Windows2003域的企业应用案例

案例环境一： 
yye1.com上海分公司共有100台计算机，安装的是Windows Server 2003系统和xp系统。

案例描述： 
管理员在管理网络时，发现存在以下问题： 
1、由于整个网络配置为工作组模式，管理员在管理用户账户时，要在不同计算机上为每个员工建立用户账户，还要经常修改账户的设置，账户管理非常混乱而且工作量非常大。管理员希望能在一台计算机上集中管理所有的计算机。 
2、公司员工在使用计算机时，经常随意修改控制面板的设置，使计算机的运行极不稳定。管理员希望可以控制用户的操作行为，不允许用户修改控制面板。 
3、管理员要给域中的所有计算机安装“Office 2010”，他希望能一次性为所有的计算机自动安装，而不是逐台手动安装。

创建Windows2003域需要两个主要步骤：安装域控制器和将计算机加入域。

案例实施： 
1）安装域控制器。（要建立域控制器，需要在计算机中安装活动目录） 
1.设置IP地址。（为域控制器计算机设置IP地址、子网掩码和首选DNS地址） 

2.启动活动目录安装向导。（单击“开始”——“运行”，输入dcpromo命令，单击“确定”按钮启动活动目录安装向导。 

3.指定域控制器的类型。（两次单击“下一步”按钮，选择“新域的域控制器”，单击“下一步”按钮） 

4.创建一个新域。（选择“在新林中的域”，单击“下一步”） 

5.设置域名。（输入域名，如yye1.com，单击“下一步”） 

6.域的NetBIOS名。（接受默认的域的NetBIOS名，单击“下一步”） 

7.指定数据库和日志文件夹。（指定数据库和日志文件夹的位置，单击“下一步”） 

8.指定共享系统卷的位置。（指定共享系统卷的位置，单击“下一步”） 

9.设置DNS注册诊断。（在“DNS注册诊断”对话框中直接单击“下一步”） 

10.设置目录服务还原模式的密码。（在权限对话框中单击“下一步”按钮，输入目录服务还原模式的密码，单击“下一步”） 

11.开始安装活动目录。（单击“下一步”，开始安装活动目录） 

12.完成安装。（安装完成后单击“完成”）

13.重新启动计算机。（单击“立即重新启动”，重启计算机） 

14.验证安装。 

2）将计算机加入域。（安装域控制器计算机后，需要将客户计算机加入域，以便实现集中管理） 
1.设置客户计算机的Ip地址。（必须正确设置首选DNS地址。由于前面安装域控制器时，将域控制器安装为DNS服务器，所以此处将首选DNS地址设置为域控制器安装为域控制器的地址）。 

2.输入域名。（右击“我的电脑”，选择“属性”，单击“计算机名”选项卡。单击“更改”，在“隶属于”处输入要加入域的域名，单击“确定”按钮） 

3.输入用户名和密码。（输入域管理员的用户名和密码，单击“确定”） 

4.成功加入域。（系统弹出“欢迎加入yye1.com域“对话框，单击”确定“，再次单击”确定“重新启动计算机。重复以上步骤，将其他计算机加入域） 

3）管理域用户、组和组织单位。 
（建立Windows域后，可以在活动目录中为所有用户建立域用户账户，让他们使用域用户登录域，访问域的资源。同时，管理员可以通过活动目录，集中管理所有域用户。下面以在yye1.com域中建立销售部组织单位和用户账户为例建立用户账户的过程） 
1.新建组织单位。（单击“开始”——“程序”——“管理工具”——“Active Directory用户和计算机”。右击域，选择“新建”——“组织单位”） 

2.输入组织单位的名称。（输入销售部组织单位的名称Sales_OU，单击“确定”） 

3.新建用户。（右击“Sales_OU”，选择“新建”——“用户”） 

4.输入用户信息。（输入用户信息，如dongjun，单击“下一步”，设置用户密码，单击“下一步”） 
 

5.完成用户创建。（已建立的用户账户如下图所示。要设置用户属性，可以右击相应的用户，选择“属性”。要使用户获得相应的权限，可以将用户加入内置组或直接给用户授权） 

4）使用组策略控制用户的操作行为。 
（建立域用户后，需要控制域用户的操作行为，如控制用户不能修改控制面板的设置。管理员可以通过设置组策略控制用户的操作行为，实现对域的管理和控制） 
1.打开“组策略”选项卡。（打开Active Directory用户和计算机，右击Sales_OU，选择“属性”，在弹出的对话框中单击“组策略”选项卡） 

2.新建组策略。（单击“新建”，建立新的组策略，单击“编辑”，打开组策略编辑器设置组策略） 

3.设置组策略。（在组策略编辑器中展开“用户配置”——“管理模板”，单击“控制面板”，在右侧窗口中找到“禁止访问控制面板”项） 

4.禁止访问控制面板。（双击“禁止访问控制面板”，选择“启用”，单击“确定”按钮） 

5.验证组策略设置。（完成以上设置后，以Sales_OU中的dongjun用户登录域，打开“开始”——“设置”，发现没有“控制面板”项，即不允许修改控制面板。如果要控制用户的其他操作，可以在组策略中设置其他策略项） 
 

5）使用组策略部署软件。 
（Windows2003组策略不但可以控制用户的操作行为，还可以在网络中快速部署应用软件。例如，使用组策略部署“Office”软件的过程如下） 
1.准备Office安装文件和.msi安装包文件复制到一个共享文件夹中。 

2.建立组策略。（打开“Active Directory用户和计算机”，右击Sales_OU，建立组策略） 

3.设置组策略。（在组策略编辑器中，展开“用户配置”——“软件设置”，右击“软件安装”，选择“新建”——“程序包”） 

4.打开安装包文件。（打开安装包文件，选择“打开”。注意，此处文件路径必须是网络路径） 

5.选择软件部署方式。（选择“已指派”，单击“确定”按钮） 

6.验证组策略设置。（完成以上设置后，以Sales_OU中的dongjun用户登录域，打开“程序”菜单，可以看到Office软件的快捷方式，软件被安装，用户就可以使用该软件了。