第一篇：創建AD域及用戶添加管理

AD域

域：域是一種管理邊界，用于一組計算機共享共用的安全數據庫，域實際上就是一組服務器和工作站的集合。

其實上我們可以把域和工作組聯系起來理解,在工作組上你一切的設置在本機上進行包括各種策略，用戶登錄也是登錄在本機的，密碼是放在本機的數據庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一臺計算機登錄。

AD：活動目錄(Active Directory)主要提供以下功能：

①基礎網絡服務：包括DNS、WINS、DHCP、證書服務等。②服務器及客戶端計算機管理：管理服務器及客戶端計算機賬戶，所有服務器及客戶端計算機加入域管理并實施組策略。

③用戶服務：管理用戶域賬戶、用戶信息、企業通訊錄（與電子郵件系統集成）、用戶組管理、用戶身份認證、用戶授權管理等，按省實施組管理策略。④資源管理：管理打印機、文件共享服務等網絡資源。

⑤桌面配置：系統管理員可以集中的配置各種桌面配置策略，如：界面功能的限制、應用程序執行特征限制、網絡連接限制、安全配置限制等。

⑥應用系統支撐：支持財務、人事、電子郵件、企業信息門戶、辦公自動化、補丁管理、防病毒系統等各種應用系統。

【AD域控制器在Windows Server 2003安裝及簡單應用實驗指導書】

實驗日期：2011年8月2日 處別：Commercial DT 組別：DT103 撰寫人：王敦培 【實驗名稱】：AD域控制器在Windows Server 2003安裝實驗指導書 【實驗目的】：了解域的作用以及安裝方法 【實驗任務】：搭建一個新域、配置額外域控制器、設置漫游用戶配置文件 【需要設備】：Windows Server 2003安裝版本光盤一張、正常運行臺式機一臺

一、將Windows Server 2003安裝至PC上

二、將服務器安裝AD控制器 先設置AD域：

1.依次打開：開始-設置-控制面板-管理工具-管理您的服務器(不是向導)-打開后如圖一所示

2.下一步，選擇自定義

3.選中域控制器(Active Directory)下一步

4.然后會讓你安裝dns和配置網絡，5.把網卡的網線接好，處于已經連接狀態，下一步

6.安裝完DNS以后，就可以進行提升操作了，先點擊“開始—運行”，輸入“Dcpromo”，然后回車就可以看到“Active Directory安裝向導” 在這里直接點擊“下一步”:

在這里由于這是第一臺域控制器，所以選擇第一項:“新域的域控制器”，然后點“下一步”:

既然是第一臺域控，那么當然也是選擇“在新林中的域”:

在這里我們要指定一個域名，我在這里指定的是demo.com，這里是指定NetBIOS名，注意千萬別和下面的客戶端沖突，也就是說整個網絡里不能再有一臺PC的計算機名叫“demo”，雖然這里可以修改，但是我建議還是采用默認的好，省得以后麻煩。

在這里要指定AD數據庫和日志的存放位置，如果不是C盤的空間有問題的話，建議采用默認。

這里是指定SYSVOL文件夾的位置，還是那句話，沒有特殊情況，不建議修改:

第一次部署時總會出現上面那個DNS注冊診斷出錯的畫面，主要是因為雖然安裝了DNS，但由于并沒有配置它，網絡上還沒有可用的DNS服務器，所以才會出現響應超時的現像，所以在這里要選擇:“在這臺計算機上安裝并配置DNS，并將這臺DNS服務器設為這臺計算機的首選DNS服務器”。

“這是一個權限的選擇項，在這里，我選擇第二項:“只與Windows 2000或Window 2003操作系統兼容的權限”，因為在我做實驗的整個環境里，并沒有Windows 2000以前的操作系統存在”

這里是一個重點，還原密碼，希望大家設置好以后一定要記住這個密碼，千萬別忘記了，因為在后面的關于活動目錄恢復上要用到這個密碼的。

這是確認畫面，請仔細檢查剛剛輸入的信息是否有誤，尤其是域名書寫是否正確，因為改域名可不是鬧著玩的，如果有的話可以點上一步進入重輸，如果確認無誤的話，那么點“下一步”就正式開安裝了:

幾分鐘后，安裝完成:

點“立即重新啟動”。到此，服務器的安裝和配置就告一段落了，接下來我們看下服務器發生了那些改變.然后來看一下安裝了AD后和沒有安裝的時候有些什么區別，首先第一感覺就是關機和開機的速

度明顯變慢了，再看一下登陸界面:

多出了一個“登陸到”的選擇框:

進入系統后，右鍵點擊“我的電腦”選“屬性”，點“計算機”

怎么樣?和安裝AD以前不一樣吧，其它的比如沒有本地用戶了，在管理工具里多出么多圖標什么的，這些將在以后里講述，這里就不再詳談了。我們現在來看一下

如何把下面的工作站加入到域。由于從網絡安全性考慮，盡量少的使用域管理員帳號，所以先在域控制器上建立一個委派帳號，登陸到域控制器，運行“dsa.msc”，出現“AD用戶和計算機”管理控制臺:

先來新建一個用戶，展開“demo.com”，在“Users”上擊右鍵，點“新建”-“用戶”:

然后出現一個新建用戶的向導，在這里，我新建了一個名為“swg”的用戶，并且把密碼設為“永不過期”。

這樣點“下一步”，直到完成，就可以完成用戶的創建。然后在“demo.com”上點擊右鍵，先擇“委派控制”:

就會出現一個“委派控制向導”:

點擊“下一步”:

點擊中間的“添加”按鈕，并輸入剛剛創建的“swg”帳號:

然后點“確定”，再點“下一步”:

在上面的畫面中，暫時不需要讓該用戶去“管理組策略鏈接”，所以在這里，僅僅選擇“將計算機加入到域”，然后點“下一步”:

最后是一個信息核對畫面，要是沒有什么問題的話，直接點“完成”就可以了。

接下來轉到客戶端，看看怎么把XP進來，在實驗中采用的客戶端操作系統是Windows XP專業版，需要大家注意的是Windows XP 的Home版由于針對的是家庭用戶，所以不能加入域，大家別弄錯了，我們先來設置一下這臺XP的網絡: 計算機名:TestXP IP:192.168.5.5 子網掩碼:255.255.225.0 DNS服務器:192.168.5.1，設置完網絡以后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”。

在這里把“隸屬于”改成域，并輸入:“demo.com”，并點確定，這是會出現如下畫面:

輸入剛剛在域控上建的那個“swg”的帳號，點確定:

出現上述畫面就表示成功加入了，然后點確定，點重啟就算OK了。

來看一下登陸畫面有沒有什么不一樣，看到那個“登陸到”了吧，可以選擇域登陸還是本機登陸了，在這里選擇域“DEMO”，這樣就可以用域用戶進行登陸了。

使用域用戶登陸后，在“我的電腦”上擊右鍵，選“屬性”，點“計算機名”: 就可以看到加入到域：DEMO

三、建立額外的域控制器

當客戶端加入到域后，如果域控制器處于關閉狀態或者死機的話，那么，會發現下面的 客戶機無法登陸到域，所以再建立一臺域控制器，用來防止其中一臺出現意外損壞的情況是很有必要的。

后來建立的那臺域控制器叫額外域控制器。來看看額外域控制器的建立過程吧: 當然網絡設置永遠是在第一步的: 計算機名:Bserver IP:192.168.5.2 子網掩碼:255.255.255.0 DNS:192.168.5.1

既然是提升為域控制器，那么DNS組件也是要添加的，添加方法和之前所提到的一樣，這里就不再重復了。添加完成后，同樣是點擊“開始”-“運行”-“dcpromo”，出現的向導和操作系統兼容性同安裝第一臺域控時是一樣的，唯一要注意的是下面的那個畫面:

安裝第一臺時選擇的是“新域的域控制器”，這里要選擇的是“現有域的額外域控制器”，然后點“下一步”:

在這里，輸入域的管理員帳號的密碼，在“域”里填入相應域的DNS全名或NetBios名，點“下一步”:

在這里一定要填入現有域的DNS全名，然后再點“下一步”。然后就完成了額外的域控制器配置

四、活動目錄之用戶配置文件

關于域用戶的開設在前面已經涉及過了，所以在這里開設用戶的方法就不再重復了，這里主要向大家介紹一下用戶配置文件。

首先，什么是用戶配置文件?根據微軟的官方解釋:用戶配置文件就是在用戶登陸時定義系統加載所需環境的設置和文件和集合，它包括所有用戶專用的配置設置。用戶配置文件存在于系統的什么位置呢?那么用戶配置文件包括哪些內容呢?來給大家看一副截圖:

用戶配置文件的保存位置在:系統盤(一般是C盤)下的“Documents and Settings”文件夾下，有一個和你的登陸用戶名相同的文件夾，該用戶配置文件就保存在這里，順便提示一下，如果本機和域上有一個同名用戶，并且都登陸過的話，那么就會出現在同名文件夾后面拖后綴的情況，舉個例子:比如在一個域(demo.com)里面有一臺計算機(testxp)，本地有一個swg的帳號，域上也有一個swg的帳號，并且都登陸過這臺計算機，那么會發生如下情況: 本地帳號先登陸:那么本地的swg的用戶配置文件夾為swg，而域用戶的用戶配置文件夾為swg.demo。域帳號先登陸:那么域用戶的用戶配置文件夾為swg，本地用戶的配置文件夾為swg.testxp。通過上面的截圖，我們可看出，用戶配置文件包括桌面設置、我的文檔、收藏夾、IE設置等一些個性化的配置。另外需要說明的是在“Documents and Settings”文件夾下有一個名為“All Users”的文件夾，如果你在這個文件夾下的“桌面”文件夾下新建一個文件的話，你會發現所有用戶在登陸時的桌面上都有這個文件，所以這個文件夾里的配置是對這臺計算機的每個用戶均起作用的。當網絡變成域構架后，所有的域用戶可以在任意一臺域內的計算機登陸，當你在一臺計算機上的用戶配置文件修改后，你會發現到另一臺計算機上登陸時，所有的設置還是原來的，并沒有發生修改，這是因為用戶的配置文件是保存在本地的，不管是域用戶還是本地用戶，都是保存在那臺登陸的計算機上。我們可以在“我的電腦”上擊“右鍵”，選“屬性”，點“高級”，然后在“用戶配置文件”里點“設置”:

請注意“類型”里用紅框標出的部分，全部是“本地”，這就說明用戶配置文件保存在本地，那么如何才能讓用戶的配置文件隨著帳號走，也就是不管用戶在哪臺計算機上登陸都能保持用戶配置文件一致呢?為了解決這個問題，就要用到漫游用戶配置文件，原理就是把用戶配置文件保存在一個網絡的公共位置，當用戶在計算機上登陸里，會從網絡公共位置把用戶配置文件下載到本地并加以應用，然后當用戶注銷時，會把本地的用戶配置文件同步到網絡公共位置，以保證公共位置用戶配置文件的有效性，以便下一次使用。那么如何來實現這個功能呢?現在就來實踐一下:

首先，要在一個網絡的公共位置開設一個共享文件夾，用來存放用戶配置文件，在個實驗里，就在域控制器上開設一個為share的共享文件夾，并開放權限:

然后，點擊“開始-設置-控制面板-管理工具”，雙擊“AD用戶和計算機”，并選中相應的用戶，這里以“swg”帳號為例:

在“swg”帳號上雙擊，然后選“配置文件”，在“用戶配置文件-配置文件路徑”里輸 入:192.168.5.1share%username%，“192.168.5.1”是域控制器的IP地址，如下圖所示:

然后點確定，接下去就到客戶端去，用“swg”帳號登陸一下，看看會發生什么變化。

如上圖所示，DEMOswg的狀態由剛剛的“本地”變成了“漫游”，此時注銷一下用戶，那么就會自 動的將該用戶的本地用戶配置文件同步到網絡公共位置，如果再用“swg”到另外的域內計算機上去登陸的話，會發現所有的用戶配置文件和這臺計算機上是一樣的。那么服務器上發生了些什么變化呢?

如上圖所示，服務器的“share”文件夾里會自動創建一個和用戶名一樣的“swg”文件夾，默認情況下這個文件夾只允許對應的用戶打開。最后有一點需要注意：

當使用漫游用戶配置文件時，請不要在桌面等地方存放一些大型的程序或文件，因為用戶在登陸和注銷過程中會下載和上傳配置文件，如果文件過大，會影響登陸和注銷的速度。

第二篇：AD域管理優缺點

1、方便管理,權限管理比較集中，管理人員可以較好的管理計算機資源。

2、安全性高，有利于企業的一些保密資料的管理，比如一個文件只能讓某一個人看,或者指定人員可以看,但不可以刪/改/移等。

3、方便對用戶操作進行權限設置，可以分發，指派軟件等,實現網絡內的軟件一起安裝。

4、很多服務必須建立在域環境中，對管理員來說有好處:統一管理,方便在MS 軟件方面集成,如ISA EXCHANGE(郵件服務器)、ISA SERVER(上網的各種設置與管理)等。

5、使用漫游賬戶和文件夾重定向技術，個人賬戶的工作文件及數據等可以存儲在服務器上，統一進行備份、管理，用戶的數據更加安全、有保障。

6、方便用戶使用各種資源。

7、SMS（System Management Server）能夠分發應用程序、系統補丁等，用戶可以選擇安裝，也可以由系統管理員指派自動安裝。并能集中管理系統補丁（如Windows Updates），不需每臺客戶端服務器都下載同樣的補丁，從而節省大量網絡帶寬。

8、資源共享

用戶和管理員可以不知道他們所需要的對象的確切名稱，但是他們可能知道這個對象的一個或多個屬性，他們可以通過查找對象的部分屬性在域中得到一個所有已知屬性相匹配的對象列表，通過域使得基于一個或者多個對象屬性來查找一個對象變得可能。

9、管理

A、域控制器集中管理用戶對網絡的訪問，如登錄、驗證、訪問目錄和共享資源。為了簡化管理，所有域中的域控制器都是平等的，你可以在任何域控制器上進行修改，這種更新可以復制到域中所有的其他域控制器上。B、域的實施通過提供對網絡上所有對象的單點管理進一步簡化了管理。因為域控制器提供了對網絡上所有資源的單點登錄，管理遠可以登錄到一臺計算機來管理網絡中任何計算機上的管理對象。在NT網絡中，當用戶一次登陸一個域服務器后，就可以訪問該域中已經開放的全部資源，而無需對同一域進行多次登陸。但在需要共享不同域中的服務時，對每個域都必須要登陸一次，否則無法訪問未登陸域服務器中的資源或無法獲得未登陸域的服務。

10、可擴展性

在活動目錄中，目錄通過將目錄組織成幾個部分存儲信息從而允許存儲大量的對象。因此，目錄可以隨著組織的增長而一同擴展，允許用戶從一個具有幾百個對象的小的安裝環境發展成擁有幾百萬對象的大型安裝環境。

9、安全性

域為用戶提供了單一的登錄過程來訪問網絡資源，如所有他們具有權限的文件、打印機和應用程序資源。也就是說，用戶可以登錄到一臺計算機來使用網絡上另外一臺計算機上的資源，只要用戶具有對資源的合適權限。域通過對用戶權限合適的劃分，確定了只有對特定資源有合法權限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。

10、可冗余性

每個域控制器保存和維護目錄的一個副本。在域中，你創建的每一個用戶帳號都會對應目錄的一個記錄。當用戶登錄到域中的計算機時，域控制器將按照目錄檢查用戶名、口令、登錄限制以驗證用戶。當存在多個域控制器時，他們會定期的相互復制目錄信息，域控制器間的數據復制，促使用戶信息發生改變時（比如用戶修改了口令），可以迅速的復制到其他的域控制器上，這樣當一臺域控制器出現故障時，用戶仍然可以通過其他的域控制進行登錄，保障了網絡的順利運行。

第三篇：AD域控培訓心得體會

2016年AD域管理培訓心得體會

本人于2016年5月至7月間，參加了廣州市XXX有限公司邀約的關于AD域管理的培訓，這次培訓最想說的話是：受益匪淺！感觸頗深！通過這次學習不但讓我在AD域領域開闊了眼界，更讓我對信息管理有了更深刻的理解和認識，從而提高了自己的理論水平和安全意識，進一步增強了自己抓好管理和提高自己本身技術水平的信心和決心。以下針對本次學習內容，談幾點自己對AD域管理的心得體會。

一、前車之鑒，引以為戒

在本次學習中了解到，銀行行業內不乏辦公計算機及網絡管理松散的中小型機構。在監管部門的監管壓力下，某些銀行開始謀劃應對之策，不考慮全局規劃及系統部署，不經過功能兼容性及可行性分析，只求速成，應付監管部門。這樣的實施后果，不僅管理雜亂無章，而且嚴重地影響用戶日常操作。

我行要引以為戒，重視系統的高效性與兼容性，力求達到監管要求的同時提高工作效率。同時，我行身為中國企業500強之一，必須堅持科技興行的發展戰略，積極推進科技系統的現代化建設。

二、借鑒經驗，循序漸進

金融機構日常運作離不開系統，各系統都有各自的用戶、密碼及權限。隨著業務的發展，業務、辦公、安全等系統隨之增多，用戶日常操作愈發繁瑣，管理愈發困難。課堂上，授課老師以國內某大型金融機構的管理為例，重點介紹AD域統一管理的經驗和方法，特顯AD域與網管軟件相比之下的優勢。在功能方面，AD域比網管軟件功能更為集中，用途更為廣泛，效果更為顯著；在品牌方面，網管軟件品牌雜亂，而 AD域管理是基于Windows server操作系統搭建的管理平臺，屬微軟公司官方產品；在成本方面，市場上多數的網管軟件是按客戶端數量收取授權費用的，而AD域僅收取操作系統授權費用，客戶端并無要求。

因此，我行應借鑒成功的管理經驗，逐步推廣AD域管理，具體如下：

1、統一用戶信息。利用AD域活動目錄管理功能，規范地建立用戶信息，通過客戶端計算機加入域管理，實時地建立計算機信息，有效地實現用戶與計算機的統一管理。

2、統一身份認證。進一步推廣行內各系統，從AD域上同步用戶信息和身份認證，并根據用戶授權管理分配權限，確保各系統用戶信息唯一性、合法性及高效性，簡化用戶日常操作，減輕運維壓力。

3、統一權限分配。AD域權限管理集中，管理員可較好的管理計算機資源，包括文件資源、打印資源、權限資源等。同時，AD域提供單一的登錄過程來訪問網絡資源，用戶根據管理員分配的權限，方便、有效地使用所屬的資源，只要用戶具有對資源的合適權限，AD域通過對用戶權限合適的劃分，確定了只有對特定資源有合法權限的用戶才能使用該資源，從而保障了資源使用的合法性和安全性。

三、靈活高效，災備穩定

對于銀行機構，系統的高效性與穩定性缺一不可。AD域作為信息管理平臺，對各系統、客戶端提供信息資源，一旦出現問題，影響大、涉及廣。通過本次學習，結合我行目前實際情況，必須重視域控的高可用和災備機制，在數據中心增設域控服務器，并考慮在分支機構增設只讀域控服務器。同時，通過站點劃分和DNS規劃，實現服務器間的負載均衡，提升域控整體運行性能和高可用，增加災備的穩定性，為我行日常業務的持續開展保駕護航。

第四篇：設置AD域共享文件夾訪問權限[模版]

在實際的企業網絡中，主管人員可能并不希望所有用戶都擁有對共享文件夾的訪問權限，而只希望特定的人訪問特定的共享文件夾。網絡管理員可以通過設置對共享文件夾的訪問權限來實現此目的。以設置共享文件夾“圖書策劃部”的訪問權限為例，操作步驟如下所述：

第1步，打開“圖書策劃部 屬性”對話框，單擊【權限】按鈕。

第2步，在打開的“圖書策劃部 的權限”對話框中將“組或用戶名稱”列表中的Everyone刪除。然后單擊【添加】按鈕，在打開的“選擇用戶、計算機和組”對話框中依次單擊【高級】→【立即查找】按鈕。找到指定目標用戶或組（如JinshouzhiUsers組）后將其選中并依次單擊【確定】→【確定】按鈕，如圖1所示。

圖1 “選擇用戶、計算機和組”對話框

第3步，返回“圖書策劃部 屬性”對話框，在“JinshouzhiUsers 的權限”列表中選中合適的權限（如允許完全控制的權限），并單擊【確定】按鈕，如圖2所示。

圖2 設置共享權限

第4步，訪問有權限限制的共享資源。在客戶機中以有足夠權限的用戶身份登錄AD域中，打開“網上鄰居”窗口。在【地址】編輯框輸入UNC路徑或單擊“整個網絡”按鈕查找用戶有權限訪問共享資源，如圖3所示。

圖3 訪問有權限限制的共享資源

第五篇：由目錄域創建目錄

由目錄域創建目錄，操作方法如下：

（1）在文檔中將標題選中。

（2）按快捷鍵Alt+Shift+O。打開【標記目錄項】對話框。

（3）在【級別】框中，選擇目錄的級別，如1，2，3等級別。然后單擊【標記】按鈕。（4）將光標移出【標記目錄項】對話框。點擊鼠標右鍵，選擇第二個文字標題。將光標移到【標記目錄項】對話框內確定級別→標記。

繼續標記直到完成。當標記完所有需要創建的目錄文本后，在【標記目錄項】對話框中單擊【關閉】按鈕退出。

（5）將光標移到要插入目錄的位置（一般是文檔的開頭或結尾處）。（6）單擊【插入】|【引用】|【索引和目錄】命令。（7）單擊【目錄】選項卡。（8）單擊【選項】按鈕。

（9）在【目錄選項】框中，選中【目錄項域】復選框。清除【樣式】和【大綱級別】復選框。

（10）連續單擊【確定】按鈕即可使用目錄域創建目錄，即可在指定的地方插入了由目錄域創建的目錄。

怎樣在word文檔里從任意頁開始設置頁碼

分如下三步就來完成：

第一步：分節（將文檔分為兩節）

光標定位在第n頁的最后，點擊工具欄“插入 ”→ 分隔符 → 分節符類型：“下一頁 ”→確定。

第二步：斷開兩節之間的頁腳鏈接關系

點擊工具欄“視圖 ”→ 頁眉和頁腳 → 單擊工具欄上的“鏈接到前一個”，然后關閉頁眉和頁腳工具欄 第三步：插入頁碼

點擊插入 → 頁碼 → 格式 → 起始頁碼：1 → 確定

如何去掉頁眉上的橫線

鼠標雙擊頁眉，選中頁眉中的內容。單擊工具欄“格式”→邊框和底文→無→確定。

怎樣去掉Word文檔中的頁碼？

點擊工具欄中 的“ 視 圖” →“ 頁 眉 與 頁 腳”，此 時 會 出 現 一 個 工 具 條，點 擊 其 中 的“ 在 頁 眉 與 頁 腳 間 切 換” 即 可 顯 示 并 編 輯 頁 腳 中 的 內 容，這 時 可 以 看 到 文 檔在頁腳 中 的 頁 碼。用鼠標選中頁碼，按鍵盤上的【Delete】刪 掉 它，然 后 點 擊 工 具 條 中 的“ 關 閉”。上 述 步 驟 完 成 之 后，文 檔 中 的 頁 碼 就 成 功 地 被 去 掉 了