AD域控服务器选型

根据本人使用经验，公司200人。主域（同时担任文件服务器）和备份域控，采用普通台式机：双核CPU，4G内存，win2003操作系统，平均重启时间30天，运行七年至今，未发生任何故障。

我的意思是想告诉你，只要双核、4G以上内存，就能完美运行并支持200人左右的用户运行。

所以，完全不用考虑配置问题。除非你将来有很大规模发展或者资金足够多，那么有多好的就买多好的。

你可以使用Robocopy来复制（vista中自带，win7和win2008中也有）。Robocopy可以让我们在复制文件的时候，将属性、用户权限、所有者都可以一并复制到目标文件夹中。你可以找一台win7的机器和你的服务器联网，再来调用Robocopy来通过网络复制文件。

使用Robocopy有三种方法：

一是按下Win+R，在“运行”窗口中直接输入命令；二是按下Win+R后，在“运行”窗口中输入CMD以启动命令提示符，在命令提示符窗口中输入命令；第三种是打开纯文本编辑器如“记事本”，在其中输入相应命令，在保存时输入文件名为“"文件名bat"”（不需要全角双引号，但半角引号一定不能少），生成批处理文件。双击批处理文件即可运行相应的命令。因为建立的批处理文件易于保存和修改，方便随时调用，强烈推荐。

命令是：robocopy d:work e:ack /e /copyall

[参数讲解]

/e表示复制所有子目录包括空文件夹。

　　/copyall等于/copy:datsou，表示将所有源文件夹的信息复制到目标文件夹中，其中D：文件数据，A：文件属性，T：时间信息，S：权限信息，O：所有者信息，U：审核信息。

使用 LDIFDE 将目录对象导入或导出到 Active Directory

使用 LDIFDE 来导出和导入目录对象

下面逐步介绍怎样将“组织单元”(OU) 和用户帐户从一个 Windows 2000 Active Directory 导入和导出到另一个 Windows 2000 Active Directory。对于本示例，“Export”是从其中导出对象的域的名称，“Import”是向其中导入对象的域的名称。还可以使用 LDIFDE 将大多数第三方文件夹导入 Active Directory。 从源域导出组织单元

以 Administrator 身份登录 Export 域。如果使用没有管理员特权的帐户登录，则可能无法对 Active Directory 执行导出和导入操作。

单击开始，指向程序，指向 附件，然后单击“命令提示符”。

在命令提示符下，键入：

ldifde -f exportOuldf -s 服务器 1 -d "dc=Export,dc=com" -p subtree -r "(objectClass=organizationalUnit)" -l "cn,objectclass,ou"

运行此命令可将除域控制器之外的所有 OU 都导出到名为 ExportOUldf 的文件中。

从源域导出用户帐户

在命令提示符下，键入：

ldifde -f Exportuserldf -s 服务器 1 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=))" -l "cn,givenName,objectclass,samAccountName"

运行此命令可将 Export 域中的所有用户导出到名为 Exportuserldf 的文件中。如果您没有所需的全部属性，导入操作就会不起作用。属性objectclass 和samAccountName 是必需的，但可以根据需要添加其他属性。

备注：内置帐户（如 Administrator）没有给定的名称。默认情况下，上面使用的 LDAP 筛选器不导出这些帐户。LDIFDE 不支持导出密码。

将组织单元从 Export 导入到 Import

以 Administrator 身份登录到 Import 域。如果使用没有管理特权的帐户登录，则可能无法对 Active Directory 执行导出和导入操作。

使用“记事本”打开文件 Exportouldf。

在“记事本”中的编辑菜单上，单击替换。

在“查找内容”框中，键入 Export。在“替换为”框中，键入 Import。

单击“全部替换”。

在确认替换了域名之后，保存并关闭该文件。

在命令提示符下，键入：

ldifde -i -f ExportOUldf -s 服务器 2

您应该会看到一条消息，告诉您已经修改的项数以及命令已成功完成。

备注：在这种情况下，您必须先完成第一步，才能完成第二步，这样，才能有 OU 来包含用户。

将用户从 Export 导入到 Import

使用“记事本”打开文件 Exportuserldf。

在“记事本”中，打开编辑菜单，然后单击替换。

备注：请记住，在本示例中，“Export”是从其中导出对象的域的名称，“Import”是向其中导入对象的域的名称。您需要将“Export”替换为从其导出对象的域的名称，并将“Import”替换为向其导入对象的域的名称。

在“查找内容”框中，键入 Export。在“替换为”框中，键入 Import。

单击“全部替换”。

在确认替换了域名之后，保存并关闭文件。

在命令提示符下，键入：

ldifde -i -f Exportuserldf -s 服务器 2

查看使用 Active Directory 用户和计算机管理单元工具或使用 Windows 通讯簿新创建的联系人。

备注：由于 LDIFDE 不导出密码，因此在将用户导入到目录中时，会禁用帐户并将密码设置为空。这样做是出于安全原因。此外，帐户选项“用户下次登录时须更改密码”处于选中状态。

从整个目录林导出对象

如果您需要从整个目录林中导出 OU、用户和组，可以针对目录林中的每个域运行上面的 LDIFDE 导出命令，或者，也可以针对全局编录 (GC) 运行一次查询。为此，-s 开关指定的域控制器一定要是 GC，另外，要使用 -t 开关指定 GC 端口。GC 端口号是 3268。

例如，要针对 GC 执行所描述的导出操作，LDIFDE 命令就会是：

ldifde -f Exportuserldf -s 服务器 1 -t 3268 -d "dc=Export,dc=com" -p subtree -r "(&(objectCategory=person)(objectClass=User)(givenname=))" -l "cn,givenName,objectclass,sAMAccountName"

备注：为了修改 AD 中的属性，遵循导入文件的以下格式（尤其是单行上的“-”，其下一行为全空行）是非常重要的。要导入此文件，只需运行：ldifde -i -f Importldf -s 服务器。

示例导入/修改文件格式：

dn: CN=Jane Doe,OU=Staff,DC=microsoft,DC=com

changetype: modify

replace: extensionAttribute1

extensionAttribute1: Staff

-

dn: CN=John Doe,OU=Staff,DC=microsoft,DC=com

changetype: modify

replace: extensionAttribute1

extensionAttribute1: Staff

-

活动目录之用户配置文件分类:电脑技术

关于域用户的开设在前面的文章中(如何把一台成员服务器提升为域控制器(一)、(二))已经涉及过了，所以在这里开设用户的方法就不再重复了，本篇文章主要向大家介绍一下用户配置文件。

首先，什么是用户配置文件根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合，它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢那么用户配置文件包括哪些内容呢来给大家看一副截图:

用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下，有一个和你的登陆用户名相同的文件夹，该用户配置文件就保存在这里，顺便提示一下，如果本机和域上有一个同名用户，并且都登陆过的话，那么就会出现在同名文件夹后面拖后缀的情况，举个例子:比如在一个域(democom)里面有一台计算机(testxp)，本地有一个swg的帐号，域上也有一个swg的帐号，并且都登陆过这台计算机，那么会发生如下情况:

本地帐号先登陆:那么本地的swg的用户配置文件夹为swg，而域用户的用户配置文件夹为swgdemo。

域帐号先登陆:那么域用户的用户配置文件夹为swg，本地用户的配置文件夹为swgtestxp。

通过上面的截图，我们可看出，用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹，如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话，你会发现所有用户在登陆时的桌面上都有这个文件，所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。

当网络变成域构架后，所有的域用户可以在任意一台域内的计算机登陆，当你在一台计算机上的用户配置文件修改后，你会发现到另一台计算机上登陆时，所有的设置还是原来的，并没有发生修改，这是因为用户的配置文件是保存在本地的，不管是域用户还是本地用户，都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”，选“属性”，点“高级”，然后在“用户配置文件”里点“设置”:

请注意“类型”里用红框标出的部分，全部是“本地”，这就说明用户配置文件保存在本地，那么如何才能让用户的配置文件随着帐号走，也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢为了解决这个问题，就要用到漫游用户配置文件，原理就是把用户配置文件保存在一个网络的公共位置，当用户在计算机上登陆里，会从网络公共位置把用户配置文件下载到本地并加以应用，然后当用户注销时，会把本地的用户配置文件同步到网络公共位置，以保证公共位置用户配置文件的有效性，以便下一次使用。那么如何来实现这个功能呢现在就来实践一下:

首先，要在一个网络的公共位置开设一个共享文件夹，用来存放用户配置文件，在个实验里，就在域控制器上开设一个为share的共享文件夹，并开放权限:

然后，点击“开始-设置-控制面板-管理工具”，双击“AD用户和计算机”，并选中相应的用户，这里以“swg”帐号为例:

在“swg”帐号上双击，然后选“配置文件”，在“用户配置文件-配置文件路径”里输入:\\19216851\share\%username%，“19216851”是域控制器的IP地址，如下图所示:

然后点确定，接下去就到客户端去，用“swg”帐号登陆一下，看看会发生什么变化。

如上图所示，DEMO\swg的状态由刚刚的“本地”变成了“漫游”，此时注销一下用户，那么就会自动的将该用户的本地用户配置文件同步到网络公共位置，如果再用“swg”到另外的域内计算机上去登陆的话，会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢

如上图所示，服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹，默认情况下这个文件夹只允许对应的用户打开:

画面很熟悉吧

目前很多公司的IT Pro都有共同的感叹，就是用户喜欢把自己的桌面什么的搞得乱七八糟，虽然通过组策略可以限制掉一部份，但总觉得不是很完善，在这里，向大家推荐使用强制用户配置文件，用户可以对自己个人配置文件任意修改，但是一旦注销后，这些修改将不会被保存，这样用户下次登陆里，用户的配置文件还是保持和原来一样，那么如何实现这个功能呢其实只要将用户配置文件夹下的“Ntuserdat”改成“Ntuserman”就可以了，来看一下修改过程:

首先，在显示隐藏文件和已知文件的扩展名，可以在“工具-文件夹选项-查看”里进行修改：

~

点“确定”后，就可以在看到那个“Ntuserdat”文件了，但此时会有一个问题，如果去修改C:\Documents and Settings\swg下的“Ntuserdat”，会发现根本没有办法修改这个文件，因为文件在使用中，无法修改;如果去修改网络公共位置的“Ntuserdat”，也就是\\19216851\share\swg下的“Ntuserdat”，修改当然可以修改，但是由于在“swg”用户注销的时候，本地的“Ntuserdat”会把网络公共位置的“Ntuserman”覆盖掉，也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者，然后给管理员帐号添加权限，这样就可以直接在服务器上把“Ntuserdat”改掉，但本人实践过几次，都发现这样的操作会引起一些权限无法继承，而导致出错的情况，所以不建议大家使用，这里推荐一种方法:

先把“swg”帐号注销掉，然后用另外一个帐号登陆，比如管理员，当然，如果在登陆成功后直接去访问\\19216851\share\swg以试图修改的话，那么你将会感到失望，因为还是拒绝访问的，那么如何访问并修改呢，可以这样操作，“开始-运行-cmd”然后回车，这样就启动了命令行，在命令行下输入:net use \\19216851 password /user:swg，显示“命令成功完成”，这样就利用“swg”和服务器建立一个连接，此时就可以\\19216851\share\swg，里进行修改了，

然后再注销管理员帐号，用“swg”登陆，看看有没有成功:

看到了吧，类型由“漫游”变成了“强制”，现在可以在桌面这些地方进行任意的修改，你会发现注销再登陆，又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。

最后再请大家注意两个问题:

1、 在配置强制用户配置文件时，当用其它用户登陆修改时，请保证被修改的用户处于注销状态，为什么大家不妨自己想一想!

2、 当使用漫游用户配置文件时，请不要在桌面等地方存放一些大型的程序或文件，因为用户在登陆和注销过程中会下载和上传配置文件，如果文件过大，会影响登陆和注销的速度。