Después de configurar el control de dominio en win2003, las contraseñas de usuario no se pueden crear ni modificar en la consola AD.

Déjame responder, la instalación y configuración del dominio bajo la plataforma WINDOWS:

Promoción de un servidor miembro a controlador de dominio (1)

Muchas empresas Actualmente, la cantidad de PC en la red supera las 10: según Microsoft, si la cantidad de PC en la red general es inferior a 10, se recomienda adoptar el modo de trabajo de red peer-to-peer, y si excede las 10, Se recomienda adoptar el modo de administración de dominio, porque el dominio puede proporcionar una administración centralizada, lo que tiene muchos beneficios en comparación con la administración descentralizada de la red peer-to-peer. Entonces, ¿cómo promover un servidor miembro a controlador de dominio? practíquelo ahora:

Todos los servidores miembros de este artículo utilizan Windows Server 2003 de Microsoft y los clientes utilizan Windows XP.

En primer lugar, por supuesto, instale Windows Server 2003 en el servidor miembro. Una vez que la instalación sea exitosa, ingrese al sistema.

Lo primero que debemos hacer es asignar. una IP fija, especificada aquí de la siguiente manera:

Nombre de la máquina: Servidor

IP: 192.168.5.1

Máscara de subred: 255.255.255.0

DNS: 192.168.5.1 (porque quiero configurar esta máquina como servidor DNS)

Dado que DNS no se instala durante el proceso de instalación predeterminado de Windows Server 2003, necesitamos agregarlo manualmente, el El método para agregar es el siguiente: "Inicio-Configuración-Panel de control-Agregar y quitar programas", luego haga clic en "Agregar o quitar componentes de Windows", podrá ver la siguiente pantalla:

Mover hacia abajo a la derecha Desplazamiento barra, busque "Servicios de red" y seleccione:

De forma predeterminada, se agregarán todos los servicios de red. Puede hacer clic en "Detalles" a continuación para personalizar la instalación, ya que aquí solo se requiere DNS, así que eliminé todo. else y lo instalé cuando sea necesario en el futuro:

Luego haga clic en "Aceptar" y siga haciendo clic en "Siguiente" para completar toda la instalación de DNS. Durante todo el proceso de instalación, asegúrese de que el CD de instalación de Windows Server 2003 esté en la unidad de CD-ROM. De lo contrario, aparecerá un mensaje indicando que no se puede encontrar el archivo y deberá localizarlo manualmente.

Después de instalar el DNS, puede realizar la operación de actualización. Primero haga clic en "Iniciar - Ejecutar", ingrese "Dcpromo" y luego presione Entrar para ver el "Asistente de instalación de Active Directory".

Haga clic en "Siguiente" directamente aquí:

Este es un requisito de compatibilidad. Windows 95 y las versiones anteriores de NT 4 SP3 no pueden iniciar sesión en controladores de dominio que ejecutan Windows Server 2003. Le recomiendo que intente utilizar Windows. 2000 y sistemas operativos superiores como cliente. Luego haga clic en "Siguiente":

Dado que este es el primer controlador de dominio, seleccione el primer elemento: "Controlador de dominio para el nuevo dominio" y luego haga clic en "Siguiente":

Dado que este es el primer controlador de dominio, por supuesto, también elegimos "Dominio en el nuevo bosque":

Aquí debemos especificar un nombre de dominio. Lo que especifiqué aquí es demo.com.

Aquí está el nombre NetBIOS especificado. Tenga cuidado de no entrar en conflicto con el cliente a continuación. Es decir, no puede haber otra PC llamada "demo" en toda la red, aunque se puede modificar aquí. La sugerencia es utilizar el predeterminado para ahorrarse problemas más adelante.

Aquí debe especificar la ubicación de almacenamiento de la base de datos AD y la fecha. Si no hay problemas con el espacio en la unidad C, se recomienda utilizar el valor predeterminado.

Aquí está la ubicación de la carpeta SYSVOL especificada. Nuevamente, no se recomienda ninguna modificación a menos que existan circunstancias especiales:

El error de diagnóstico de registro de DNS anterior siempre ocurrirá durante la primera implementación. pantalla, principalmente porque aunque DNS está instalado, no está configurado y no hay un servidor DNS disponible en la red, por lo que se produce el tiempo de espera de respuesta, por lo que aquí tienes que seleccionar: "Instalar en esta computadora y configurar DNS y configurar este servidor DNS". como el servidor DNS preferido para esta computadora."

"Esta es una opción de permiso. Aquí elijo la segunda opción: "Permisos sólo compatibles con el sistema operativo Windows 2000 o Windows 2003", porque en todo el entorno donde hice el experimento, no hay sistema operativo anterior a Windows 2000."

Aquí hay un punto importante, la contraseña de restauración. Espero que recuerdes esta contraseña después de configurarla. No la olvides, porque habrá más información sobre Active Directorio más tarde. Esta contraseña se utilizará en los artículos restaurados.

Esta es la pantalla de confirmación. Verifique cuidadosamente si la información que acaba de ingresar es correcta, especialmente si el nombre de dominio está escrito correctamente, porque cambiar el nombre de dominio no es una broma. haga clic en el paso anterior para ingresar al reinicio Enter, si la confirmación es correcta, luego haga clic en "Siguiente" para iniciar oficialmente la instalación:

Después de unos minutos, la instalación se completa:

Haga clic en Finalizar:

Haga clic en "Reiniciar ahora".

Entonces echemos un vistazo a las diferencias entre AD instalado y sin él. En primer lugar, la primera impresión es que las velocidades de apagado e inicio son obviamente más lentas:

Hay un cuadro de selección adicional "Iniciar sesión en":

Después de ingresar al sistema, haga clic derecho en "Mi PC", seleccione "Propiedades" y haga clic en "Equipo"

¿Qué tal? Es diferente a antes de instalar AD. Por ejemplo, ya no hay usuarios locales, hay tantos íconos en las herramientas de administración, etc. Estos se describirán en artículos futuros, así que no lo haré. entra en detalles aquí.

Promover un servidor miembro a controlador de dominio (2)

En mi último artículo, un servidor miembro llamado Servidor fue ascendido a servidor de controlador de dominio, echemos ahora un vistazo a cómo agregar las siguientes estaciones de trabajo al dominio.

Debido a consideraciones de seguridad de la red, las cuentas de administrador de dominio deben usarse lo menos posible, así que primero cree una cuenta delegada en el controlador de dominio, inicie sesión en el controlador de dominio, ejecute "dsa.msc" y Consola de administración "Usuarios y computadoras de AD":

Primero cree un nuevo usuario, expanda "demo.com", haga clic derecho en "Usuarios", haga clic en "Nuevo" - "Usuario":

Luego aparece un asistente para crear un nuevo usuario. Aquí, creé un nuevo usuario llamado "swg" y configuré la contraseña para que "nunca caduque".

Haga clic en "Siguiente" hasta completar para completar la creación del usuario. Luego haga clic derecho en "demo.com" y seleccione "Control de delegación":

Aparecerá un "Asistente de control de delegación":

Haga clic en "Siguiente":

p>

Haga clic en el botón "Agregar" en el medio e ingrese la cuenta "swg" que acaba de crear:

Luego haga clic en "Aceptar":

Haga clic en "Siguiente" ":

En la pantalla anterior, no es necesario que el usuario vaya a "Administrar enlaces de políticas de grupo" por el momento, así que aquí, simplemente seleccione "Agregar computadora al dominio" y luego haga clic "Siguiente":

Al final hay una pantalla de verificación de información. Si no hay problemas, simplemente haga clic en "Finalizar".

A continuación, vaya al cliente y vea cómo incorporar XP. El sistema operativo del cliente utilizado en el experimento es Windows XP Professional. Cabe señalar que la versión Home de Windows XP está dirigida a Yo soy. Soy un usuario doméstico, por lo que no puedo unirme al dominio. No me malinterpretes. Primero configuremos la red de este XP:

Nombre de la computadora: TestXP

IP: 192.168. 5.5

Máscara de subred: 255.255.225.0

Servidor DNS: 192.168.5.1,

Después de configurar la red, haga clic derecho en "Mi PC", Seleccione "Propiedades" y haga clic en "Nombre de la computadora".

Cambie "pertenece a" a dominio aquí, ingrese: "demo.com" y haga clic en Aceptar. Aparecerá la siguiente pantalla:

Ingrese el nombre de dominio que acaba de ingresar. control de dominio Para la cuenta "swg" que creó, haga clic en Aceptar:

Cuando aparezca la pantalla anterior, significa que se ha unido exitosamente, luego haga clic en Aceptar y haga clic en Reiniciar para estar bien. Echemos un vistazo a la pantalla de inicio de sesión para ver si hay algo diferente:

Ahora que ve "Iniciar sesión en", puede elegir si desea iniciar sesión con el dominio o con esta computadora. "DEMO" aquí, para que pueda utilizar el usuario del dominio que haya iniciado sesión. Después de ingresar al sistema, haga clic derecho en "Mi PC", seleccione "Propiedades" y haga clic en "Nombre de la computadora":

Vea la diferencia entre el lugar marcado con un cuadro negro y cuando no está agregado al dominio, ¿verdad?

Después de agregar los siguientes clientes al dominio, si el controlador de dominio se apaga o falla, encontrará que los siguientes clientes no pueden iniciar sesión en el dominio, así que cree otro dominio. Los controladores son necesarios para evitar daños accidentales a uno de ellos. El controlador de dominio creado posteriormente se denomina controlador de dominio adicional. Echemos un vistazo al proceso de establecimiento de un controlador de dominio adicional:

Por supuesto, la configuración de red es siempre el primer paso:

Nombre de la computadora: Bserver

IP: 192.168.5.2

Máscara de subred: 255.255.255.0

DNS: 192.168.5.1

Dado que se promueve a controlador de dominio, el componente DNS también debe ser El método de adición es el mismo que el especificado en mi primer artículo, por lo que no lo repetiré aquí. Una vez completada la adición, haga clic en "Inicio" - "Ejecutar" - "dcpromo":

El asistente y la compatibilidad del sistema operativo que aparecen son los mismos que cuando instala el primer controlador de dominio. Lo único que necesita. a lo que debe prestar atención es la siguiente pantalla:

Al instalar la primera, seleccionó "Controlador de dominio para dominio nuevo". Lo que desea seleccionar aquí es "Controlador de dominio adicional para dominio existente". y luego haga clic en "Siguiente" "Un paso":

Aquí, ingrese la contraseña de la cuenta del administrador del dominio, complete el nombre DNS completo o el nombre NetBios del dominio correspondiente en "Dominio" y haga clic en " Siguiente":

Asegúrese de completar aquí el nombre DNS completo del dominio existente y luego haga clic en "Siguiente". La siguiente operación es la misma que cuando instalé el primer controlador de dominio, así que no No lo escribas más hasta terminarlo. En cuanto a cómo dejar que el otro se haga cargo si uno de los controladores de dominio está dañado en un entorno de dominio con dos controladores de dominio, lo explicaré en detalle en un artículo futuro. Si encuentra algún problema en la configuración anterior, puede enviarme un correo electrónico. Mi dirección de correo electrónico es: hzswg@sohu.com. Si hay algún error en mi artículo, escríbame para corregirme, ¡gracias!

Archivo de configuración de usuario de Active Directory

El establecimiento de usuarios de dominio se encuentra en el artículo anterior (Cómo Promocionar un servidor miembro a controlador de dominio (1), (2)) ya se ha cubierto, por lo que el método de creación de un usuario no se repetirá aquí. Este artículo le presenta principalmente el archivo de configuración del usuario.

En primer lugar, ¿qué es un perfil de usuario? Según la explicación oficial de Microsoft: Un perfil de usuario es un conjunto de configuraciones y archivos que definen el entorno necesario para la carga del sistema cuando el usuario inicia sesión. Incluye todo. ajustes de configuración específicos del usuario. ¿Dónde existe el archivo de configuración del usuario en el sistema? Entonces, ¿qué incluye el archivo de configuración del usuario? Permítame mostrarle una captura de pantalla:

El archivo de configuración del usuario se guarda en: disco del sistema (generalmente la unidad C) , hay una carpeta con el mismo nombre que su nombre de usuario de inicio de sesión. El perfil de usuario se guarda aquí. Por cierto, si hay un usuario con el mismo nombre en esta máquina y dominio, y si ha iniciado sesión, entonces el sufijo. Aparecerá después de la carpeta con el mismo nombre. Por ejemplo: Por ejemplo, hay una computadora (testxp) en un dominio (demo.com), hay una cuenta swg localmente y también hay una cuenta swg en el dominio. una cuenta swg y ha iniciado sesión en esta computadora, sucederá lo siguiente:

La cuenta local inicia sesión primero: luego la carpeta de configuración del usuario swg local es swg y el archivo de configuración de usuario del usuario del dominio. La carpeta es swg.demo.

Primero inicie sesión con una cuenta de dominio: luego, la carpeta de configuración del usuario del dominio es swg y la carpeta de configuración del usuario local es swg.testxp.

En la captura de pantalla anterior, podemos ver que el archivo de configuración del usuario incluye algunas configuraciones personalizadas como configuración del escritorio, mis documentos, favoritos, configuración de IE, etc. Otra cosa a tener en cuenta es que hay una carpeta llamada "Todos los usuarios" en la carpeta "Documentos y configuraciones". Si crea un nuevo archivo en la carpeta "Escritorio" debajo de esta carpeta, encontrará todos los usuarios. Este archivo está en el. escritorio al iniciar sesión, por lo que la configuración en esta carpeta es efectiva para todos los usuarios de esta computadora.

Cuando la red se convierte en una estructura de dominio, todos los usuarios del dominio pueden iniciar sesión en cualquier computadora del dominio. Cuando modifica el archivo de configuración de usuario en una computadora, encontrará que el archivo de configuración de usuario en otra computadora. se modifica Al iniciar sesión en la computadora, todas las configuraciones siguen siendo las mismas y no se han modificado. Esto se debe a que el archivo de configuración del usuario se guarda localmente, ya sea un usuario de dominio o un usuario local. donde el usuario inicia sesión. Podemos "hacer clic derecho" en "Mi PC", seleccionar "Propiedades", hacer clic en "Avanzado" y luego hacer clic en "Configuración" en "Perfil de usuario":

Preste atención al "Tipo" Las partes marcadas con cuadros rojos son todas "locales", lo que significa que el perfil de usuario se guarda localmente. Entonces, ¿cómo podemos hacer que el perfil de usuario siga la cuenta, es decir, se pueda mantener sin importar en qué computadora inicie sesión el usuario? ¿Son consistentes los perfiles de usuario? Para resolver este problema, se utilizan perfiles de usuario móviles. El principio es guardar el perfil de usuario en una ubicación pública de la red. la ubicación pública en la red. **La ubicación descarga el archivo de configuración del usuario al local y lo aplica. Luego, cuando el usuario cierra la sesión, el archivo de configuración del usuario local se sincronizará con la ubicación pública en la red para garantizar la validez de. el archivo de configuración del usuario en la ubicación pública *** para su próximo uso.

Entonces, ¿cómo implementar esta función? Practiquémosla ahora:

Primero, abra una carpeta compartida en una ubicación pública de la red para almacenar archivos de configuración del usuario. En este experimento, abra una carpeta compartida para compartir en la red. controlador de dominio y abra los permisos:

Luego, haga clic en "Inicio-Configuración-Panel de control-Herramientas administrativas" y haga doble clic en "Usuarios y computadoras de AD" y seleccione el usuario correspondiente. Aquí tomamos el archivo "swg. "cuenta como ejemplo:

Haga doble clic en la cuenta "swg" y luego seleccione "Perfil". En "Perfil de usuario-Configuración, ingrese: \\192.168.5.1\share\username en "Archivo Ruta", "192.168.5.1" es la dirección IP del controlador de dominio, como se muestra en la siguiente figura:

Luego haga clic en Aceptar y luego vaya al cliente. Vaya a él e inicie sesión con " swg" para ver qué cambios ocurrirán.

Como se muestra en la figura anterior, el estado de DEMO\swg ha cambiado de "local" a "roaming". Si cierra la sesión del usuario en este momento, el perfil de usuario local del usuario se cambiará automáticamente. sincronizado. Vaya a la ubicación pública de la red y use "swg" para iniciar sesión en una computadora en otro dominio. Encontrará que todos los archivos de configuración del usuario son los mismos que en esta computadora. Entonces, ¿qué cambios se han producido en el servidor?

Como se muestra en la imagen de arriba, se creará automáticamente una carpeta "swg" con el mismo nombre de usuario en la carpeta "share" del servidor. , este archivo La carpeta solo puede ser abierta por el usuario correspondiente:

¿Le resulta familiar la imagen?

En la actualidad, los profesionales de TI de muchas empresas tienen el mismo suspiro, es decir A los usuarios les gusta poner algo en su escritorio. Aunque algunas cosas se pueden restringir mediante la política de grupo, siempre parece que no es perfecto. Aquí, recomiendo que los usuarios puedan modificar sus perfiles personales a voluntad. , pero una vez que cierran la sesión, estas modificaciones no se guardarán, por lo que la próxima vez que el usuario inicie sesión, el archivo de configuración del usuario seguirá siendo el mismo que antes. Entonces, ¿cómo implementar esta función? dat" en la carpeta de configuración del usuario a "Ntuser .man", echemos un vistazo al proceso de modificación:

Primero, al mostrar las extensiones de archivos ocultos y archivos conocidos, puedes modificarlo en "Herramientas -Opciones de carpeta-Ver":

~

Después de hacer clic en "Aceptar", podrá ver el archivo "Ntuser.dat", pero habrá un problema en este momento. Si modifica C:\Documentos y "Ntuser.dat" en Configuración\swg, encontrará que no hay forma de modificar este archivo porque el archivo está en uso y no se puede modificar si modifica "Ntuser.dat" en el; ubicación pública de la red, es \\192.168 "Ntuser.dat" en .5.1\share\swg, por supuesto, se puede modificar, pero cuando el usuario "swg" cierra sesión, el "Ntuser.dat" local reemplazará al "Ntuser. man" ubicado en la ubicación pública de la red. "Sobrescríbalo, lo que significa que no hay modificación.

Mucha gente quiere cambiar el propietario de la carpeta "swg" directamente en el servidor y luego agregar permisos a la cuenta de administrador, para que "Ntuser.dat" se pueda cambiar directamente en el servidor. Sin embargo, lo he intentado varias veces. y siempre falla. Se descubre que dicha operación hará que algunos permisos no se puedan heredar, lo que provocará errores, por lo que no se recomienda que todos lo utilicen. A continuación se muestra un método recomendado: