一致。

做法：
右击用户------》属性--------》配置文件--------》
注意文件路劲为\\服务器ip\共享文件名\%username% (需在服务器上新建一个文件夹共享出来，用于放置配置文件)
然后客户机上的配置：
右击我的电脑--------》属性----------》高级-------------》用户配置文件-----》设置
将需要的左面复制给用户！
4.策略管理
策略主要是能更规范的来控制域中的用户，但到集中管理的效果，注意几点
✧策略只对容器生效，如域，组织单位，单组不能做策略
✧单计算机策略域用户策略冲突时，计算机策略优先生效
✧组策略应用顺序为LSDOU原则，即为本地---站点---域---组织单位，当发生冲突时小容
器生效！
例如我新建一个统一修改桌面的策略，应用到shichangbu:
右击市场部----属性----组策略-----新建
编辑：调出组策略编辑器
这样应用下去之后，所有的市场部的用户桌面全部为指定桌面！也可安装gpmc.msi工具统一的管理：
5.DNS的配置！
打开DNS管理器
DNS可以同搭建在域控制器上，也可独立搭建！下面以公司的环境来说明
DNS主要是用于域名解析的，将域名解析成IP，或者将IP解析成域名，公司是内网独立的DNS控制器，然后成员机将DNS指向域控制器，再在域控制的DNS上做个转发，转发到路由器上，路由器将其请求转发到公网的DNS上去解析：
正向查找区域：即提供从域名解析到IP的服务，上面有DNS和域名一一对应的管理
发向查找区域：主要提供将IP解析到域名的服务，主要发生在13台根域上
当然也可以在创建域控制器上的时候同事创建DNS，也可最后单独来创建，这里已经创建好了，就不再做详细说明了！
做转发：
按照如上操作，我们的域控制已经搭建完成了
5：客户机加入到域
注意中成员账号只有10将其他机器将入到域中的机会，管理员无限次，当要将域中机器退出域时，只有管理才能实现！
在客户机上：右击我的电脑-----------》属性------------》计算机名-----------》更改-----》域
重启后此计算机将为域中成员！。