Active Directory助力網絡管理

在規(guī)模較大的局域網工作環(huán)境中，對每一臺客戶機進行分別管理與維護，是一件既要細心又很繁瑣的工作，為了提高工作效率，網絡管理員們可謂煞費苦心！其實，巧妙利用域服務器中的ActiveDirectory功能，能很方便地對網絡中的所有客戶機進行批量甚至智能管理與維護，從而有效提高工作效率，讓網絡管理員們從繁重的勞動中解放出來！

升級域服務器

在規(guī)模不大的網絡環(huán)境中，網絡管理員往往為了圖省事，會簡單架設一個對等網，所有客戶機通過一臺路由器就能輕松實現共享上網目的。不過，在平時的管理維護過程中，網管員需要對每一臺客戶機進行單獨配置與管理，顯然這樣的管理維護效率不是很高。其實要想對這些眾多的客戶機進行自動化、批量化管理，只要將其中一臺客戶機升級為域服務器，并利用該服務器的ActiveDirectory功能，來動態(tài)智能管理它們了。

在升級域服務器時，首先從局域網中選擇一臺硬件配置很高、工作性能十分穩(wěn)定的客戶機作為服務器，以確保它能及時響應來自客戶機的上網請求。選好計算機后，重新安裝WindowsServer2003服務器版操作系統(tǒng)，這樣一臺普通客戶機就會搖身變成服務器了。

按常規(guī)方法配置好該服務器的上網參數，只是要注意的是，必須要將TCP/IP協議屬性界面中的DNS服務器地址設置成該服務器的靜態(tài)IP地址。接著檢查該服務器的系統(tǒng)分區(qū)是否為NTFS分區(qū)格式，要是發(fā)現還不是時，必須及時將其轉換過來，之后依次單擊“開始”|“運行”命令，打開系統(tǒng)運行對話框，輸入“dcpromo.exe”命令，單擊回車鍵后，按照如圖1所示的屏幕提示，就能將服務器升級為局域網域服務器了。

添加客戶機到域

只有那些被加入到局域網域中的客戶機，才會接受域服務器的控制與調度，網絡管理員是無法在域服務器中對那些沒有加入域的客戶機進行管理與維護的。在進行添加操作時，首先依次單擊客戶機中的“開始”|“設置”|“網絡連接”命令，彈出網絡連接列表窗口，用鼠標右鍵單擊本地連接圖標，執(zhí)行右鍵菜單中的“屬性”命令，切換到本地連接屬性對話框，選中TCP/IP協議選項，按下“屬性”按鈕，進入TCP/IP協議屬性設置框，在這里一定要將客戶機的DNS服務器地址設置成域服務器的靜態(tài)IP地址，這樣能有效避免客戶機無法找到DNS服務器而不能成功登錄域的現象

接著依次單擊“開始”|“設置”|“控制面板”命令，雙擊控制面板窗口中的“系統(tǒng)”圖標，進入系統(tǒng)屬性對話框，選擇“計算機名”標簽，單擊對應標簽頁面中的“更改”按鈕，在其后界面的“隸屬于”文本框中（如圖2所示），正確輸入域服務器的域名信息，并按“確定”按鈕，這時系統(tǒng)屏幕會出現賬號登錄對話框，輸入域服務器系統(tǒng)的管理員賬號與密碼，客戶機就能被成功添加到局域網特定域中了。

按需管理網絡

在單位局域網環(huán)境中，每臺客戶機所擺放的地理位置、所處的工作部門以及使用的人群都不會相同，我們只有將這些眾多的客戶機按照某種類型分類，并對它們進行集中分別管理，才能實現它們按需高效上網。

為客戶機分類

假設要將局域網中的客戶機按照地理位置分為A、B、C、D四類時，可以先以系統(tǒng)管理員權限登錄進入域服務器系統(tǒng)，依次單擊“開始”|“設置”|“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“管理工具”、“ActiveDirectory用戶和計算機”圖標，在其后界面中選中特定域名，并用鼠標右鍵單擊該名稱，執(zhí)行右鍵菜單中的“新建組織單位”命令，之后依照客戶機地理位置分別創(chuàng)建“A”、“B”、“C”、“D”這幾個組織。

下面根據實際需求，在“A”、“B”、“C”、“D”這幾個組織中創(chuàng)建用戶賬號。例如，要在“A”單元組織中創(chuàng)建系統(tǒng)登錄賬號時，可以用鼠標右鍵單擊“A”單元組織，從彈出的右鍵菜單中依次點選“新建”|“用戶”命令，切換到新用戶創(chuàng)建對話框，在其中正確輸入用戶的名稱、登錄賬號以及密碼信息。等到賬號創(chuàng)建成功后，我們就能在客戶機上利用之前創(chuàng)建好的用戶賬號登錄進域服務器系統(tǒng)了。當然，該登錄賬號默認只享有普通操作權限。

控制運行程序

在域服務器系統(tǒng)中，我們可以巧妙利用系統(tǒng)組策略功能，對不同組織單元中的客戶機進行批量管理，以提高網絡管理維護效率。比方說，“A”單元組織中的客戶機處于公共場合，員工只能在系統(tǒng)中安裝運行特定的應用程序，類似QQ、炒股軟件這樣的程序禁止使用，要實現這種控制目的，可以按照如下步驟來進行：

首先以系統(tǒng)管理員權限登錄進入域服務器系統(tǒng)，依次單擊“開始”|“設置”|“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“管理工具”|“ActiveDirectory用戶和計算機”圖標，用鼠標右鍵單擊“A”單元組織名稱，從彈出的右鍵菜單中逐一點選“屬性”|“組策略”|“新建”命令，在新建對話框中設置好組策略名稱。

接著逐一點選“編輯”|“用戶配置”|“管理模板”|“系統(tǒng)”選項，在目標選項右側子窗格中，用鼠標右鍵單擊“只運行許可的Windows應用程序”組策略，執(zhí)行右鍵菜單中的“編輯”命令，打開如圖3所示的組策略屬性對話框。

將“已啟用”選項選中，激活“顯示”按鈕，在顯示對話框中輸入可以運行的應用程序路徑，并單擊“確定”按鈕執(zhí)行設置保存操作。為了讓設置立即生效，我們還需要在客戶機系統(tǒng)，打開系統(tǒng)運行對話框，在其中執(zhí)行“gpupdate.exe”命令，強制更新組策略設置。按照同樣的操作方法，將其他允許運行的應用程序逐一添加進來。

控制自啟動程序

如果希望一些應用程序能夠在用戶登錄域服務器系統(tǒng)的過程中自行啟動，我們可以選中剛才創(chuàng)建的組策略，并將鼠標定位到“用戶配置”|“管理模板”|“系統(tǒng)”|“登錄”節(jié)點上，在目標節(jié)點下找到“在用戶登錄時運行這些程序”組策略，并用鼠標雙擊該組策略，彈出對應組策略屬性對話框。

其次選中這里的“已啟用”選項（如圖4所示），自動激活“顯示”按鈕，切換到顯示對話框，按下“添加”按鈕，從彈出的文件選擇對話框中，將自己希望能自行啟動運行的應用程序路徑導入進來，并按“確定”按鈕保存設置操作。之后，再從客戶機系統(tǒng)執(zhí)行“gpupdate.exe”命令，強制更新組策略設置，確保上述設置操作立即生效。

控制訪問內容

由于域服務器系統(tǒng)分區(qū)中的文件十分重要，如果允許普通客戶機中的用戶隨意訪問，很容易造成域控制器系統(tǒng)不能穩(wěn)定運行。有鑒于此，我們必須禁止普通用戶隨意訪問系統(tǒng)分區(qū)，下面就是具體的禁止步驟：首先返回到之前打開的組策略編輯窗口，將鼠標定位到“用戶配置”|“Windows組件”|“管理模板”|“Windows資源管理器”節(jié)點上，用鼠標雙擊該節(jié)點下的“防止從我的電腦訪問驅動器”組策略，打開如圖5所示的組策略屬性對話框。

其次檢查“已啟用”選項是否處于選中狀態(tài)，要是發(fā)現其還沒有被選中時，應該將其重新選中，再從該選項下面的下拉列表中選擇“僅限制驅動器C”選項，當然，也可以根據實際需要選擇其他有關選項，最后單擊“確定”按鈕保存設置操作，這樣其他用戶日后就不能正常訪問域服務器系統(tǒng)分區(qū)中的其他內容了。

控制登錄時間

為了防止普通客戶機對域服務器系統(tǒng)造成破壞，我們還可以控制它們的系統(tǒng)登錄時間，確保它們只能在正常工作時間使用域控制器。要做到這一點，可以按照如下步驟來操作：

首先以系統(tǒng)管理員權限登錄進入域服務器系統(tǒng)，依次單擊“開始”|“設置”|“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“管理工具”|“ActiveDirectory用戶和計算機”圖標，用鼠標右鍵單擊“A”單元組織下面的用戶賬號名稱，切換到對應賬號屬性對話框。

其次點選“賬戶”|“登錄時間”，指定好合適的登錄時間，并按“確定”按鈕保存設置操作，這樣用戶只能在特定的時段登錄域控制器，并接受域控制器的其他管理。