activedirectory

一．手动安装ActiveDirectory：

1.单击“开始”按钮，单击“运行”，键入“DCPROMO”，然后单击“确定”。

2.在出现“ActiveDirectory安装向导”时，单击“下一步”开始安装。

3.阅读“操作系统兼容性”信息后，单击“下一步”。

4.选择“新域的域控制器”（默认），然后单击“下一步”。

5.选择“在新林中的域”（默认），然后单击“下一步”。

6.对于“DNS全名”，键入“”，然后单击“下一步”。（这表示一个完全限定的名称。）

7.单击“下一步”，接受将“test”作为默认“域NetBIOS名”。（NetBIOS名称提供向下兼

容性。）

8.在“数据库和日志文件文件夹”屏幕上，将ActiveDirectory“日志文件文件夹”指向

“L:WindowsNTDS”，然后单击“下一步”继续。

9.保留“共享的系统卷”的默认文件夹位置，然后单击“下一步”。

10.在“DNS注册诊断”屏幕上，单击“在这台计算机上安装并配置DNS服务器”。单击“下

一步”继续。

11.选择“只与Windows2000或WindowsServer2003操作系统兼容的权限”（默

认），然后单击“下一步”。

12.在“还原模式密码”和“确认密码”中，键入密码，然后单击“下一步”继续。

13.单击“下一步”开始安装ActiveDirectory。

14.在“ActiveDirectory安装向导”完成后，单击“完成”。

15.单击“立即重新启动”以重新启动计算机。

二．创建组织单位和组，创建OU和安全组

1.单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“ActiveDirectory用户

和计算机”。

2.单击“”旁边的“+”号将其展开。单击“”本身，显示其在右窗格中的内

容。

3.在左窗格中，右键单击“”，指向“新建”，然后单击“组织单位”。

4.在名称框中键入“testou1”，然后单击“确定”。

5.重复步骤3和4以创建“testou2”和“testou3”OU。

6.在左窗格中单击“testou1”。此时将在右窗格中显示其内容。（此过程开始时它是空的。）

7.右键单击“testou1”，指向“新建”，然后单击“组织单位”。

8.键入“testou11”，单击“确定”。

9.重复步骤7和8，在“testou1”中创建“testou12”和“testou13”OU。完成后，OU结

构应与下图中显示的内容相似。

10.使用同样的方法，在“testou3”OU中创建“testou31”、“testou32”和“testou33”。

11.右键单击“testou2”，指向“新建”，然后单击“组”以创建两个安全组。要添加的两个组

是“testou21”和“testou22”。每个组的设置应该是“全局”和“安全”。单击“确定”分别创每

个组。完成所有步骤后，最终的OU结构应与下图中显示的内容相似。

三．创建用户帐户

1.在左窗格中，单击“testou11”（在“testou1”中）。此时将在右窗格中显示其内容。（在

此过程开头时它为空。）

2.右键单击“testou11”，指向“新建”，然后单击“用户”。

3.键入“testur”作为“名”；键入“testur”作为“姓”。（注意，在“姓名”框中将自动显示

全名。）

4.键入“testur”作为“用户登录名”。窗口应与下图相似。

5.单击“下一步”。

6.在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，WindowsServer2003要求所有新创建的用户使用复杂密码。可通

过组策略禁用密码复杂性要求。

如果密码不符合组策略密码复杂性要求，则会弹出错误对话框，如图所示：

可通过如下操作禁用组策略密码复杂性要求：

（1）单击“开始”—>“所有程序”--“管理工具”--”域安全策略”—>”安全设置”--”帐户

策略”--”密码策略”—>”密码必须符合复杂性要求””已禁用”—>”确定”。如图所示：

（2）单击“开始”—>”运行”—>输入cmd—>输入gpupdate或gpupdate/force命令。

7.单击“完成”。此时，testurtestur作为用户显示在右窗格的

“/testou1/testou11”下面。

8.重复步骤1到7，在“testou12”和“testou13”OU中创建用户。

四．将用户添加到安全组中

1.在左窗格中，单击“testou2”。

2.在右窗格中，双击“testou21”组。

3.单击“成员”选项卡，然后单击“添加”。

4.单击“高级”，然后单击“立即查找”。

5.按住“Ctrl”键并单击用户名，从下面部分中选择所有相应的用户。在突出显示所有成员

后，单击“确定”。再次单击“确定”，将这些成员添加到“testou21”安全组中。单击“确定”

关闭“testou21安全组属性”页。

6.重复步骤2到5，为testou22组添加成员。

7.关闭“ActiveDirectory用户和计算机”管理单元”。

五．将WindowsXPProfessional连接到域

准备工作:在windowsrver2003中配置ip地址为：

在windowsXPProfessional中配置ip地址为

1.右击“我的电脑”，选择“属性”。

2.单击“计算机名”选项卡，然后单击“更改”。

3.单击“域”单选按钮（如图所示）。

4.在“隶属于”下面，键入“”作为“域”，然后单击“确定”。

5.此时将出现“域用户名和密码”对话框。您提供的帐户必须拥有加入该域的权限。在“名称”

框中，键入“Administrator”，然后单击“确定”。（本分步指南不需要输入任何密码。）

6.在出现“欢迎加入test域”消息时，说明计算机已成功加入该域。单击“确定”。

7.单击“确定”重新启动计算机，然后单击“确定”关闭“系统属性”窗口。

8.在出现“系统设置改动”对话框时，单击“是”重新启动计算机。

六．配置自定义Microsoft管理控制台

1.以“Administrator”的身份登录到WindowsXPProfessional上。

2.单击“开始”按钮，单击“运行”，键入“mmc”，然后单击“确定”。

3.在“控制台1”窗口中，单击“文件”，然后单击“添加/删除管理单元”。

4.在“添加/删除管理单元”对话框中，单击“添加”。

5.在“添加独立管理单元”对话框的“可用的独立管理单元”列表框中，单击“Active

Directory用户和计算机”，然后单击“添加”。

6.在“可用的独立管理单元”列表框中双击“ActiveDirectory站点和服务”管理单元。

7.向下滚动，然后双击“组策略对象编辑器”。

8.在“选择组策略对象”对话框中，确保选中了“组策略对象”下面的“本地计算机”。单击“完

成”，然后单击“关闭”。

9.在“添加/删除管理单元”对话框中，单击“扩展”选项卡。确保为添加到MMC控制台中的

每个主扩展选择了“添加所有扩展”复选框（它们是默认选中的）。单击“确定”。

要保存控制台更改，请按照以下步骤操作：

1.在MMC控制台中，单击“文件”，然后单击“保存”。

2.在“保存为”对话框的“文件名”文本框中，键入“testconsole”，然后单击“保存”。控制台

应该如下图所示。

七．组策略管理

(1)从“ActiveDirectory用户和计算机”中打开组策略，请按照以下步骤操作：

1.在“testconsole”MMC控制台的控制台树中，单击“ActiveDirectory用户和计算机”旁

边的“+”号。

2.在控制台树中，右键单击“”以访问组策略。

3.单击“属性”，然后单击“组策略”选项卡。

(2)创建新的GPO并将其链接到“testou11”OU上：

1.在“testconsole”MMC中，展开“ActiveDirectory用户和计算机”下面的

“”。

2.单击“testou1”旁边的“+”号以展开该树。

3.右键单击“testou11”，然后单击“属性”。

4.在“testou11属性”页上，单击“组策略”选项卡。

5.单击“新建”，键入“HQPolicy”，然后按“Enter”键。“testou11属性”页如下图

所示：

（3）使用管理模板设置基于注册表的设置：

1.在“HQPolicy”GPO的组策略对象编辑器中，单击“用户配置”节点中“管理模板”旁

边的“+”号。

2.单击“任务栏和「开始」菜单”。注意，详细信息窗格将所有策略显示为“未被配置”。

3.在右窗格中，双击“从「开始」菜单中删除‘运行’菜单”策略。

4.在“从「开始」菜单中删除‘运行’菜单”对话框中，单击“已启用”。单击“确定”以

完成操作。结果如图所示：

（4）定义登录脚本组策略设置：

1.关闭“HQPolicy”的“组策略对象编辑器”。

2.在“testou11属性”对话框中，单击“关闭”。

3.在“testconsole”控制台中，右键单击“”域，单击“属性”，然后单击“组

策略”选项卡

。4.在“组策略属性”页上，从“组策略对象链接”列表中选择“DefaultDomain

Policy”GPO，然后单击“编辑”以打开“组策略对象编辑器”管理单元。

5.在“组策略”管理单元的“用户配置”下面，单击“Windows设置”旁边的“+”号，然

后单击“脚本（登录/注销）”节点。

6.在详细信息窗格中，双击“登录”。

此时将出现“登录属性”对话框，并显示在指定用户登录时运行的脚本的列表。这是一个有

序列表，最先运行的脚本位于列表的顶部。您可以通过选择某个脚本，然后使用上箭头键或

下箭头键来更改顺序。

要将新脚本添加到列表中，请单击“添加”按钮。这将显示“添加脚本”对话框。通过从此

对话框进行浏览，您可以指定位于当前GPO中的现有脚本的名称，或者浏览到另一个位置

并选择它以便在该GPO中使用。登录用户必须能够访问脚本文件，否则该文件不会运行。

该用户自动可以使用当前GPO中的脚本。要创建新的脚本，请右键单击空白区域，选择“新

建”，然后选择一个新文件。

要编辑列表中现有脚本的名称或参数，请选择该脚本，然后单击“编辑”按钮。此按钮不允

许对脚本本身进行编辑。要编辑脚本，请使用“显示文件”按钮。要从列表中删除脚本，请

选择该脚本，然后单击“删除”。

“显示文件”按钮显示GPO脚本的Windows资源管理器视图。这样，您就可以快速访问这

些文件，或访问将支持文件复制到的地方（如果脚本文件需要的话）。如果从此位置更改脚

本文件名称，您还必须使用“编辑”按钮来更改文件名称，否则，脚本无法执行。

注意：如果将此文件夹的“查看文件夹选项”设置为“隐藏已知文件类型的扩展名”，则文

件可能具有多余的扩展名，而使之无法运行。

7.单击“开始”按钮，单击“所有程序”，单击“附件”，然后单击“Windows资源管理

器”。浏览到“”文件，右键单击该文件，然后单击“复制”。

8.关闭“Windows资源管理器”。

9.在“登录属性”对话框中，单击“显示文件”按钮，将“”脚本粘贴到默认

文件位置。如下图所示。

10.关闭包含“”的窗口。

11.在“登录属性”对话框中，单击“添加”。

12.在“添加脚本”对话框中，单击“浏览”。在“浏览”对话框中，双击“”

文件。

13.在“添加脚本”对话框中，单击“确定”（不需要任何脚本参数），然后再次单击“确

定”。如下图所示：

14.关闭“组策略对象编辑器”。

15.在“属性”页上，单击“确定”。结果如图所示：

（5）基于安全组成员身份来筛选GPO应用：

1.在“testconsole”控制台的“testou1”OU中，右键单击“testou11”OU，然后单击“属

性”。

2.在“testou11属性”对话框中，单击“组策略”选项卡。

3.右键单击“组策略对象链接”列表中的“HQPolicy”GPO，然后从上下文菜单中选择“属

性”。

4.在“属性”页上，单击“安全”选项卡。

5.在“安全”属性页上，单击“添加”。

6.在“选择用户、计算机或组”对话框的“输入对象名称来选择”中，键入“testou31”，

然后单击“确定”。

7.在“HQPolicy属性”页上的“安全”选项卡中，选择“testou31”组并查看权限。

注意：默认情况下，仅将“testou31”组的“读取”访问控制项(ACE)设置为“允许”。

这意味着，“testou31”组成员没有应用此GPO，除非他们还是另一个组的成员（默认情况

下，他们还是“AuthenticatedUrs”的成员）—该组选定了“应用组策略”ACE。

此时，“AuthenticatedUrs”组中的每个成员都应用了此GPO，包括“testou31”安全

组的成员。

（6）创建新的GPO：

1.在“testconsole”MMC中的“”下面，右键单击“testou1”OU。

2.单击“属性”，然后单击“组策略”选项卡。

3.单击“新建”，输入“DefaultUrPolicies”作为GPO名称，然后按

“Enter”键。

4.再次单击“新建”，输入“EnforcedUrPolicies”作为GPO名称，然后

按“Enter”键。

5.单击“EnforcedUrsPolicies”GPO，然后单击“向上”按钮将其移到列表

的顶部。

注意：“EnforcedUrsPolicies”GPO应该具有最高的优先级。注意，此步

骤仅用于说明“向上”按钮的功能；强制实施的GPO始终优先于未强制实施的

GPO。

6.通过双击“禁止替代”列或使用“选项”按钮，为“EnforcedUr

Policies”GPO选择“禁止替代”设置。此时“testou1属性”页应该如下图所

示。

（7）示例脚本

//ScriptSampleforWindowsScriptingHost

//Defineconstantvalues.

varMB_ICONINFORMATION=0x40;

varMB_ICONQUESTION=0x20;

varMB_ICONYESNO=0x04

varIDYES=6;

varIDTIMEOUT=-1;

varPOPUP_WAIT=60;//clopopupafter5conds.

//CreateActiveXControls

varShell=Object("")

varEnv=nment("PROCESS")

//

//Setgreetingmessage.

//

varstrTitle="简单登录脚本";

varstrMsg="欢迎""+Env("UrName")

strMsg+=""来到""+Env("UrDomain")+""域rnrn"

(strMsg,POPUP_WAIT,strTitle,MB_ICONINFORMATION);

//LaunchInternetExplorerifurwants.

strMsg="你是否想访问WindowsServer2003网站?";

varstrURL;

strURL="/windowsrversystem/";

varintAnswer=(strMsg,

POPUP_WAIT,

strTitle,

MB_ICONQUESTION|MB_ICONYESNO);

if(intAnswer==IDYES)

{

(strURL);

}