實驗環(huán)境使用VMW虛擬機，客戶端為WindowsXPSP2，服務器端為WindowsServerSP2公司版。首先將服務器端安裝好活動目錄，無需任何設立，默認安裝即可，并將客戶端加入到域。下面開始具體操作1、首先在服務器端用ActiveDirectory顧客和計算機管理工具建立一種User，我這里以“小五”為顧客名，以下圖2、在服務器端建立保存顧客配備文獻的共享文獻夾，本文在c盤建立了一種user文獻夾，用來保存全部顧客配備文獻，然后再user文獻夾下建立一種“小五”文獻夾，用來保存“小五”顧客的配備文獻。這里面一定要注意權限的設立，在共享文獻夾中的權限去掉everyone，然后找到我們域中的顧客“小五”，給他全部權限。3、進一步權限設立，如圖這樣權限方面問題已經設立完畢4、在ActiveDirectory顧客和計算機管理工具中為“小五”顧客設立顧客配備文獻漫游，如圖192.168.1.201為我們的服務器，背面所接的“user/小五”為保存顧客配備文獻的共享文獻夾主文獻夾相稱于顧客的“我的文檔”，這里面映射到服務器上，更能確保顧客文獻安全性與可靠性?，F(xiàn)在配備基本完畢，我們從客戶端登錄一下試試看初次登陸之后，我們注銷，這樣，本地的配備文獻，就會自動保存到服務器上對應的文獻夾?；氐椒掌魃衔覀儠吹缴珊枚辔墨I，剛剛這里面還是空的這些文獻就是我們注銷的時候下面提示正在保存配備文獻的時候，其實就是把文獻寫入我們服務器里面了。我們再次重新登陸一下打開我的電腦會發(fā)現(xiàn)多了一種磁盤映射這就是我們專門為此顧客設計的一種共享文獻夾，顧客能夠把重要的數(shù)據(jù)等寄存在這里，其實就是寄存在服務器上，相對來說就更加安全了。至此，漫游顧客配備文獻就配備完畢了。小提示：如果配備過程中出現(xiàn)某些問題，那么多數(shù)是權限設立問題。這時候需要檢查一下權限即可。其它方面普通極少出現(xiàn)問題。另外，如果，服務器上共享的文獻夾只予以只讀權限，那么，顧客配備文獻全部內容在下次登錄的時候都會失效，像還原卡同樣。由于，在注銷時向服務器更新配備文獻的時候是沒有權限的，而下次登錄的時候再次向服務器請求配備文獻，自然而然就是舊的了，而不是最新的。

網(wǎng)絡環(huán)境：網(wǎng)絡構造采用VLAN劃分部門，服務器單獨一種VLAN，通過在核心交換機上配備路由和ACL實現(xiàn)各部門之間不可互訪，通過訪問服務器進行數(shù)據(jù)交換。服務器是Win公司版，不記得用什么光盤裝的了，反正網(wǎng)上下的，裝完后打過SP2補丁，安裝的Win域控制器模式（有Win的服務器）。域名：XXX.local主域控制器：192.168.0.6/24

192.168.0.254/24（雙網(wǎng)卡）這個網(wǎng)段只有網(wǎng)管部門可訪問，原來是調試用的，還沒有正式遷移到服務器網(wǎng)段，但是能夠和服務器網(wǎng)段建立通信。額外域控制器：192.168.2.254/24

服務器網(wǎng)段DNS：192.168.2.254DHCP

：192.168.2.254

已經通過交換機的UDPHelp把各個VLAN的DHCP網(wǎng)段都做好了，只配備了IP、網(wǎng)關、DNS。局域網(wǎng)計算機有Win2kPro和WinXPPro，W2k是用自己封裝的ghost批量安裝的，xp是用的YlmF_GhostXP_SP3_Y1.0，固然都是會隨機產生SID啦，全部采用自動獲取IP地址，安裝后默認設立不變，XP自帶防火墻啟動，配備如圖1。（圖1）在客戶端能夠Ping通服務器IP地址以及binhu.local?？傊W(wǎng)絡層的互聯(lián)互通是OK的，下面的問題全都不是由網(wǎng)絡配備問題造成的，如果您擬定您的網(wǎng)絡配備都對的，并且網(wǎng)絡構造和我大致相似或比我的還簡樸，能夠繼續(xù)往下看.問題1：新計算機在添加到域的過程中，按提示輸入了域帳戶和密碼后，系統(tǒng)提示“找不到網(wǎng)絡途徑”。答：啟動計算機的“TCP/IPNetBIOSHelper”服務。很不幸，我做的w2k鏡像和ylmf的xp鏡像剛好都把該服務設為了手動。問題2：加入到域的計算機，無法在域控制器上打開“計算機管理”。答：剛把計算機test加入到域，我就迫不及待的登陸到域控制器，想通過AD控制臺遠程打開該計算機的“計算機管理”，成果又彈出提示“找不到\\test.XXX.local的網(wǎng)絡途徑”。嘗試在域控制器上ping了一下test.XXX.local，居然提示“Pingrequestcouldnotfindhosttest.XXX.local.”，域名解析失敗！趕快檢查DNS統(tǒng)計，發(fā)現(xiàn)test.XXX.local主機統(tǒng)計安然的躺在正向搜索區(qū)域中，看來不是DNS服務器的問題。猛然想起本地DNS緩存，趕快關閉“DNSClient”服務，再次嘗試問題解決。原來即使是在DNS服務器上進行域名解析，也不是直接查找的DNS數(shù)據(jù)庫啊！總結經驗：在局域網(wǎng)布署過程中，網(wǎng)絡節(jié)點變化比較頻繁，建議關掉網(wǎng)絡計算機上的本地DNS緩存服務，待局域網(wǎng)正常運作之后，網(wǎng)絡節(jié)點變化較少，再根據(jù)DNS服務器響應DNS請求的負荷來考慮與否有必要打開該服務。問題3：加入到域的計算機，在域控制器上打開“計算機管理”，部分項無法管理。答：打開“計算機管理”后，發(fā)現(xiàn)“本地顧客和組”打，除了能夠查看“共享文獻夾”下的內容外，其它項目都不能正常查看。在經歷了上面2道磨難后，又碰到這種問題，是不是倍受打擊呢？其實對于稍微“馬虎”一點的管理員，普通都不會碰到這個問題。無奈我配備域管理的目的是為了便于分發(fā)安全方略，不得不“精細化管理”，從組方略到服務到共享到防火墻統(tǒng)統(tǒng)折騰了一遍......還是很有收獲的！在無多次的“gpupdate”之后，探索到某些既不影響“計算機管理”，又能一定程度提高安全性的辦法。（1）共享：有IPC$即可，其它默認共享都能夠關掉。（2）網(wǎng)絡組件：必須安裝“Microsoft網(wǎng)絡文獻和打印機共享”，且必須打鉤。（3）內置防火墻：需要允許“文獻和打印機共享”，且不限制135、137、138、139、445等端口的監(jiān)聽。（固然您能夠用更強大的防火墻進行數(shù)據(jù)篩選，看個人功力了:）（4）服務：需要啟動“Server”、“TCP/IPNetBIOSHelper”、“RemoteRegistry”服務。（5）組方略：為了增強網(wǎng)絡訪問安全性，我在安全選項中啟用了“不允許SAM帳戶的匿名枚舉”、“不允許SAM帳戶和共享的匿名枚舉”、“限制對命名管道和共享的匿名訪問”等三個選項，事實證明不會影響到“計算機管理”。由于進行了(1)~(4)項配備，只有以其它方式來嚴禁共享文獻夾了。我在“顧客權限分派”中將“從網(wǎng)絡訪問此計算機”設為僅有“DomainAdmins”組，又把“回絕從網(wǎng)絡訪問此計算機”設為“DomainUsers、Users、PowerUsers、Guests”，不能從域控制器遠程打開“計算機管理”了。通過分析，是由于我登陸到域控制器的管理員帳戶默認也是“DomainUsers”組的組員，將它拿出來，再試還是不行，直到我把Users組從“回絕從網(wǎng)絡訪問此計算機”選項中拿出來后來，又能夠正常打開了。因素可能是：1.該管理員帳戶同時也是Users構組員，在升級為域控制器之后，沒方法從Users組中拿出來了，我沒有進一步嘗試；2.域管理員帳戶通過網(wǎng)絡訪問客戶機，會被自動應用到Users構組員中，純屬猜想，沒有具體查資料?？偠灾?，只得放任Users構組員不管了，好在我禁用了客戶機的本地帳戶，只能登陸到域，變成DomainUsers就歸我管了，嘿嘿，基本解決了嚴禁文獻夾共享的問題了吧，現(xiàn)在即使是在客戶機設立了EveryOne完全訪問的共享文獻夾，普通顧客也回絕訪問。固然你也能夠完全不理睬與否打得開“計算機管理”，那就得自己測試一下與否能對的分發(fā)組方略了。問題4：DomainUsers無法運行AutoCADR14等軟件的問題。答：說到域環(huán)境下布署應用程序的問題，這涉及到公司軟件管理制度、計算機管理制度等方面，可談的話題十分寬泛，這里僅從不控制軟件使用的角度上講一講在域環(huán)境下布署應用程序的某些思路。（1）在FAT32目錄下安裝的軟件、綠色軟件等等，諸多是能夠不用布署直接運行的。（不到萬不得已不推薦用FAT32）（2）在組方略上啟用“軟件限制方略”，按默認即可，大部分軟件立刻能夠正常運行。（3）按（2）設立后，對于Autocadr14這樣的老軟件，不妨試一試新版本，Autocad就能夠正常運行，經我測試的Matlab6.5、Protel99se、SolidWorks等都能夠正常運行。（4）還不能運行的軟件，用組方略的“軟件安裝”