安装部署域控制器本软件系统的主要技术实现手段是通过网络把远端服务器上的映像文件完全仿真成本地磁盘。

在这个仿真的“本地磁盘”上同样可以引导和启动操作系统以及运行其他软件，并保持原貌不做任何的更改。

虚拟硬盘的加载与真实硬盘处于同一层面，因而不存在任何兼容性问题。

若客户端系统使用的是微软支持域功能的桌面操作系统，则同样可以完成加域操作，并和有盘系统一样接受活动目录（ActiveDirectory）的管理以及进行其他相关应用。

1.ActiveDirectory相关a)什么是活动目录（ActiveDirectory）？活动目录是一种目录服务，目录服务包括三方面的功能：组织网络中的资源，提供对资源的管理，对资源的访问控制。

活动目录服务通过将网络中各种资源的信息保存到一个数据库中来为网络中的用户和管理员提供对这些资源的访问，管理和控制，这个数据库叫做活动目录数据库。

b)关于目录与目录服务要想理解什么是活动目录（ActiveDirectory），必须先理解什么是目录（Directory）和目录服务（DirectoryService）。

在计算机中使用的“目录”和现实生活中使用的“目录”很相似，都是存储以某种方式相关联的信息集。

如通讯录存储用户名称和相应的电话号码，还可能包括关于该用户的的地址或其他信息。

目录服务就是用户通过其提供的服务来使用目录中的信息。

用于识别网络中的各种资源，使用户和应用程序能够访问这些资源，并将这些资源集中存储，使用和管理这些资源的全部信息，因而简化了查找和管理这些资源的过程。

c)如何实现活动目录服务？域是活动目录的一种实现形式，也是活动目录最核心的管理单位和复制单位。

一个域由域控制器和成员计算机及用户组成。

域控制器（DomainControler）就是安装了活动目录服务的一台计算机，简称DC。

在域控制器上，每一个成员计算机都有一个计算机账号，每一个域用户都有一个域用户账号。

域管理员可以在域控制器上实现对域用户账号和计算机账号及其他资源的管理。

域还是一种复制单位，我们在域中可以安装多台域控制器，域管理员可以在任何一台域控制器上创建和修改活动目录对象。

域控制器之间可以自动的同步，或者复制这样一种更新。

2.创建活动目录服务——部署域控制器域控制器，DomainController，是实现ActiveDirectory的载体和控制单位。

要良好的进行活动目录服务，域控的安装部署以及管理至关重要。

部署网络中的第一台域控制器实验环境TCP/IP配置图在AD安装配置完成后，首选DNS可能会变成这种形式，这种显示是正常的。

安装DNS服务依次展开：开始→设置→控制面板→添加或删除程序→添加/删除Windows组件，勾选网络服务，详细信息中只选择域名系统（DNS），确定，点击下一步进行安装，如图：点击详细信息复选项，只勾选需要的DNS服务，如图点击确定，安装DNS服务，需要准备操作系统安装光盘或者I386文件夹。

打开【开始】--->【运行】，输入命令：dcpromo，如图，弹出活动目录安装向导：下一步下一步，选择【新域的域控制器】下一步，选择【在新林中的域】下一步，指定新域的名称：下一步，这里使用默认的NetBIOS名下一步，指定数据库和日志文件路径指定共享卷SYSVOL的路径下一步，DNS注册诊断，需选择第二个选项【在这台计算机上安装并配置DNS服务器，并将这台……】下一步，默认下一步，设置还原密码，此密码不同于系统管理员Administrator的密码，是服务器用目录服务还原模式启动时使用的下一步是向导给出的安装摘要，应仔细核实，确认配置无误下一步，开始安装下一步，向导完成安装至此，第一台域控制器配置完成。

应该引起注意的几个问题1.服务器操作系统应采用SETUP的方式完整安装，不能使用精简版或GHOST版的系统，系统安装完成之后不应做过分精简；2.不可关闭默认共享；3.AD数据库以及日志的所在路径不建议做更改，应保持默认，并给与操作系统所在盘足够的空间，一般20-30G为宜；4.在规模比较大的网络中，一般会部署多台域控制器，包括额外域控器，子域控等。

这样的情况，用户方多半已经配置好域控，我们只要明白如何使用即可；5.服务器操作系统建议使用Windows2003ServerR2版本，方便对文件夹做配额管理。

3.域控基本操作a)域控的第一次开机——域控与成员服务器的区别登录到本机消失，如图完整的计算机名带有域名后缀，如图本地用户和组消失，由域进行统一管理。

如图【注意】本软件系统的辅助工具个性化磁盘不应配置在域控服务器上。

个性化磁盘的用户管理是工作组模式，即创建的用户在本地用户和组下。

当在域控服务器上进行个性化磁盘的管理时，如增删用户，实际上是对域用户的增删。

这样就会造成错误和混乱。

b)操作【ActiveDirectory用户和计算机】——ADUC1.进入ADUC的方法【开始】→【运行】→输入名利dsa.msc;【开始】→【管理工具】→【ActiveDirectory用户和计算机】；可把【ActiveDirectory用户和计算机】发送到桌面快捷方式。

控制台截图2.组织单位（OU）“组织单位”（OU）是：“域”结构下的次一级结构，可对其编辑自己的组策略新建OU在相应OU下新建域用户，方法同建立OU3.关于批量创建域用户下面给出一种使用批处理命令批量创建域用户的方法，仅供参考。

套用dsadd.xls中b页面的格式输入域用户的各种信息，如图复制a页面中生成的信息到一个记事本中，如图编辑生成的文本，如下图把dsadd.txt文件重命名转换成批处理文件dsadd.bat,然后把制作好的批处理文件复制到域控服务器某一目录下，在命令行下运行批处理，完成批量创建4.域控高阶设置编辑域控组策略打开域策略编辑器，如下图所示：c)设置相关域策略1.设置密码策略依次展开【计算机配置】→【Windows设置】→【安全设置】→【帐户策略】→【密码策略】，如图2.其他重要策略依次展开【计算机配置】→【Windows设置】→【安全设置】→【本地策略】→【用户权限分配】，设置以下组策略（此策略默认是没有定义的，勾选上，添加Administrators和Domain Admins两个组，目的是防止普通域用户可以添加其它计算机到域中。

）依次展开【计算机配置】→【Windows设置】→【安全设置】→【本地策略】→【安全选项】，设置以下组策略依次展开【计算机配置】→【管理模板】→【系统】→【用户配置文件】，设置以下组策略依次展开【计算机配置】→【管理模板】→【系统】→【系统还原】，设置以下组策略依次展开【计算机配置】→【管理模板】→【系统】→【错误报告功能】，设置以下组策略依次展开【计算机配置】→【管理模板】→【系统】→【Windows文件保护】，设置以下组策略依次展开【计算机配置】→【管理模板】→【网络】→【网络连接】→【Windows防火墙】，设置以下组策略3.刷新组策略【开始】 【运行】，输入命令“gpupdate /force”，使配置的组策略生效4.查看策略是否生效启动客户端操作系统，运行命令rsop.msc，查看策略的结果集，如图d)配置用户配置文件1.漫游用户配置文件什么是用户配置文件漫游？简单的来说，域用户配置文件(包括用户设置和文档)保存于远端服务器位置，在使用域帐号登录时会将其复制到本地，并在注销的时候将更改复制到存储服务器。

在本系统中配置用户文件漫游有什么好处？用户配置和文档在网间漫游，不会随系统本身被还原，最大程度保留用户的使用习惯。

如何配置用户配置文件漫游？在存储用户配置文件的服务器（可以是域控、域成员服务器，也可以是网中的其他服务器）上创建共享目录usersconfig，共享名usersconfig$，权限作如下设置：关闭共享目录usersconfig的【脱机文件夹】缓存，方法有两种：命令行方式：如图图形界面设置：如图设置域用户漫游配置文件的远程存储路径打开【ActiveDirectory用户和计算机控制台】，鼠标左键双击OU下的域用户，如图进入【配置文件】选项卡，输入存储用户配置文件的顶级共享文件夹的路径点击应用，在用户下次登录后将自动在共享目录创建一个与相应帐户名称相同的用户配置文件夹，不需要手动创建。

在客户端检查漫游是否生效。

方法：查看用户配置文件类型，如图2.强制用户配置文件a)什么是强制用户配置文件?相对于漫游用户配置文件，所谓强制，顾名思义，就是强制为一组或所有用户指定一个经管理员配置的固定不变的用户配置环境。

这个配置文件不会上传用户的更改。

用户每一次登录使用的都是固有的配置文件。

b)强制用户配置文件的作用实现标准化管理，阻止用户随意更改桌面系统环境。

c)如何配置强制用户配置文件i．先配置用户配置文件为漫游；ii．打开用户配置文件目录，重命名NTUSER.DA T文件为NTUSER.MAN；iii．登录，查看配置是否生效e)设置用户主文件夹——域用户的个人网络存储目录1.说明：域用户的主文件夹或者称之为主目录是与用户一一对应并绑定的，不论用户在哪里登录自己的帐户，当登录之后，主目录也随之加载，因此最适合用户存储用户的个人数据。

2.配置方法a).文件服务器上在一个单独的分区上建立存储用户主目录的顶级文件夹，filesconfig设置共享，共享名为filesconfig$进行如下权限设置分区根目录（非filesconfig文件夹）属性的【安全】选项卡中删除Users用户组设置filesconfig文件夹的共享权限，如下b).进入【ActiveDirectory用户和计算机】控制台，打开域用户属性，选择【配置文件】→【主文件夹】→【连接】，指定存储目录路径，如图点击应用，使之生效，将在顶级文件夹下自动创建用户主目录，并已自动设置了独有权限，如图f)文件夹重定向1.为什么要进行文件夹重定向在设置域用户漫游时，随着用户配置文件的增大，用户的登录和注销过程会越来越长。

为解决此问题，可以把几个用户配置文件的主要目录（我的文档，桌面等）进行重定向操作。

重定向的目录在登录的时候会随之加载，但不再下载到本地，当然也不会上传到用户的漫游配置文件目录下。

漫游的只是这些目录的网络路径。

当然，文件夹重定向对于用户数据的安全和管理也是大有益处的。

文件夹重定向是针对用户通过组策略实现的，因而应直接在相应OU下单独编辑其策略。

2.桌面和ApplicationData重定向在域中的文件服务器上建立共享目录的desk&app，共享名desk&app$,共享权限如图：特别注意：此目录所在的分区根目录【安全】属性不可做任何更改，因而不能和域用户的主文件夹置于同一分区下。

新建OU策略：进入【ActiveDirectory计算机和用户】控制台，双击需要设置的OU，打开其属性对话框，如图新建OU策略“文件夹重定向”，如图编辑“文件夹重定向”策略，进入【组策略编辑器】，依次展开【用户配置】 【Windows设置】 【文件夹重定向】右键属性，设置各目录的重定向策略，如图进行配置其他的配置选项采取默认配置，点击确定，退出【组策略编辑器】控制台，运行策略刷新命令，使策略生效3.我的文档重定向到用户主文件夹“我的文档”的重定向可以参照桌面重定向的设置，但其组策略设置有自己独特的选项，可以重定向到用户的主文件夹目录，策略配置如图其他的配置选项采取默认配置，点击确定，退出【组策略编辑器】控制台，运行策略刷新命令，使策略生效。