在規(guī)模較大的局域網(wǎng)工作環(huán)境中，對(duì)每一臺(tái)客戶機(jī)進(jìn)行分別管理與維護(hù)，是一件既要細(xì)心又很繁瑣的工作，為了提高工作效率，網(wǎng)絡(luò)管理員們可謂煞費(fèi)苦心！其實(shí)，巧妙利用域服務(wù)器中的ActiveDirectory功能，能很方便地對(duì)網(wǎng)絡(luò)中的所有客戶機(jī)進(jìn)行批量甚至智能管理與維護(hù)，從而有效提高工作效率，讓網(wǎng)絡(luò)管理員們從繁重的勞動(dòng)中解放出來！

升級(jí)域服務(wù)器

在規(guī)模不大的網(wǎng)絡(luò)環(huán)境中，網(wǎng)絡(luò)管理員往往為了圖省事，會(huì)簡單架設(shè)一個(gè)對(duì)等網(wǎng)，所有客戶機(jī)通過一臺(tái)路由器就能輕松實(shí)現(xiàn)共享上網(wǎng)目的。不過，在平時(shí)的管理維護(hù)過程中，網(wǎng)管員需要對(duì)每一臺(tái)客戶機(jī)進(jìn)行單獨(dú)配置與管理，顯然這樣的管理維護(hù)效率不是很高。其實(shí)要想對(duì)這些眾多的客戶機(jī)進(jìn)行自動(dòng)化、批量化管理，只要將其中一臺(tái)客戶機(jī)升級(jí)為域服務(wù)器，并利用該服務(wù)器的ActiveDirectory功能，來動(dòng)態(tài)智能管理它們了。

在升級(jí)域服務(wù)器時(shí)，首先從局域網(wǎng)中選擇一臺(tái)硬件配置很高、工作性能十分穩(wěn)定的客戶機(jī)作為服務(wù)器，以確保它能及時(shí)響應(yīng)來自客戶機(jī)的上網(wǎng)請(qǐng)求。選好計(jì)算機(jī)后，重新安裝WindowsServer2003服務(wù)器版操作系統(tǒng)，這樣一臺(tái)普通客戶機(jī)就會(huì)搖身變成服務(wù)器了。

按常規(guī)方法配置好該服務(wù)器的上網(wǎng)參數(shù)，只是要注意的是，必須要將TCP/IP協(xié)議屬性界面中的DNS服務(wù)器地址設(shè)置成該服務(wù)器的靜態(tài)IP地址。接著檢查該服務(wù)器的系統(tǒng)分區(qū)是否為NTFS分區(qū)格式，要是發(fā)現(xiàn)還不是時(shí)，必須及時(shí)將其轉(zhuǎn)換過來，之后依次單擊“開始”|“運(yùn)行”命令，打開系統(tǒng)運(yùn)行對(duì)話框，輸入“dcpromo.exe”命令，單擊回車鍵后，按照如圖1所示的屏幕提示，就能將服務(wù)器升級(jí)為局域網(wǎng)域服務(wù)器了。

添加客戶機(jī)到域

只有那些被加入到局域網(wǎng)域中的客戶機(jī)，才會(huì)接受域服務(wù)器的控制與調(diào)度，網(wǎng)絡(luò)管理員是無法在域服務(wù)器中對(duì)那些沒有加入域的客戶機(jī)進(jìn)行管理與維護(hù)的。在進(jìn)行添加操作時(shí)，首先依次單擊客戶機(jī)中的“開始”|“設(shè)置”|“網(wǎng)絡(luò)連接”命令，彈出網(wǎng)絡(luò)連接列表窗口，用鼠標(biāo)右鍵單擊本地連接圖標(biāo)，執(zhí)行右鍵菜單中的“屬性”命令，切換到本地連接屬性對(duì)話框，選中TCP/IP協(xié)議選項(xiàng)，按下“屬性”按鈕，進(jìn)入TCP/IP協(xié)議屬性設(shè)置框，在這里一定要將客戶機(jī)的DNS服務(wù)器地址設(shè)置成域服務(wù)器的靜態(tài)IP地址，這樣能有效避免客戶機(jī)無法找到DNS服務(wù)器而不能成功登錄域的現(xiàn)象

接著依次單擊“開始”|“設(shè)置”|“控制面板”命令，雙擊控制面板窗口中的“系統(tǒng)”圖標(biāo)，進(jìn)入系統(tǒng)屬性對(duì)話框，選擇“計(jì)算機(jī)名”標(biāo)簽，單擊對(duì)應(yīng)標(biāo)簽頁面中的“更改”按鈕，在其后界面的“隸屬于”文本框中（如圖2所示），正確輸入域服務(wù)器的域名信息，并按“確定”按鈕，這時(shí)系統(tǒng)屏幕會(huì)出現(xiàn)賬號(hào)登錄對(duì)話框，輸入域服務(wù)器系統(tǒng)的管理員賬號(hào)與密碼，客戶機(jī)就能被成功添加到局域網(wǎng)特定域中了。

按需管理網(wǎng)絡(luò)

在單位局域網(wǎng)環(huán)境中，每臺(tái)客戶機(jī)所擺放的地理位置、所處的工作部門以及使用的人群都不會(huì)相同，我們只有將這些眾多的客戶機(jī)按照某種類型分類，并對(duì)它們進(jìn)行集中分別管理，才能實(shí)現(xiàn)它們按需高效上網(wǎng)。

為客戶機(jī)分類

假設(shè)要將局域網(wǎng)中的客戶機(jī)按照地理位置分為A、B、C、D四類時(shí)，可以先以系統(tǒng)管理員權(quán)限登錄進(jìn)入域服務(wù)器系統(tǒng)，依次單擊“開始”|“設(shè)置”|“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“管理工具”、“ActiveDirectory用戶和計(jì)算機(jī)”圖標(biāo)，在其后界面中選中特定域名，并用鼠標(biāo)右鍵單擊該名稱，執(zhí)行右鍵菜單中的“新建組織單位”命令，之后依照客戶機(jī)地理位置分別創(chuàng)建“A”、“B”、“C”、“D”這幾個(gè)組織。

下面根據(jù)實(shí)際需求，在“A”、“B”、“C”、“D”這幾個(gè)組織中創(chuàng)建用戶賬號(hào)。例如，要在“A”單元組織中創(chuàng)建系統(tǒng)登錄賬號(hào)時(shí)，可以用鼠標(biāo)右鍵單擊“A”單元組織，從彈出的右鍵菜單中依次點(diǎn)選“新建”|“用戶”命令，切換到新用戶創(chuàng)建對(duì)話框，在其中正確輸入用戶的名稱、登錄賬號(hào)以及密碼信息。等到賬號(hào)創(chuàng)建成功后，我們就能在客戶機(jī)上利用之前創(chuàng)建好的用戶賬號(hào)登錄進(jìn)域服務(wù)器系統(tǒng)了。當(dāng)然，該登錄賬號(hào)默認(rèn)只享有普通操作權(quán)限。

控制運(yùn)行程序

在域服務(wù)器系統(tǒng)中，我們可以巧妙利用系統(tǒng)組策略功能，對(duì)不同組織單元中的客戶機(jī)進(jìn)行批量管理，以提高網(wǎng)絡(luò)管理維護(hù)效率。比方說，“A”單元組織中的客戶機(jī)處于公共場合，員工只能在系統(tǒng)中安裝運(yùn)行特定的應(yīng)用程序，類似QQ、炒股軟件這樣的程序禁止使用，要實(shí)現(xiàn)這種控制目的，可以按照如下步驟來進(jìn)行：

首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入域服務(wù)器系統(tǒng)，依次單擊“開始”|“設(shè)置”|“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“管理工具”|“ActiveDirectory用戶和計(jì)算機(jī)”圖標(biāo)，用鼠標(biāo)右鍵單擊“A”單元組織名稱，從彈出的右鍵菜單中逐一點(diǎn)選“屬性”|“組策略”|“新建”命令，在新建對(duì)話框中設(shè)置好組策略名稱。

接著逐一點(diǎn)選“編輯”|“用戶配置”|“管理模板”|“系統(tǒng)”選項(xiàng)，在目標(biāo)選項(xiàng)右側(cè)子窗格中，用鼠標(biāo)右鍵單擊“只運(yùn)行許可的Windows應(yīng)用程序”組策略，執(zhí)行右鍵菜單中的“編輯”命令，打開如圖3所示的組策略屬性對(duì)話框。

將“已啟用”選項(xiàng)選中，激活“顯示”按鈕，在顯示對(duì)話框中輸入可以運(yùn)行的應(yīng)用程序路徑，并單擊“確定”按鈕執(zhí)行設(shè)置保存操作。為了讓設(shè)置立即生效，我們還需要在客戶機(jī)系統(tǒng)，打開系統(tǒng)運(yùn)行對(duì)話框，在其中執(zhí)行“gpupdate.exe”命令，強(qiáng)制更新組策略設(shè)置。按照同樣的操作方法，將其他允許運(yùn)行的應(yīng)用程序逐一添加進(jìn)來。

控制自啟動(dòng)程序

如果希望一些應(yīng)用程序能夠在用戶登錄域服務(wù)器系統(tǒng)的過程中自行啟動(dòng)，我們可以選中剛才創(chuàng)建的組策略，并將鼠標(biāo)定位到“用戶配置”|“管理模板”|“系統(tǒng)”|“登錄”節(jié)點(diǎn)上，在目標(biāo)節(jié)點(diǎn)下找到“在用戶登錄時(shí)運(yùn)行這些程序”組策略，并用鼠標(biāo)雙擊該組策略，彈出對(duì)應(yīng)組策略屬性對(duì)話框。

其次選中這里的“已啟用”選項(xiàng)（如圖4所示），自動(dòng)激活“顯示”按鈕，切換到顯示對(duì)話框，按下“添加”按鈕，從彈出的文件選擇對(duì)話框中，將自己希望能自行啟動(dòng)運(yùn)行的應(yīng)用程序路徑導(dǎo)入進(jìn)來，并按“確定”按鈕保存設(shè)置操作。之后，再從客戶機(jī)系統(tǒng)執(zhí)行“gpupdate.exe”命令，強(qiáng)制更新組策略設(shè)置，確保上述設(shè)置操作立即生效。

控制訪問內(nèi)容

由于域服務(wù)器系統(tǒng)分區(qū)中的文件十分重要，如果允許普通客戶機(jī)中的用戶隨意訪問，很容易造成域控制器系統(tǒng)不能穩(wěn)定運(yùn)行。有鑒于此，我們必須禁止普通用戶隨意訪問系統(tǒng)分區(qū)，下面就是具體的禁止步驟：首先返回到之前打開的組策略編輯窗口，將鼠標(biāo)定位到“用戶配置”|“Windows組件”|“管理模板”|“Windows資源管理器”節(jié)點(diǎn)上，用鼠標(biāo)雙擊該節(jié)點(diǎn)下的“防止從我的電腦訪問驅(qū)動(dòng)器”組策略，打開如圖5所示的組策略屬性對(duì)話框。

其次檢查“已啟用”選項(xiàng)是否處于選中狀態(tài)，要是發(fā)現(xiàn)其還沒有被選中時(shí)，應(yīng)該將其重新選中，再從該選項(xiàng)下面的下拉列表中選擇“僅限制驅(qū)動(dòng)器C”選項(xiàng)，當(dāng)然，也可以根據(jù)實(shí)際需要選擇其他有關(guān)選項(xiàng)，最后單擊“確定”按鈕保存設(shè)置操作，這樣其他用戶日后就不能正常訪問域服務(wù)器系統(tǒng)分區(qū)中的其他內(nèi)容了。

控制登錄時(shí)間

為了防止普通客戶機(jī)對(duì)域服務(wù)器系統(tǒng)造成破壞，我們還可以控制它們的系統(tǒng)登錄時(shí)間，確保它們只能在正常工作時(shí)間使用域控制器。要做到這一點(diǎn)，可以按照如下步驟來操作：

首先以系統(tǒng)管理員權(quán)限登錄進(jìn)入域服務(wù)器系統(tǒng)，依次單擊“開始”|“設(shè)置”|“控制面板”命令，在彈出的系統(tǒng)控制面板窗口中，逐一雙擊“管理工具”|“ActiveDirectory用戶和計(jì)算機(jī)”圖標(biāo)，用鼠標(biāo)右鍵單擊“A”單元組織下面的用戶賬號(hào)名稱，切換到對(duì)應(yīng)賬號(hào)屬性對(duì)話框。

其次點(diǎn)選“賬戶”|“登錄時(shí)間”，指定好合適的登錄時(shí)間，并按“確定”按鈕保存設(shè)置操作，這樣用戶只能在特定的時(shí)段登錄域控制器，并接受域控制器的其他管理。