重新创建域用户的配置文件

直接域环境下面切换管理员账号或者pe环境重命名需要重建用户配置文件的域用户（huang）Win7

1.域环境下面切换管理员账号或者pe环境重命名需要重建用户配置文件的域用户（huang），重新命名成huang111111

2.切换域用户huang111111登录，这时候进入桌面就会提示你使用临时配置文件

3.打开注册表

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList]

有个后缀加上.bak，上方没有bak的即是目前登录上来使用临时配置文件的。

4．记下没有bak的这个用户的state的数值数据，4a40

5.删除这个没有bak的用户，左边整个删除掉

6.然后重命名下方这个带bak的用户，用更改这个用户的state的数值数据为4a40，然后注销重新登录

7.重新登录即成功修改

域用户与组账户的管理

一、实验目的 1．添加域用户 2．用户的漫游 3．组织单元委派控制 4．AGDLP实现组的嵌套二、实验步骤及结果分析 1．添加域用户添加域用户常见的几种方法： 1.1.直接在根DC里新建用户 1.1.1.新建组织单位。启动要DC服务器，运行dsa.msc 打开Active Directory用户和计算机，在“域名”（如https://www.360docs.net/doc/e23264753.html,）处右击，“新建组织单位”，如名称为“DQA”。 1.1. 2.新建用户。在新建的“组织单位”（DQA）项上右击选择“新建用户”，输入新建用户的“用户登录名”，（如hero）。下一步，输入7位以上的安全密码，一直下一步，完成新建用户。

注：如果想要将密码设为简单密码或密码为空，首先要在“开始”“程序”“管理工具”“默认域安全设置”，打开“默认域安全设置”，再依次展开“安全设置”“帐户策略”“密码策略”，将“密码必须符合复杂性要求”禁用，并将“密码长度最小值”设为“0字符”。这样在新建用户时就不用再设置复杂的密码了。

1.1.3.删除用户。只需直接在相应的“组织单位”（如DQA ）中的用户（如hero）上右击，选择删除即可。 1.2.使用目录服务工具添加所谓的目录服务工具是指利用CMD命令新建账户，常用的命令有：dsadd 添加账户或组；dsmod 修改用户或组的信息；dsrm 删除用户或组。 1.2.1.添加账户。在CMD命令提示符里输入如：dsadd user cn=feng,ou=DQA,dc=fenger,dc=com 回车后即可成功创建一个新用户。若需在用户里面将其相应的信息加入，只须在上命令后加入一些其它信息的命令，如：-email xx@https://www.360docs.net/doc/e23264753.html, –tel 12315 –office F999 等等。其它详细信息命令可用“dsadd user /?”查看。 1.2.2.修改用户信息。在CMD命令提示符里输入如：dsmod user cn=sun,ou-DQA,dc=fenger,dc=com –email yy@https://www.360docs.net/doc/e23264753.html, –tel 12111 –office G-101 。即在命令参数后输入要修改信息项的信息。若修改成功后，在根DC查看用户属性的信息会与原属性有明显不同。

域控服务器迁移步骤(精)

域控服务器迁移步骤假设主域控制器的IP为192.168.1.10，额外域控制器的IP为192.168.1.20 第一步：主域迁移之前的备份： 1. 备份主域服务器的系统状态 2. 备份主域服务器的系统镜像 3. 备份额外域服务器的系统状态 4. 备份额外域服务器的系统镜像第二步：主域控制迁移： 1.在主域控服务器（19 2.168.1.10）上查看FSMO（五种主控角色）的owner(拥有者)，安装Windows Server 2003系统光盘中的Support目录下的support tools 工具，然后打开提示符输入： netdom query fsmo 查看域控主机的五种角色是不是都在主域服务器上，当然也有可能在备份域控服务器上。 2.将域控角色转移到备份域服务器（192.168.1.20) 在主域控服务器（192.168.1.10）执行以下命令： 2.1 进入命令提示符窗口，在命令提示符下输入： ntdsutil 回车，再输入:roles 回车，再输入connections 回车，再输入connect to server 192.168.1.20 （连接到额外域控制器）提示绑定成功后，输入q退出。 2.2 依次输入以下命令： Transfer domain naming master Transfer infrastructure master Transfer PDC Transfer RID master Transfer schema master 以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择YES，完成后按Q退出界面。 2.3 五个步骤完成以后，进入192.168.1.20，检查一下是否全部转移到备份服务器192.168.1.20上，打开提示符输入： netdom query fsmo 再次查看域控制器的5个角色是不是都在192.168.1.20上面。 3. 转移全局编录： 3.1 打开“活动目录站点和服务”，展开site->default-first-site-name->servers,展开192.168.1.20，右击【NTDS Settings】点【属性】，勾上全局编录前面的勾。然后展开192.168.1.10，右击【NTDS Settings】点【属性】，去掉全局编录前面的勾。

漫游用户配置文件方法

漫游用户配置文件方法漫游用户配置文件的作用是无论用户登录到哪台基于 Microsoft Windows NT 的计算机上，漫游用户配置文件都为用户提供相同的工作环境。这样就可以避免因为换了机器而丢失以前的作用环境而不爽了，也不会降低工作质量。创建漫游用户配置文件过程有两个步骤：创建测试用户配置文件，然后将测试用户配置文件复制到网络服务器。步骤一：在此过程中，您会为漫游用户创建一个测试配置文件：1. 创建一个充当测试用户帐户的用户帐户。例如，创建一个名为 Sales Profile 的帐户。2. 以测试用户帐户登录。这会在本地计算机的 C:\Winnt\Documents and Settings\用户名文件夹中自动创建用户配置文件。 3. 配置桌面环境，包括外观、快捷方式和开始菜单选项。4. 注销，然后以管理员身份登录。步骤二：最后复制测试配置文件，在此过程中，您会将测试配置文件复制到网络服务器： 1. 在网络驱动器上创建一个要在其中存储网络配置文件的文件夹。（为共享文件夹，在共享权限中设置为完全控制）例如：\\server_name\Profiles\user_name 2. 在"控制面板"中，双击系统，然后单击用户配置文件选项卡。在"储存在本机上的配置文件"下，单击要复制的配置文件，然后单击复制到。 3. 在将配置文件复制到对话框中，键入该文件夹的网络路径。在"允许使用"下，单击更改。 4. 添加相应的用户，然后单击确定。 5. 在"域用户管理器"中，双击该用户帐户，然后在用户属性对话框中，单击配置文件。 6. 在用户配置文件路径框中，键入网络配置文件所在文件夹的 UNC 路径。例如：\\server_name\Profiles\user_name。实现桌面墙纸的漫游方法 (此方法本人试过好像不需要这样操作也可以实现）学会如何漫游配置文件后，大家会发现，桌面墙纸是不会与漫游配置文件一同漫游的，这是为什么呢？我们来对比一下本地配置文件和漫游后的配置文件。在本地配置文件中有一个Local Settings文件夹，在漫游配置文件中我们是找不到它的，但是漫游配置文件中却多出了个叫做ntuser.ini的配置文件。我们使用文本方式打开它，会看到这样一段话：[General]ExclusionList=Local Settings;Temporary Internet Files;History;Temp原来，在Windows 漫游配置文件的默认情况下，Local Setting文件夹是被排除的，而在这个文件当中存放的就

域管理常见故障维护手册

域管理常见故障维护手册北京昆仑联通发展科技有限公司2013-02-20

目录 1 域常见问题 (4) 1.1 无法正常加入到域 (4) 1.2 加入域时提示“不能访问网络位置”的错误解决方法 (4) 1.3 加入域“找不到网络路径”解决方法 (4) 1.4 重装系统之后加入域提示已经存在的解决方法 (5) 1.5 在域用户下，打开IE浏览器出现“Windows无法访问指定设备、路径或文件。您可能没有合适的权限访问这个项目” (5) 1.6 域用户中，无法打开硬盘分区 (5) 1.7 加入域时报错，输入完帐户管理员用户和密码后报告“RPC出错”？ (6) 1.8 加入域时报错，输入完帐户管理员用户和密码后报告“帐户锁定”？ (6) 1.9 加入域时报错，输入完帐户管理员用户和密码后报告“连接超时”？ (6) 1.10加入域时报错，输入完帐户管理员用户和密码后报告“系统错误”？ (7) 1.11第一次登陆域的时候，机器长时间停留在“创建域列表”？ (7) 1.12拷贝配置文件时发现配置文件十分大（> 1G）？ (7) 1.13拷贝配置文件时显示“无法删除XX配置文件”？ (7) 1.14拷贝配置文件时，出现WINDOW提示框“XX文件无法正常拷贝至XXX文件夹中”？ (7) 1.15拷贝配置文件时，WINDOWS报错“无法访问”？ (7) 1.16加入域后，域用户无法在本地登陆，WINDOWS报错“不允许交互式登陆”？ (8) 1.17加入域后，域用户无法查看本地时间，WINDOWS报错“您没有权限查看和修改本地时间”？ (8) 1.18加入域后用户报告Autocad无法使用？ (8) 1.19第一次更改域用户密码的时候报错？ (10) 1.20加入域后导致某些系统无法使用？ (10) 1.21 Isass.exe系统错误—系统资源不够，无法完成API (10) 1.22 xp_sp2关机菜单弹出超慢 (11) 1.23 在登录界面，输入密码后提示“安全日志已满，请用管理员帐号登陆”，无法进入系统 (11)

用户配置文件漫游(windows漫游配置方式)

View环境下用户配置文件漫游（windows漫游配置文件方式）一、配置前提下所需的环境： 1、已经搭建好的view环境，采用克隆，浮动分配的方式分发桌面，只分发了两个桌面 win7-1，win7-2，用户三个test1-3 二、配置步骤（1）配置漫游文件设置 1、在域中的一台服务器上（此次路径为：\\ex.ou.\share$）创建一个共享文件夹，此次叫“share”，共享权限中添加“everyone”用户并设置为可以修改的权限，注意NTFS权限只需要有SYSTEM用户并给予完全控制就可以了，具体如下图

2、在AD服务器中，打开“Active Directory用户和计算机”

3、找到你用于登陆view桌面的用户，右键属性，如下图 4、接着出现如下界面，需要我们在配置文件路径里填入刚才新建的共享文件的路径，

而我们只需填入\\ex.ou.\share$\%username%即可，其中%username%是变量，填完之后点击确定 5,、然后我们再打开属性，就会发现，变量会变成用户名了，如下图

（2）文件夹重定向（此次测试只重定向桌面和文档）当用户的漫游配置文件数据量太大时，会造成登录和注销的速度变得很慢，此时我们可以设置文件夹重定向解决这一问题。这样设置之后，被重定向的文件夹不再是一个普通的文件夹了而是一个指向文件服务器的路径。以后用户再进行登录或注销时，就不需要将其中的数据文件再下载或者上传了。漫游用户登录和注销的速度慢的问题也就迎刃而解了。 1、再新建一个共享文件夹，命令为“redirect”，具体配置和上面的“share”文件配置一样，可参考上面的步骤 2、再去AD服务器打开组策略管理器，找到放view用户的OU,然后按下图操作

Windows server 域控制器迁移操作主机

Windows域迁移方法 1:新DC安装系统，配置IP DNS指向老DC (新DC可以加入现有域,也可以不加) 2:提升新DC为辅助域控制器后重启 3:重启完成后，安装DNS服务.然后等老DC的DNS信息同步到新DC的DNS上) 4:将新DC设置为GC,然后等新/旧DC同步,这要看你的网络环境了. 5:同步完成之后,就可以传送FSMO角色这是最重要的一步.(用ntdsutil来把旧DC上的FSMO五种角色转移到新DC 上,转移用到命令transfer )整个过程见下方. 6:老DC降级重启然后退域。关机 7:新DC改IP,把自己的IP地址改为DNS地址(做这一步就是为了让客户感觉不到更换了服务器,也省了到下面去改DNS 地址) 8:清理DNS记录,把以前所有旧DC的信息全部删除掉.A:然后利用ntdsutil命令删除掉所有旧DC的信息,B:用adsiedit.msc删除没有用的信息.C:进入活动目录站点与服务删除相应的站点和服务.D:在主域控器的dsa.msc的domain controller里删除没有用的旧DC 9:旧DC拔掉网线,重装系统. 10:到此基本就完成了. AD的五种操作主机的作用及转移方法 Active Directory 定义了五种操作主机角色（又称FSMO）： 1.架构主机 schema master 2..域命名主机domain naming master 3.相对标识号 (RID) 主机 RID master 4.主域控制器模拟器 (PDCE) 5.基础结构主机 infrastructure master 转移办法: 转移RID\PDC\结构主机: Windows 界面: 1. 打开 Active Directory 用户和计算机。 2. 在控制台树中，右键单击“Active Directory 用户和计算机”，然后单击“连接到域控制器”。 3. 在“输入另一个域控制器的名称”中，键入要担任主机角色的域控制器的名称。或单击可用的域控制器列表中的该域控制器。 4. 在控制台树中，右键单击“Active Directory 用户和计算机”，指向“所有任务”，然后单击“操作主机”。 5. 单击其中要改的选项卡，然后单击“更改”。使用命令行: ntdsutil roles connection connect to server [DomainController] quit transfer RID master transfer PDC transfer infrastructure master 转移架构主机: windows 界面: 1. 打开 Active Directory 架构管理单元。 2. 在控制台树中，右键单击“Active Directory 架构”，然后单击“更改域控制器”。 3. 单击“指定名称”并键入要担任架构主机角色的域控制器的名称。 4. 在控制台树中，右键单击“Active Directory 架构”，然后单击“操作主机”。

关于windows7域帐户不能重新生成配置文件解决方法

关于windows7域帐户不能重新生成配置文件解决方法我的情况是这样的：我的帐户是加了公司域的，我怀疑自己的帐户有问题，于是就把此帐户(暂把有问题帐户a)置为olda.我重新以a帐户登录域，不能在C盘users下面产生a用户文件。是加载的临时配置文件，如下图1。XP应该是可以重新产生a用户文件的。图1 我在网上捣腾了半天，最终在微软官网上找到解决办法。下面说说解决方法吧 1.右击-计算机属性-高级系统设置-用户配置文件-设置-选择要删除的帐户-确定 2.开始-运行-regedit-展开到 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/ProfileList 图2 单击注册表左边窗口如上图2标示①，通过右边标示②可以看出①对应的是哪个用户。依次单击左边选择你要删除的帐户，右键选择删除。到此，所有准备工作完毕，再登录域用户a。即可产生用户配置文件，在C:/users/。图1报错提示消失。我的问题解决，希望对大家有用。

将一台win7系统的电脑退出域并将其域用户的配置文件删除，重新加入域后，用该域账号登陆后，提示“您已经使用临时配置文件登陆*****logoff或restart后保存在桌面的文件将丢失”。解决方法：1.右击-计算机属性-高级系统设置-用户配置文件-设置-选择要删除的帐户-确定 2开始-运行-regedit-展开到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList找到S-1-*****.bak项将其删除。 3.重启计算机，用域账号登陆

工作组计算机入域后用户文件迅速迁移方法

工作组计算机入域后用户文件迅速迁移方法从工作组加入到域环境时，用户加入域后系统将会重新建立域用户配置文件，原有使用用户配置文件都全部没有了，需要手工拷贝及设定，相当浪费时间。 moveuser工具可以帮助我们方便的把本地用户的profile转移到域用户下面，对于大量转移有很大的帮助。转移包含：桌面、我的文档、OE、outlook等设定、打印机等等。注：这里只探讨用户转移时更快速的实现用户文件、配置迁移方式，对于域管理不作讨论，因为有可能ADMT3.0有更完善的方法。 MoveUser官方解释： MoveUser uses the following syntax: moveuser [Domain\]OldUserAccount [Domain\]NewUserAcco unt [/c:Computer] [/k] [/y] Parameters OldUserAccount Specifies a user who has a local profile. Specify domain and u ser names in the Domain/User or the user principal name (UP N) format. If Domain is omitted, OldUserAccount is assumed t

o belong to the domain of the current user. NewUserAccount Specifies the user who will own the OldUserAccount profile. T his account must already exist. Specify domain and user nam es in the Domain/User or the user principal name (UPN) form at. If Domain is omitted, NewUserAccount is assumed to belo ng to the domain of the current user. /c:Computer Specifies a remote computer on which to make the changes. I f omitted, the local computer is assumed. Use this parameter to move the user profile to a new computer. /k Specifies that OldUserAccount resides in the local database of the computer and should not be deleted after the profile is moved. 保留本机帐户。 /y Directs MoveUser to overwrite any existing profiles. 完全覆盖配置。本地工作组目录至域用户操作步骤： 1、本地用户使用netdom登陆入域；（也可在我的电脑右键属性

域控中的用户配置

原文地址：如何将本地用户配置文件更改为域用户漫游作者：kevin 1.先讲讲直接新建域用户，在DC中设置用户漫游； 2.再讲，如果原来用户是本地用户，如何将原有的本地用户的配置文件让她成为漫游用户，配置文件也漫游； 3.跟大家讲讲如何让本地用户配置文件迁移为域用户配置文件，即本来有一用户abc为本地用户，现在该电脑加入了域，域中有一用户abc，然后电脑要用abc 用户登陆到域，而用户配置文件使用本地的abc配置文件；一，在DC中设置用户漫游实验环境使用VMW虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User，我这里以“小五”为用户名，如下图 2、在服务器端建立保存用户配置文件的共享文件夹，本文在c盘建立了一个user文件夹，用来保存所有用户配置文件，然后再user文件夹下建立一个“小五”文件夹，用来保存“小五”用户的配置文件。这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone，然后找到我们域中的用户“小五”，给他所有权限。

3、进一步权限设置，如图

这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图

192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。现在配置基本完成，我们从客户端登录一下试试看初次登陆之后，我们注销，这样，本地的配置文件，就会自动保存到服务器上对应的文件夹。回到服务器上我们会看到生成好多文件，刚才这里面还是空的

快速迁移域用户

ADMT3.1快速迁移域用户账户和组[为企业维护windows server 2008 系列十四] 作者：宋杨日期：2010-04-21 在windows server 2008 的AD维护工作中，我们可能需要将当前域的用户账户和组转移到另外一个域中（这个动作我们称之为迁移）。在雅利安星际疫苗接种公司工作的windows 网络管理员号称不重疫苗也能顶的灵灵狗同志，正在为一件棘手的工作事件发愁。雅利安公司因为研制出可以成功抵御十全星际流感的疫苗，在整个银河系名声大震，巴斯股（3009年最火爆的星际股市）也一路狂涨。同时，兼并了太阳系的喜马拉雅驴友公司。喜马拉雅公司的精英研发部门“珠穆朗玛二部”也被收编进了雅利安公司的研发部。因为所有的资源管理都是基于活动目录的，所以灵灵狗同志需要将“珠穆朗玛二部”的所有员工账户和组迁移转移到雅利安公司的域下。在查询了无所不知的位于雅利安星球的知识古树后，灵灵狗拨通了远在银河系另一端的地球村的AD 客户支持部的售后电话。按照客服妹妹的指导，灵灵狗使用Hyper-V3009快速的搭建起了虚拟的评估环境。具体如下：

灵灵狗同志看完客服妹妹同步过来的的指导文档后很顺利的使用域管理员在喜马拉雅公司的https://www.360docs.net/doc/e23264753.html,域上登录了。打开“Active dircetory 域和信任关系”，可以看到两个域，现在要把属于https://www.360docs.net/doc/e23264753.html,的域用户账户和组（原喜马拉雅公司）移动到https://www.360docs.net/doc/e23264753.html,(雅利安公司) 具体的账户可以通过下图看到，在“_Demo”OU 中有user1 、manager 两个用户和group组，其中user1属于group组。

Windows AD域用户属性对照表(综合整理)

Windows AD域用户属性对照表(综合整理) “常规”标签姓Sn 名Givename 英文缩写Initials 显示名称displayName 描述Description 办公室physicalDeliveryOfficeName 电话号码telephoneNumber 电话号码：其它otherTelephone 多个以英文分号分隔电子邮件Mail 网页wWWHomePage 网页：其它url 多个以英文分号分隔 “地址”标签国家/地区 C 如：中国CN，英国GB 省/自治区St 市/县L 街道streetAddress 邮政信箱postOfficeBox 邮政编码postalCode “帐户”标签用户登录名userPrincipalName 形如：用户登录名（以前版本）sAMAccountName 形如：S1 登录时间logonHours 登录到userWorkstations 多个以英文逗号分隔用户帐户控制userAccountControl (启用：512，禁用：514 -- 512 + 2，密码永不过期：66048 -- 65536 + 512 ,用户禁用：66050 -- 65536 + 512 + 2) 帐户过期accountExpires “配置文件”标签配置文件路径profilePath 登录脚本scriptPath 主文件夹：本地路径homeDirectory 连接homeDrive 到homeDirectory “电话”标签家庭电话homePhone (若是其它，在前面加other。) 寻呼机Pager 如：otherhomePhone。移动电话mobile 若多个以英文分号分隔。传真FacsimileTelephoneNumber ip电话ipPhone 注释Info “单位”标签职务Title 部门Department 公司Company

域用户漫游教程

（1）创建漫游用户配置文件基于AD域的漫游用户功能可以随时随地为用户提供熟悉的工作环境。简而言之，借助该功能可以使用户在任何一台域成员计算机中拥有相同的桌面和系统设置，大致包括以下几个方面： 1.桌面墙纸（其前提是操作系统默认的背景，或者图片存储在配置文件中）； 2.Outlook设置（自动签名、窗体、交换配置文件）； 3.桌面内容（任何文件夹和快捷键）； 4.IE收藏夹和快速启动栏； 5.Cookies和AutoComplete（各种 Web 站点上的设置）； 6.Office设置（自定义词典、固定文档等所示。在使用漫游用户功能以前，首选需要创建漫游用户配置文件，具体操作步骤如下所述：第1步，以系统管理员身份登录域控制器，在开始菜单中依次单击【管理工具】→【Active Directory用户和计算机】菜单项，打开“Active Directory 用户和计算机”窗口。在左窗格中展开服务器目录，右键单击Users容器，依次选择【新建】→【用户】快捷命令。在打开的“新建对象-用户”对话框中创建一个用户账户，如图1所示。图1 新建域用户账户

第2步，在开始菜单中依次单击【管理工具】→【域控制器安全策略】菜单项，打开“默认域控制器安全设置”窗口。在左窗格中依次展开【安全设置】→【本地策略】目录，并选中【用户权限分配】选项。然后在右窗格列表中找到并双击【允许在本地登录】选项。在打开的“允许在本地登录属性”对话框中单击【添加用户和组】按钮添加刚才新建的用户，并单击【确定】按钮，如图2所示。图2 添加允许在本地登录的用户或组 3步，在开始菜单中单击【注销】命令注销当前系统管理员用户，然后以新建的用户身份登录域控制器。这时打开系统分区中的Documents and Settings 文件夹，可以发现系统自动创建该用户的文件夹。用户可以根据个人喜好设置包括桌面设置（外观、快捷方式和开始菜单选项等）、IE设置（收藏夹、COOKIE 等）等在内的项目，完成后注销当前用户，如图3所示。

Windows域(AD)迁移方案

域迁移方案一、事前准备：先分别建立两个位于不同林的域，内建Server若干，结构如下： https://www.360docs.net/doc/e23264753.html, ADC02 172.16.1.2/24 https://www.360docs.net/doc/e23264753.html, EXS01 172.16.1.101/24 https://www.360docs.net/doc/e23264753.html, ADC01 172.16.1.1/24 其中： https://www.360docs.net/doc/e23264753.html,： ADC01作为https://www.360docs.net/doc/e23264753.html,主域控制器，操作系统为Windows Server 2008 R2，并安装有DHCP服务，作用域范围为172.16.1.100/24——172.16.1.200/24。 ADC02作为https://www.360docs.net/doc/e23264753.html,的辅助域控制器，操作系统为Windows Server 2008 R2 Exs01为https://www.360docs.net/doc/e23264753.html,的Mail服务器，操作系统为Windows Server 2003 SP2，Exchange 版本为2003 TMG01为防火墙，加入到https://www.360docs.net/doc/e23264753.html,网域，操作系统为Windows Server 2008 R2，Forefront TMG为2010 Client为加入到此https://www.360docs.net/doc/e23264753.html,网域的客户端PC，由DHCP Server分配IP https://www.360docs.net/doc/e23264753.html,：

Ad-cntse为https://www.360docs.net/doc/e23264753.html,的域控制器，操作系统为Windows Server 2008 R2，为了网域的迁移安装有ADMT以及SQL Server Express 2005 SP2 Exs-centse作为https://www.360docs.net/doc/e23264753.html,的Mail Server，操作系统为Windows Server 2003 SP2，Exchange 版本为2003. 备注：所有的Server均处在同一个网段172.16.1.x/24 二、https://www.360docs.net/doc/e23264753.html,的User结构：如图，其中红色圈中部分为自建组别，OA User为普通办公人员组别，拥有Mail账号，admins为管理员群组，Terminal User为终端机用户组别，均没有Mail账号。以上三组别均建立有相应的GPO限制其权限。其他Users保持默认设定三、设定域信任关系： 1、设定DNS转发器：在https://www.360docs.net/doc/e23264753.html,域控制器Ad-cntse的DNS管理器设定把https://www.360docs.net/doc/e23264753.html,的解析交给https://www.360docs.net/doc/e23264753.html,的DNS，同理，把https://www.360docs.net/doc/e23264753.html,域控制器ads01的DNS管理器把https://www.360docs.net/doc/e23264753.html, 的解析交给https://www.360docs.net/doc/e23264753.html,的DNS。如下图：

域控主机迁移总结

域控主机迁移总结文档编制序号：[KK8UY-LL9IO69-TTO6M3-MTOL89-FTT688]

Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.360docs.net/doc/e23264753.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0 List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象使用ADSI EDIT工具删除Active Directory users and compute rs中的Domain controllers中欲删除的服务器对象在AD站点和服务中删除没用的服务器对象把复制连接也删除把FSMO角色强行夺取过来用到“Ntdsutil” 这里有两种方法分别是Seize和Transfer，如果原来的FSMO角色的拥有者处于离线状态，那么就要用Seize，如果处于联机状态，那么就要用Transfer。在这里由于SERVER已经离线了，所以要用“Seize” 在站点和服务中设置全局编录

域控制器上设置用户配置文件类型(本地、漫游、强制)

有四个类型，分别是本地、漫游、强制、临时。本地就是你的配置文件保存在本地计算机。漫游就是保存在你域控的文件夹中，强制也是保存在域控上，不过你对用户配置目录下做任何更改都不会上传到域控的那个文件夹上，也就是你做的更改不会保存到域控中。比如你要在桌面上新建一个文档，重启后就没有了。临时是遇到系统故障，或磁盘空间不足，系统就会临时建立一个配置文件，同样也是不保存的。实验环境使用VMW虚拟机，客户端为Windows XP SP2，服务器端为Windows Server 2003 SP2企业版。首先将服务器端安装好活动目录，无需任何设置，默认安装即可，并将客户端加入到域。下面开始具体操作 1、首先在服务器端用Active Directory用户和计算机管理工具建立一个User，我这里以“小五”为用户名，如下图

2、在服务器端建立保存用户配置文件的共享文件夹，本文在c盘建立了一个user文件夹，用来保存所有用户配置文件，然后再user文件夹下建立一个“小五”文件夹，用来保存“小五”用户的配置文件。这里面一定要注意权限的设置，在共享文件夹中的权限去掉everyone，然后找到我们域中的用户“小五”，给他所有权限。 3、进一步权限设置，如图

这样权限方面问题已经设置完成 4、在Active Directory用户和计算机管理工具中为“小五”用户设置用户配置文件漫游，如图

192.168.1.201为我们的服务器，后面所接的“user/小五”为保存用户配置文件的共享文件夹主文件夹相当于用户的“我的文档”，这里面映射到服务器上，更能保证用户文件安全性与可靠性。现在配置基本完成，我们从客户端登录一下试试看

AD域的迁移

主域控制器的迁移现有环境：一台主域控制器（含AD和数据库及其WEB程序）；有一台备份域控制器；一台新的服务器6850。目的：将主域控制器迁移到新的服务器6850上步骤：1.首先将6850作为备份域控制器 2. SERVER1的所有信息从活动目录里面删除 3.把FSMO角色强行夺取过来 4.设置全局编录具体操作：（1）运行dcpromo命令（3）弹出Active Directory安装向导，点“下一步” （4）这里以默认，点“下一步”

（5）选“现有域的额外域控制器”，点“下一步” 随后--输入管理员及密码--还原模式密码--最后一步配置（没有截图了）加入过程中可能会碰到问题，如果有的话参考https://www.360docs.net/doc/e23264753.html,/archiver/tid-151189.html https://www.360docs.net/doc/e23264753.html,/t/20030910/10/2243270.html# 然后到google上去查找！运行ntdsutil

List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象

如何复制用户配置文件

如何复制用户配置文件：在域的部署活动中，客户端经常遇到一个问题，就是在用户登录到域以后，如何保持原有的桌面环境或者说桌面设置。一般来说可以考虑用复制原有的用户配置文件的方法。这个方法脱胎于漫游配置文件的复制，也就是说可以将本地配置文件复制到网络上，作为漫游配置文件的“范本”。这个方法也可以用于调试个别软件权限设置的场景。例如，一些企业自行开发的程序或者某些并不太规范的第三方软件（时常碰到不是吗？），管理员想方设法的赋予了注册表子键和软件存储目录的权限，但软件在domain user的环境下就是无法正常运行，此时也可以考虑复制原有的用户配置文件。相关的文章请参考《让软件适用于域环境》https://www.360docs.net/doc/e23264753.html,/logs/4888573.html 好，下面我来描述一下配置文件的复制方法： 1. 在控制面板中打开“系统”。 2. 在“高级”选项卡上的“用户配置文件”下，单击“设置”。 3. 单击“储存在本机上的配置文件”下要复制的用户配置文件，然后单击“复制到”。 4. 在“将配置文件复制到”中，键入新配置文件的位置，或者单击“浏览”选择路径。 5. 单击“允许使用”上的“更改”。 6. 在“选择用户或组”对话框的“输入要选择的对象名称”中，添加用户、组或内置安全性原则，或者单击“对象类型”以选择一个对象类型。要指定欲搜索的域，请单击“选择用户或组”对话框中的“位置”，然后选择所需的域。要进一步缩小搜索范围，请单击“选择用户或组”对话框中的“高级”。 7. 单击“确定”。 gnaw0725注: 在复制配置文件的操作中，需要注意如下几点 1.要保障复制过程的顺利进行，避免出现文件占用的情况，最好是能使用第三方的、是当前计算机上Administrators 组成员的账户。也就是说记不要是复制到的用户账户，也不要是被复制的用户账户。 2.您可以可以考虑使用二次登陆的方式，在当前环境下以管理员身份执行复制动作，要从命令行打开“系统”属性对话框，请键入： runas /user:computername\Administrator "rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl" 3.在允许使用这个栏目，一定要将账户名称设置为新的账户或者说是目标账户，否则新的账户将会保持和原有账户一样的权限。如果说被复制的原来的账户是管理员账户（大多数情况如此），那就会存在安全性问题。 4.不要尝试用“Windows 资源管理器”或任何其他文件管理工具来复制用户配置文件，这样可能导致权限混乱，进而影响到账户的登录。

域用户帐户和组的管理

域用户帐户和组的管理（以下操作均在Windows Server 2003系统中实现，客户端也是使用2003来模拟，和实际中客户端使用的XP操作系统可能会有所不同）很多企业都会用到域环境来实现管理，域的实际应用非常广泛。下面我们讲解在域环境下如何管理用户帐户和组。在讲解过程中我们会涉及到用户帐户、计算机帐户、组和OU等对象。一、域用户帐户的特点和本地用户帐户不同，域用户帐户保存在活动目录中。由于所有的用户帐户都集中保存在活动目录中，所以使得集中管理变成可能。同时，一个域用户帐户可以在域中的任何一台计算机上登录（域控制器除外），用户可以不再使用固定的计算机。当计算机出现故障时，用户可以使用域用户帐户登录到另一台计算机上继续工作，这样也使帐号的管理变得简单。附注：在工作组环境中，所有计算机是独立的，要让用户能够登录到计算机并使用计算机的资源，必须为每个用户建立本地用户帐户。同时，为了方便实现用户对网络资源的访问权限，我们可以使用本地组来实现。本地用户帐户和组主要用在本地计算机。本地用户帐户只能登录到本地计算机；本地用户帐户保存在本地计算机；本地用户若需要访问其它计算机，需要在其它计算机上有相应的用户帐户以便进行身份验证。二、管理工具要对域中的用户和计算机等对象进行管理，我们要使用“Active Directory用户和计算机”管理工具。该工具在我们安装了活动目录后会被添加到管理工具中，我们可以在管理工具里找到它。

打开后如图所示，在窗口的左边，可以看到我们创建的域。按左边的“+”号展开该域展开后可以找到“users”管理单元，点击后在右边就可以看到一些内置的用户帐号和组。当系统安装了活动目录后，原来的本地用户和组帐号都没有了，这些对象会变成域用户帐号和域本地组，并被放在该“users”管理单元内。

域控主机迁移总结修订稿

域控主机迁移总结 Document number【AA80KGB-AA98YT-AAT8CB-2A6UT-A18GG】

本文目录经历过一次域控主迁移，悲剧的域控主机down掉。今天写一写，以后备用。前提条件：一台域控主机A，一台备份域控主机B。目的：将域控主机A迁移到域控主机B 步骤：1、将B作为备份域控主机 2、将A的所有信息从活动目录删除 3、把FSMO角色强行夺取过来 4、设置全局编录具体步骤：1、运行dcpromo命令? 2、弹出Active Directory安装向导，点“下一步” 3、默认，“下一步” 4、选“现有域的额外域控制器”，点“下一步” 5、输入管理员及密码--还原模式密码--最后一步配置。 6、在域控主机A上运行ntdsutil Metadata cleanup ----清理不使用的服务器的对象 Select operation target Connet to domain https://www.360docs.net/doc/e23264753.html, Quit List sites List domains in site--显示一下Site中的域 Select domain 0 List servers for domain in site—找到2台服务器 Select server 0--删除0号已经坏掉的服务器 Quit—退到上一层菜单 Remove selected server—删除服务器对象使用ADSI EDIT工具删除Active Directory users and computers中的Domain controllers中欲删除的服务器对象在AD站点和服务中删除没用的服务器对象把复制连接也删除把FSMO角色强行夺取过来用到“Ntdsutil”