解決Windows域管理的幾個經典問題

近日在為公司配置域管理架構的時候，遇到了一些問題，上網google發現這些問題的提問者眾多，堪稱「經典」問題。windows域管理已經不是什麼新鮮玩意兒了，可網上各類答案很多驢唇不對馬嘴，互相抄來抄去，讓提問者不得要領。特撰此文，將我實際解決問題的小小經歷記錄下來與大家分享，避免大家遇到相同問題的時候走彎路。

我公司的網路結構採用vlan劃分部門，伺服器單獨乙個vlan，通過在核心交換機上配置路由和acl實現各部門之間不可互訪，通過訪問伺服器進行資料交換。伺服器是win2003企業版，不記得用什麼光碟裝的了，反正網上下的，裝完後打過sp2補丁，安裝的win2000域控制器模式（有win2000的伺服器）。

網域名稱：binhu.local

主域控制器：192.168.0.6/24 192.168.0.254/24（雙網絡卡）這個網段只有網管部門可訪問，本來是除錯用的，還沒有正式遷移到伺服器網段，不過可以和伺服器網段建立通訊。

額外域控制器：192.168.2.254/24 伺服器網段

dns：192.168.2.254

dhcp ：192.168.2.254 已經通過交換機的udphelp把各個vlan的dhcp網段都做好了，只配置了ip、閘道器、dns。

區域網計算機有win2k pro和winxp pro，w2k是用自己封裝的ghost批量安裝的，xp是用的ylmf_ghostxp_sp3_y1.0，當然都是會隨機產生sid啦，全部採用自動獲取ip位址，安裝後預設設定不變，xp自帶防火牆開啟，配置如圖1。

（圖1）

在客戶端可以ping通伺服器ip位址以及binhu.local。總之網路層的互聯互通是ok的，下面的問題全都不是由網路配置問題造成的，如果您確定您的網路配置都正確，並且網路結構和我大致相同或比我的還簡單，可以繼續往下看！

問題1：新計算機在新增到域的過程中，按提示輸入了域帳戶和密碼後，系統提示「找不到網路路徑」。

答：啟動計算機的「tcp/ip netbios helper」服務。很不幸，我做的w2k映象和ylmf的xp映象剛好都把該服務設為了手動，為了這個問題我專門硬裝了一遍xp，剛裝好是可以加入域的，而在我習慣性的「優化」完系統以後，又「找不到網路路徑」了，經過逐項排除，終於鎖定到這個問題的關鍵，從發現問題到解決問題花了我2個小時。

還是值得的，至少不用理會某些人說的「要在域環境下正常工作就不要使用ghost」之類的話。

問題2：加入到域的計算機，無法在域控制器上開啟「計算機管理」。

答：剛把計算機test加入到域，我就迫不及待的登陸到域控制器，想通過ad控制台遠端開啟該計算機的「計算機管理」，結果又彈出提示「找不到\\test.binhu.local 的網路路徑」，鬱悶ing。嘗試在域控制器上ping了一下test.binhu.local，居然提示「ping request could not find host test.binhu.local.」，網域名稱解析失敗！趕緊檢查dns記錄，發現test.binhu.local主機記錄安然的躺在正向搜尋區域中，看來不是dns伺服器的問題。猛然想起本地dns快取，趕緊關閉「dns client」服務，再次嘗試問題解決。原來即使是在dns伺服器上進行網域名稱解析，也不是直接查詢的dns資料庫啊！總結經驗：在區域網部署過程中，網路節點變化比較頻繁，建議關掉網路計算機上的本地dns快取服務，待區域網正常運作之後，網路節點變化較少，再根據dns伺服器響應dns請求的負荷來考慮是否有必要開啟該服務。

問題3：加入到域的計算機，在域控制器上開啟「計算機管理」，部分項無法管理。

答：開啟「計算機管理」後，發現「本地使用者和組」打

，除了可以檢視「共享資料夾」下的內容外，其它專案都不能正常檢視。在經歷了上面2道磨難後，又遇到這種問題，是不是倍受打擊呢？其實對於稍微「馬虎」一點的管理員，一般都不會碰到這個問題。無奈我配置域管理的目的是為了便於分發安全策略，不得不「精細化管理」，從組策略到服務到共享到防火牆統統折騰了一遍......還是很有收穫的！在無數次的「gpupdate」之後，摸索到一些既不影響「計算機管理」，又能一定程度提高安全性的方法。

（1）共享：有ipc$即可，其它預設共享都可以關掉。

（2）網路元件：必須安裝「microsoft 網路檔案和印表機共享」，且必須打鉤。

（3）內建防火牆：需要允許「檔案和印表機共享」，且不限制135、137、138、139、445等埠的監聽。（當然您可以用更強大的防火牆進行資料篩選，看個人功力了:）

（4）服務：需要啟動「server」、「tcp/ip netbios helper」、「remote registry」服務。

（5）組策略：為了增強網路訪問安全性，我在安全選項中啟用了「不允許 sam 帳戶的匿名列舉」、「不允許 sam 帳戶和共享的匿名列舉」、「限制對命名管道和共享的匿名訪問」等三個選項，事實證明不會影響到「計算機管理」。由於進行了(1)~(4)項配置，只有以其它方式來禁止共享資料夾了。我在「使用者許可權分配」中將「從網路訪問此計算機」設為僅有「domain admins」組，又把「拒絕從網路訪問此計算機」設為「domain users、users、power users、guests」，不能從域控制器遠端開啟「計算機管理」了。經過分析，是由於我登陸到域控制器的管理員帳戶預設也是「domain users」組的成員，將它拿出來，再試還是不行，直到我把users組從「拒絕從網路訪問此計算機」選項中拿出來以後，又可以正常開啟了。原因可能是：1.該管理員帳戶同時也是users組成員，在公升級為域控制器之後，沒辦法從users組中拿出來了，我沒有進一步嘗試；2.域管理員帳戶通過網路訪問客戶機，會被自動應用到users組成員中，純屬猜測，沒有詳細查資料。總而言之，只好放任users組成員不管了，好在我禁用了客戶機的本地帳戶，只能登陸到域，變成domain users就歸我管了，嘿嘿，基本解決了禁止資料夾共享的問題了吧，現在即使是在客戶機設定了everyone完全訪問的共享資料夾，普通使用者也拒絕訪問。

當然你也可以完全不理會是否打得開「計算機管理」，那就得自己測試一下是否能正確分發組策略了。

問題4：domain users 無法執行autocad r14等軟體的問題。

答：說到域環境下部署應用程式的問題，這涉及到企業軟體管理制度、計算機管理制度等方面，可談的話題十分寬泛，這裡僅從不控制軟體使用的角度上講一講在域環境下部署應用程式的一些思路。

（1）在fat32目錄下安裝的軟體、綠色軟體等等，很多是可以不用部署直接執行的。（不到萬不得已不推薦用fat32）

（2）在組策略上啟用「軟體限制策略」，按預設即可，大部分軟體馬上能夠正常執行。

（3）按（2）設定後，對於autocad r14這樣的老軟體，不妨試一試新版本，autocad 2006就可以正常執行，經我測試的matlab6.5、protel99se、solidworks 2006等都可以正常執行。

（4）還不能執行的軟體，用組策略的「軟體安裝」功能，先把軟體製作成msi安裝包，再放到共享點，再配置組策略。製作msi包的工具在win2003的安裝光碟上有。

（5）軟體不能正常執行的原因無非是登錄檔、檔案的訪問許可權不夠，可以以管理員模式來啟動軟體，同時用filemon®mon等工具來監視其訪問了哪些登錄檔項和檔案，然後在組策略的「登錄檔」和「檔案系統」中一一配置許可權即可。一般能夠正常啟動的軟體，基本上也都能正常執行了。

如果您對本文中所提到的解決問題的方法感興趣，並想詳細了解具體原理，推薦訪問微軟的知識庫。

解決Windows域管理的幾個經典問題

解決Windows域管理的幾個經典問題

認識Windows的域

認識Windows的域

解決Windows域管理的幾個經典問題

解決Windows域管理的幾個經典問題

認識Windows的域

認識Windows的域

相關推薦