電腦網路域的設置和使用

① 電腦設置「域」有什麼作用

簡單點講，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域內訪問其他機器，不再需要被訪問機器的許可。

從管理上來講，在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶。計算機帳戶的密碼在域中稱為登錄票據，它是由DC（域控制器）上的KDC服務來頒發和維護的。如果計算機不能被KDC服務驗證。從而系統將禁止在這個計算機上的任何訪問請求（包括登錄）。

② Win10計算機如何設置域的域控制器

摘要 單擊開始-控制面板-，打開控制面板，雙擊網路共享中心，打開網路共享中心。2、右擊本地連接，在彈出的快捷菜單中選「屬性，3、在本地屬性的對話框中選擇INTERNET協議版本4選項，單擊屬性按鈕。4、在彈出的INETRNET協議版本4的對話框中選擇使用以下的IP地址和使用下面的DNS伺服器，輸入IP地址，子網掩碼。默認網關，首選DNS伺服器。(注意：對於將要安裝域控伺服器的計算機來說，首選DNS伺服器必須設置為本身的IP地址且必須是靜態地址，5、點擊確定按鈕，然後關閉對話框，完成IP設置。6、單擊開始-所有程序-管理工具-伺服器管理器 打開伺服器管理器窗口，選擇角色選項，單擊添加。在添加角色向導的對話框中 -開始選項中列出添加角色的前提條件，單擊下一步按鈕。7、在彈出的選擇伺服器角色列表中 選中Active Directory 域服務 復選框，單擊下一步，在彈出的 Active Directory 域服務簡介 對話框中顯示Active Directory 域服務的有關信息(由於本人機子已經安裝域控，故下圖有些區別)。單擊下一步 按鈕，在彈出的 確認安裝選擇對話框中單擊 安裝 按鈕，系統開始添加角色，安裝完成後，單擊關閉按鈕(注意：以上操作只是添加域服務角色，並沒有安裝域，必須運行Active Directory安裝向導工具將伺服器安裝成域控制器)。9、單擊開始--運行-- 在運行對話框中輸入Dcpromo.exe, 按回車鍵，然後在彈出的對話框中點確定--下一步，在彈出的 操作系統兼容性 對話框中 顯示當前系統域控伺服器兼容性的信息。

③ 如何組建區域網用組和域管理分別是怎樣設置的

1. 布線：要根據各個部門的實際位置、你的路由器放置的位置來定。
布線方案：幾台伺服器用一個交換機（數據處理量較大）、各個部門分別用一個交換機（方便以後出問題的維護）。
2. 這幾台伺服器直接接在交換機上。（一般很少接在路由器和交換機之間）
3. 設置用戶在伺服器上的許可權？用戶訪問伺服器干什麼，一般情況伺服器只提供服務，最好不要讓非管理人員訪問，不然容易出問題。
當然，（管理）伺服器可以提供共享空間，每個用戶一個文件夾或大家共用一個。
許可權：受控制計算機是加入域的（設置為受限許可權），用來管理的伺服器要做成域控制器。這樣受控制計算機的許可權自然限制了。（不懂，就查查如何架設2003域伺服器）
禁用USB，很簡單，只要在域管理伺服器上開機載入一個批處理，該批處理通過修改注冊表來禁用USB。（要禁用光碟機同樣可以實現，可以訪問我的空間。注意：要在Active Directory對應的域組策略中開機啟動這個批處理）
不能打開網頁：這個要在路由器上設置，不同品牌的路由器設置是不一樣的。
個別計算機可以使用USB和打開網頁:可以使用USB的，就不用加入域了，可以給他們一個普通賬戶的許可權，不能安裝、修改程序。
能不能打開網頁：可以通過IP來限制，規定某個范圍的計算機可以訪問，其餘的不能就行了。這時候許可權的作用派上用場：你給每台計算機指定IP，而他們沒有許可權修改IP。

原理就這樣，具體怎麼實現、需要哪些資料就靠你自己了。

④ 怎樣在我的電腦設置無線區域網絡

具體操作步驟如下：

一、首先是無線路由器插入電之後，就會自動產生WiFi，但是並不可以上網，此時在需要連接無線區域網的電腦上，點擊開始。

⑤ 怎麼設置無線網路和域！！

因您把筆記本拿到同學家插上他那邊的網線之後，再拿回來的時候我的筆記本就連不上網了。 並提示為用戶名或者域的設置不對。有兩方面的原因：1：本地IP地址不一樣呢或上網的網路結構不一樣了，因為若你們網路環境是域環境，而那邊的環境是一般環境，因為已經把筆記本拿到你們同學家（可能使用的是寬頻連接方式上網），用戶的IP地址可能已經改了，還有域環境則60天更換驗證連接方式，所以你可能登陸的時候則提示，域環境得安全性導致將其無法登陸，所以才會提示這種情況。對於這種方式你登陸的時候採用本機登陸系統試試看，（別用域賬戶登錄）若能進入系統,先查看下您的無線網卡驅動、配置等，若正常則重新加入域環境就可以了。若你朋友那邊是域環境，而你是一般環境則從域環境退出改為工作組環境（我的電腦右擊---屬性----計算機名---更改為工作組則可以）。
2、對於域，相對復雜，這里並非一兩句能說清楚的，我估計對於您而言您重新安裝系統是最好的解決問題的方式。這樣也能使本地筆記本的無線網卡驅動也正常，也能找到無線網路，不過前提是你的無線路由器配置正確。
3、路由器先將其恢復為默認設置，然後再重新配置下就可以了，

絕對原創--------個人經驗之談。。。。希望能幫助你。。。。

⑥ 如何把計算機加入域

1、首先確保電腦端能正常訪問域伺服器，可以PING一下，再修改電腦的DNS成域伺服器IP。

⑦ 計算機中的"域"到底是什麼意思有什麼用出我們為什麼要加入"域"域"和"工作組"有什麼分別呢

Windows域是計算機網路的一種形式，其中所有用戶帳戶，計算機，列印機和其他安全主體都在位於稱為域控制器的一個或多個中央計算機集群上的中央資料庫中注冊。 身份驗證在域控制器上進行。

在域中使用計算機的每個人都會收到一個唯一的用戶帳戶，然後可以為該帳戶分配對該域內資源的訪問許可權。 從Windows Server 2003開始 ，Active Directory是負責維護該中央資料庫的Windows組件。Windows域的概念與工作組的概念形成對比，在該工作組中，每台計算機都維護自己的安全主體資料庫。

域的作用

如果企業網路中計算機和用戶數量較多時，要實現高效管理，就需要windows域。

域和組的區別

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用戶驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域內訪問其他機器，不再需要被訪問機器的許可了。

因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什麼密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄憑據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。

為了保證系統的安全，KDC服務每30天會自動更新一次所有的憑據，並把上次使用的憑據記錄下來。周而復始。也就是說伺服器始終保存著2個憑據，其有效時間是60天，60天後，上次使用的憑據就會被系統丟棄。

如果你的GHOST備份里帶有的憑據是60天的，那麼該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計算機脫離域並重新加入，KDC服務會重新設置這一憑據。或者使用2000資源包里的NETDOM命令強制重新設置安全憑據。

因此在有域的環境下，請盡量不要在計算機加入域後使用GHOST備份系統分區，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯系你的系統管理員，你可以需要管理員重新設置計算機安全憑據，否則你將不能登錄域環境。

域和工作組適用的環境不同，域一般是用在比較大的網路里，工作組則較小，在一個域中需要一台類似伺服器的計算機，叫域控伺服器，其他電腦如果想互相訪問首先都是經過它的，但是工作組則不同，在一個工作組里的所有計算機都是對等的，也就是沒有伺服器和客戶機之分的。

但是和域一樣，如果一台計算機想訪問其他計算機的話首先也要找到這個組中的一台類似組控伺服器，組控伺服器不是固定的，以選舉的方式實現，它存儲著這個組的相關信息，找到這台計算機後得到組的信息然後訪問。

(7)電腦網路域的設置和使用擴展閱讀

與工作組關系

實際上我們可以把域和工作組聯系起來理解，在工作組上你一切的設置在本機上進行包括各種策略，用戶登錄也是登錄在本機的，密碼是放在本機的資料庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一台計算機登錄。

如果說工作組是「免費的旅店」那麼域（Domain）就是「星級的賓館」；工作組可以隨便出出進進，而域則需要嚴格控制。「域」的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。

所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下，任何一台電腦只要接入網路，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網路上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。

工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用戶驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域內訪問其他機器，不再需要被訪問機器的許可了。

為什麼是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的。

可是大家要問了，我沒有輸入過什麼密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄票據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。

為了保證系統的安全，KDC服務每30天會自動更新一次所有的票據，並把上次使用的票據記錄下來。周而復始。也就是說伺服器始終保存著2個票據，其有效時間是60天，60天後，上次使用的票據就會被系統丟棄。

如果你的GHOST備份里帶有的票據是60天的，那麼該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法是將計算機脫離域並重新加入，KDC服務會重新設置這一票據。或者使用2000資源包里的NETDOM命令強制重新設置安全票據。

因此在有域的環境下，請盡量不要在計算機加入域後使用GHOST備份系統分區，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯系你的系統管理員，你可以需要管理員重新設置計算機安全票據，否則你將不能登錄域環境。

參考資料來源：網路-windows域

參考資料來源：網路-域

⑧ 如何在WIN server中設置「域」

比如在一個網路內，可能有成百上千台工作電腦，如果這些電腦不進行分組，都列在「網上鄰居」內，可想而知會有多麼亂（恐怕網路鄰居也會顯示「下一頁」吧）。為了解決這一問題，Windows 9x/NT/2000才引用了「工作組」這個概念，比如一所高校，會分為諸如數學系、中文系之類的，然後數學系的電腦全都列入數學系的工作組中，中文系的電腦全部都列入到中文系的工作組中……如果你要訪問某個系別的資源，就在「網上鄰居」里找到那個系的工作組名，雙擊就可以看到那個系別的電腦了。
那麼怎麼樣才能加入到工作組中呢？其實方法很簡單，只需要右擊Windows桌面上的「網上鄰居」，在彈出的菜單出選擇「屬性」，點擊「標識」，在「計算機名」一欄中添入你想好的名字，在「工作組」一欄中添入你想加入的工作組名稱。如果你輸入的工作組名稱是一個不存在的工作組，那麼就相當於新建一個工作組，當然也只有你自己的電腦在裡面。不過要注意，計算機名和工作組的長度都不能超過15個英文字元，可以輸入漢字，但是也不能超過7個漢字。「計算機說明」是附加信息，不填也可以，但是最好填上一些這台電腦主人的信息，如「數學系主機」等。單擊「確定」按鈕後，Windows 98提示需要重新啟動，按要求重新啟動之後，再進入「網上鄰居」，就可以看到你所在工作組的成員了。
相對而言，所處在同一個工作組內部成員相互交換信息的頻率最高，所以你一進入「網上鄰居」，首先看到的是你所在工作組的成員。如果要訪問其他工作組的成員，需要雙擊「整個網路」，然後你才會看到網路上其他的工作組，雙擊其他工作組的名稱，這樣你才可以看到裡面的成員，與之實現資源交換。
除此之外，你也可以退出某個工作組，方法也很簡單，只要將工作組名稱改變一下即可。不過這樣在網上別人照樣可以訪問你的共享資源，只不過換了一個工作組而已。也就是說，你可以隨便加入同一網路上的任何工作組，也可以隨時離開一個工作組。「工作組」就像一個自由加入和退出的俱樂部一樣。它本身的作用僅僅是提供一個「房間」，以方便網上計算機共享資源的瀏覽。
域的管理和設置
打個比方，如果說工作組是「免費的旅店」那麼域（Domain）就是「星級的賓館」；工作組可以隨便出出進進，而域則需要嚴格控制。「域」的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下，任何一台電腦只要接入網路，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網路上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。
不過在「域」模式下，至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作，相當於一個單位的門衛一樣，稱為「域控制器（Domain Controller，簡寫為DC）」。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時，域控制器首先要鑒別這台電腦是否是屬於這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄，用戶就不能訪問伺服器上有許可權保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網路上的資源。
要把一台電腦加入域，僅僅使它和伺服器在網上鄰居中能夠相互「看」到是遠遠不夠的，必須要由網路管理員進行相應的設置，把這台電腦加入到域中。這樣才能實現文件的共享。
1． 伺服器端設置
以系統管理員身份在已經設置好Active Directory（活動目錄）的Windows 2000 Server上登錄，選擇「開始」菜單中「程序」選項中的「管理工具」，然後再選擇「Active Directory用戶和計算機」，之後在程序界面中右擊「Computers」，在彈出的菜單中單擊「新建」，然後選擇「計算機」，之後填入想要加入域的計算機名即可。要加入域的計算機名最好為英文，中文計算機名可能會引起一些問題。
2． 客戶端設置
首先要確認計算機名稱是否正確，然後在桌面「網上鄰居」上右擊滑鼠，點擊「屬性」出現網路屬性設置窗口，確認「主網路登錄」為「Microsoft網路用戶」。選中窗口上方的「Microsoft網路用戶」（如果沒有此項，說明沒有安裝，點擊「添加」安裝「Microsoft網路用戶」選項）。點擊「屬性」按鈕，出現「Microsoft網路用戶屬性」對話框，選中「登錄到Windows NT域」復選框，在「Windows NT域」中輸入要登錄的域名即可。這時，如果是Windows 98操作系統的話，系統會提示需要重新啟動計算機，重新啟動計算機之後，會出現一個登錄對話框。在輸入正確的域用戶賬號、密碼以及登錄域之後，就可以使用Windows 2000 Server域中的資源了。請注意，這里的域用戶賬號和密碼，必須是網路管理員為用戶建的那個賬號和密碼，而不是由本機用戶自己創建的賬號和密碼。

⑨ 電腦的域是什麼

域(Domain)是Windows網路中獨立運行的單位，域之間相互訪問則需要建立信任關系(即Trust Relation)。信任關系是連接在域與域之間的橋梁。當一個域與其他域建立了信任關系後，2個域之間不但可以按需要相互進行管理，還可以跨網分配文件和列印機等設備資源，使不同的域之間實現網路資源的共享與管理。
其實上我們可以把域和工作組聯系起來理解,在工作組上你一切的設置在本機上進行包括各種策略，用戶登陸也是登陸在本機的，密碼是放在本機的資料庫來驗證的。而如果你的計算機加入域的話，各種策略是域控制器統一設定，用戶名和密碼也是放到域控制器去驗證，也就是說你的賬號密碼可以在同一域的任何一台計算機登陸 .
如果說工作組是「免費的旅店」那麼域（Domain）就是「星級的賓館」；工作組可以隨便出出進進，而域則需要嚴格控制。「域」的真正含義指的是伺服器控制網路上的計算機能否加入的計算機組合。一提到組合，勢必需要嚴格的控制。所以實行嚴格的管理對網路安全是非常必要的。在對等網模式下，任何一台電腦只要接入網路，其他機器就都可以訪問共享資源，如共享上網等。盡管對等網路上的共享文件可以加訪問密碼，但是非常容易被破解。在由Windows 9x構成的對等網中，數據的傳輸是非常不安全的。
不過在「域」模式下，至少有一台伺服器負責每一台聯入網路的電腦和用戶的驗證工作，相當於一個單位的門衛一樣，稱為「域控制器（Domain Controller，簡寫為DC）」。
域控制器中包含了由這個域的賬戶、密碼、屬於這個域的計算機等信息構成的資料庫。當電腦聯入網路時，域控制器首先要鑒別這台電腦是否是屬於這個域的，用戶使用的登錄賬號是否存在、密碼是否正確。如果以上信息有一樣不正確，那麼域控制器就會拒絕這個用戶從這台電腦登錄。不能登錄，用戶就不能訪問伺服器上有許可權保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在一定程度上保護了網路上的資源。
要把一台電腦加入域，僅僅使它和伺服器在網上鄰居中能夠相互「看」到是遠遠不夠的，必須要由網路管理員進行相應的設置，把這台電腦加入到域中。這樣才能實現文件的共享。
集中統一，便於管理。
域和組的區別
工作組是一群計算機的集合，它僅僅是一個邏輯的集合，各自計算機還是各自管理的，你要訪問其中的計算機，還是要到被訪問計算機上來實現用戶驗證的。而域不同，域是一個有安全邊界的計算機集合，在同一個域中的計算機彼此之間已經建立了信任關系，在域內訪問其他機器，不再需要被訪問機器的許可了。為什麼是這樣的呢？因為在加入域的時候，管理員為每個計算機在域中（可和用戶不在同一域中）建立了一個計算機帳戶，這個帳戶和用戶帳戶一樣，也有密碼保護的。可是大家要問了，我沒有輸入過什麼密碼啊，是的，你確實沒有輸入，計算機帳戶的密碼不叫密碼，在域中稱為登錄票據，它是由2000的DC（域控制器）上的KDC服務來頒發和維護的。為了保證系統的安全，KDC服務每30天會自動更新一次所有的票據，並把上次使用的票據記錄下來。周而復始。也就是說伺服器始終保存著2個票據，其有效時間是60天，60天後，上次使用的票據就會被系統丟棄。如果你的GHOST備份里帶有的票據是60天的，那麼該計算機將不能被KDC服務驗證，從而系統將禁止在這個計算機上的任何訪問請求（包括登錄），解決的方法呢，簡單的方法使將計算機脫離域並重新加入，KDC服務會重新設置這一票據。或者使用2000資源包里的NETDOM命令強制重新設置安全票據。因此在有域的環境下，請盡量不要在計算機加入域後使用GHOST備份系統分區，如果作了，請在恢復時確認備份是在60天內作的，如果超出，就最好聯系你的系統管理員，你可以需要管理員重新設置計算機安全票據，否則你將不能登錄域環境。

⑩ 如何建立區域網域和加入域

一、 域的組建1.伺服器配置因為只有本地辦公，所以只需要單域就夠了。伺服器是三台IBM 伺服器，*作系統是WINDOWS 2000 SERVER版（也不一定要三台，實際上一台也能完成這些服務，至於用不用高級伺服器版隨你便了）。
:M]9X5Tb` he0
)`$g4vITV${U.q4y0 SERVER（192.168.0.1）：主域控制器，域名final.com，IP192.168.0.1；並配置為主DNS伺服器（轉發DNS請求到ISP的DNS伺服器IP，這樣當客戶機的DNS指向SERVER時不僅可以正常使用區域網也可以訪問Internet）；安裝WINS服務。
!`/O,{(R:l9f0 Many Summer -- 非常夏天/YEI&t#E6pP(t
SERVER2（192.168.0.2）：備份域控制器，DHCP伺服器，建立作用域192.168.0.0/24，提供192.168.0.10~192.168.0.100（具體提供多少IP地址請根據需要自定，關鍵是請留出一部分IP給伺服器用）；配置作用域選項，其中網關為192.168.0.254（寬頻共享路由器），DNS、WINS伺服器地址為192.168.0.1. SERVER3（192.168.0.3）：備用。Many Summer -- 非常夏天v\(t[c_1k6a
Many Summer -- 非常夏天 c*L\"T'C[SD
如果為了穩定，可以在SERVER2上配置為DNS為主DNS的備份區域及GC，這樣即使SERVER因調試重啟或故障暫時不能使用時保證客戶機仍可正常使用網路。
*cuu"l2U)X0
0["U;rT,VJp^0 請不要問我如何安裝DC、DNS、DHCP、WINS服務，微軟的設計簡直就是*瓜化的安裝。
;y%r,|.b#B-i-M9m1nx0
CuxAf5wl0 2.OU的建立公司有人事部、行政部、財務部、工程部、市場部五個部門（虛擬的）。Many Summer -- 非常夏天 ddFhn w6Z'D
為了管理及配置策略方便，建立以下OU層級。Many Summer -- 非常夏天o8h,O%j"qZ}y[@O
建立一級OU名為「FINAL」，「FINAL」下建三個二級OU，分別為「管理員」、「公司領導」、「部門」。在「部門」下按部門名稱建立五個部門OU.在每個二級OU和**OU下分別建立安全組和用戶，並把用戶加入相應的安全組。Many Summer -- 非常夏天0vf$wh j]#a

u+t-U'l&Ldf'{xm1c0 用戶帳號建立原則：以公司花名冊為准，用員工工號為登錄名建立用戶帳號，建立後移動到相應的部門OU，並加入相應的安全組，員工的帳號均為Domain Users組。Many Summer -- 非常夏天7WYf&W.m*jU q

_E-^P ijZ0 如在「管理員」OU里建立「管理組」，建立用戶「000」，並把用戶「000」加入安全組「管理組」；在OU「部門」－「人事部」下建立用戶「004」，加入安全組「人事組」。Many Summer -- 非常夏天l b\b-}3Ao8Xop

-n5ktuv4O0 建立用戶帳號的時候請完整輸入用戶的姓名資料，以便日後若安裝Exchange時使用。
!N~P ~*O;UHW;Y9W0
9^je.n [7[:X4o0 請注意：這時OU里並沒有計算機帳號，因為在設計OU時客戶機並沒有安裝，請看後面的客戶機安裝。
9R,Lk$]Sj0
/C4U9~/L2A'z0 3.組策略及網路使用按以上設計的OU層級，可以在公司、管理層次、功能部門分別設計相應的組策略。以下舉兩個實例以供參考。
_ hrQo7vy7uw0 Many Summer -- 非常夏天QoM w\*Sf0og
例一：限制客戶機登錄用戶客戶機加入域後（客戶機的安裝及配置見後），默認情況下任何一個域帳號可以在任何一台客戶機登錄到域使用該台客戶機。可我朋友公司的人竟然不接受這個觀點，說這樣子豈不是每個人的電腦其他人都可以打開了，不安全，要給每台電腦再加上CMOS開機密碼。當時我氣的差點兒六孔噴血而亡（當時正在吃KFC，嘴裡不會吐出來的）。

k2G{ ?:Z/BJ0 Many Summer -- 非常夏天+}lX }2q.l"u
在我幾番耐心講解，告訴他們「電腦應做為公司一種共享的辦公設備，而不是某個單用的電腦。任何一個連入網路的設備（電腦、列印機）都是網路的一部分，都是公司的資源」。終於達成以下協議，每個部門的人只能登錄該部門的電腦。這一點從一定程度上增加了客戶機的安全性。
b5o&W3d'{{(@8i0 Many Summer -- 非常夏天CRjfz
在**OU，如「人事部」上創建組策略，在「計算機設置」－「本地策略」－「用戶權利指派」－「在本地登錄」，設置Domain Admin組和「人事組」有效，這樣只有管理員和人事部的人才能登錄人事部的電腦了。其他部門分別添加相應組策略。Many Summer -- 非常夏天l$e2|k({Wr R.Nm
Many Summer -- 非常夏天&Vf ~O8FfH p,\*a
例二：網路共享的設計及文件夾重定向由於給用戶的是Domain User的許可權，所以用戶不能共享本地的文件，那麼如何解決用戶文件共享的需要呢？這就要求在伺服器上有管理員統一設置了。Many Summer -- 非常夏天$Jkkb%]fz
Many Summer -- 非常夏天 U1LM n:G@H8v H
伺服器上的共享：在SERVER3上建立一個文件夾「DATA」，並完全共享，共享名為默認的「DATA」。在「DATA」文件夾下建立「SHARE DOCUENT」文件夾，在此文件夾建立每個部門的文件夾並設置NTFS許可權。
W&T#io
xo$A0
4{"Xt,O:~5I0 其中DATA，Share document文件夾設置Domain Admin組，SYSTEM完全控制，Everyone只讀；部門文件夾的NTFS許可權設置為Domain admin組和本部門安全組有完全控制許可權，Everyone只讀。Many Summer -- 非常夏天
o0gp'W i RB!S

cp,MacX FQ^*d3{0 用戶帳號配置：建立用戶帳號時，為用戶配置「主文件夾」，連接到伺服器上的本部門文件夾。Many Summer -- 非常夏天7_}UGU-e-N
Many Summer -- 非常夏天%C4b)hV.\`1i HZU
圖中的部門文件夾路徑應為完整的UNC，如 「\\server3\data\share document\人事部」。
B!d(Y^$B V$Z"|0 Many Summer -- 非常夏天t;F+v%t9B'f
這樣設置當用戶登錄後在「我的電腦」里會多一個網路映射Z盤，映射到用戶本部門共享文件夾，用戶可以把需要共享的文件拷貝到Z盤，其他用戶就可以通過共享訪問。
[
n8L-QK0 Many Summer -- 非常夏天b|5d.v4bc
放在共享里的文件，本部門人的有完全控制許可權，其他部門人具有隻讀許可權。用戶可以進一步在本部門文件夾內建立自己的文件夾，並設置更嚴格的許可權。有些用戶可能沒有固定的電腦，個人文件放在部門共享文件夾里會有一些問題出現。一是安全性有待進一步設計，二是用戶對共享不是很熟悉，多數人不會去設置文件夾安全屬性。考慮到這一點，再加上文件存放的方便性，我做了文件夾重定向。
o9J"^"[{y1j0
(a D0y(}*mM(kE+f.v0 在一級OU FINAL上添加組策略，這是為了保證域內所有的用戶的My Document文件夾都存放到伺服器上。
wkj;d~$j0
K*X eC4l(yIH0 組策略－用戶配置－Windows設置－文件夾重定向，設置My Document屬性，設置"基本-將每個人的文件夾定向到同一位置"，"目錄文件夾位置"為file://Server3/Data/User Document/%username.以上的設計完成了兩個通過網路共享方案：（1）存放在My Document里的文件，用戶無論在哪台客戶機登錄時均可正常訪問，且只有自己可以訪問；（2）各部門可在伺服器上共享文件，且只有本部門有修改許可權。
%F-]+P*mIY.R0