域伺服器如何限制安裝軟體

『壹』 windows server2003 怎麼限制域用戶安裝軟體

body{ line-height:200%; } Windows Server 2003安裝域控制器 每個域必須有一個域控制器，Active Directory可安裝在任何成員或獨立伺服器上。Active Directory不能安裝在運行Windows Server 2003 Web Edition的計算機上，但可以將該計算機作為成員伺服器加入到Active Directory中。 安裝新的域控制器之前，需要做好以下准備工作。 (1)將要作為域控制器的伺服器連接到網路中，以驗證域名在網路中足否重復。 (2l規劃好域名系統的邏輯結構和名稱結構。 (3)保證域控制器的安全級別與Windows Server 2003兼容。 1”。 (6)單擊“下一步”按鈕，打開“NetBIOS域名”對話框。系統自動將DNS名稱的前部分作為NetBIOS名稱。 (7)單擊“下一步”按鈕，打開“資料庫和日誌文件文件夾”對話框。 從數據安全和磁碟管理角度考慮，最好把域資料庫和日誌文件放在不同的磁碟分區上。這里可以指定資料庫文件夾和日誌文件夾的位置。 (8)單擊“下一步”按鈕，打開“共亨的系統卷”對話框。SYSVOL文件夾是存放域公用文件的伺服器副本。可在文本框中輸入SYSVOL文件夾的位置，或者單擊“瀏覽”按鈕並選擇SYSVOL文件夾的位置。 (9)單擊“下一步”按鈕，打開“DNS注冊診斷”對話框。通過診斷結果可以查看產生的錯誤，並可以單擊列表框中的“幫助”鏈接獲得糾正錯誤的步驟。錯誤問題糾正後，選中“我已經更正了錯誤。再次執行DNS診斷測試”單選按鈕，並單擊“下一步”按鈕，系統再次打開“診斷結果”對話框。 重復以上操作，直到診斷結果沒有錯誤提示。 選中“在這台伺服器上安裝並配置DNS伺服器，並將這台DNS伺服器設為這台伺服器的首選DNS伺服器”單選按鈕。 (10)單擊“下一步”按鈕，打開許可權對話框。如果域中有Windows 2000之前的伺服器操作系統，選中“與Windows 2000之前的伺服器操作系統兼窖的許可權”單選按鈕，如果域中不需要與Windows 2000之前的伺服器操作系統兼容，則選中“只與Windows 2000或Windows Server 2003操作系統兼容的許可權”單選按鈕。 (11)單擊“下一步”按鈕，打開“目錄服務還原模式的管理員密碼”對話框。輸入“還原模式密碼”和“確認密碼”。還原模式的密碼在該伺服器目錄服務還原時使用。 (12)單擊“下一步”按鈕，打開“摘要”信息對話框。可查看域伺服器的配置內容，如果需要修正，可單擊“上一步”按鈕返回。 (13)單擊“下一步”按鈕，開始配置Active Directory。 可以在配置Active Directory的同時，安裝和配置DNS，也可以單擊“跳過DNS安裝”按鈕，跳過DNS安裝。 (14)完成Acthive Directory配置後，打開“正在完成Active Directory安裝向導”對話框。 單擊完成按鈕，打開重新啟動計算機對話框。 單擊立即重新啟動，重新啟動Windows系統，完成Active Directory和域控制器的安裝。

『貳』 如何在AD域中禁止客戶端安裝軟體

可以肯定，沒有任何辦法。

有一個地方值得說一下，ad環境用的是域帳戶策略，該所有工作站機系統對軟體的運行和控制許可權，都記錄在伺服器的注冊表庫中。而本地策略和注冊表信息都在本機上。

如你所說在本地msn是存在密碼保存的。但無法遷移至ad
server上，畢竟從微軟官方技術中指出，密碼屬個人安全密鑰，不能在沒有驗證情況下進行完全遷移。

『叄』 域伺服器怎麼管理軟體的安裝的

我配置好了活動目錄等等....

修改客戶機 我的電腦屬性-隸屬於-域---
開機時登錄域成功

現在我想開機進入我本機的系統
然後再在該系統上用一個軟體登錄域

不知道什麼軟體可以實現,給個連接,

不知道大家知道我說的是什麼嗎?明白的給幾個專業術語

『肆』 如何給域用戶安裝軟體的許可權

1、右鍵點擊計算機，在彈出的菜單中選中管理。

『伍』 如何給一個域用戶安裝軟體的許可權，但是沒有在域控制伺服器上進行安裝軟體或者更改AD設置的許可權

將域用戶加入該機器本地管理員組就在本地有安裝軟體的許可權，只有在加入了本地管理員的機器該域用戶才有安裝軟體的許可權，而該用戶在其他電腦上均沒有管理員許可權，包括域控。如果想該域用戶在其他非域控客戶端也擁有管理員許可權，需要一台一台賦予本地管理員的許可權，當然你也可以在組策略分派中做一個腳本在啟動時自動把該用戶加入客戶端的本地管理員組，這樣也可以實現樓主要求。

『陸』 如何阻止公司伺服器域自動安裝殺毒軟體，請教高手！！！

你們公司的域制訂了軟體安裝策略，配合諾頓網路版的腳本，可以實現自動分發並安裝殺毒軟體。像這種情況除非你有與管理員許可權的賬號，否則你是沒辦法改變這個策略的；要麼你就不要登陸域，登陸本地賬號就不受域控制了，但是我估計你們公司加域是強制的，不登陸域就無法訪問外網或者無法使用辦公系統，那就沒辦法了……

『柒』 AD域怎麼限制上網，怎麼設共享文件，怎麼限制軟體運行，怎麼批量安裝軟體，說下詳細步驟哦！！ 分可以多給

A1、客戶機無法加入到域？
一、許可權問題。
要想把一台計算機加入到域，必須得以這台計算機上的本地管理員（默認為administrator）身份登錄，保證對這台計算機有管理控制許可權。普通用戶登錄進來，更改按鈕為灰色不可用。並按照提示輸入一個域用戶帳號或域管理員帳號，保證能在域內為這台計算機創建一個計算機帳號。

二、不是說「在2000/03域中，默認一個普通的域用戶（Authenticated Users）即可加10台計算機到域。」嗎？這時如何在這台計算機上登錄到域呀！
顯然這位網管誤解了這名話的意思，此時計算機尚未加入到域，當然無法登錄到域。也有人有辦法，在本地上建了一個與域用戶同名同口令的用戶，結果可想而知。這句話的意思是普通的域用戶就有能力在域中創建10個新的計算機帳號，但你想把一台計算機加入到域，首先你得對這台計算機的管理許可權才行。再有就是當你加第11台新計算機帳號時，會有出錯提示，此時可在組策略中，將帳號復位，或乾脆刪了再新建一個域用戶帳號，如joindomain。注意：域管理員不受10台的限制。

三、用同一個普通域帳戶加計算機到域，有時沒問題，有時卻出現「拒絕訪問」提示。
這個問題的產生是由於AD已有同名計算機帳戶，這通常是由於非正常脫離域，計算機帳戶沒有被自動禁用或
手動刪除，而普通域帳戶無權覆蓋而產生的。解決辦法：1、手動在AD中刪除該計算機帳戶；2、改用管理員帳戶
將計算機加入到域；3、在最初預建帳戶時就指明可加入域的用戶。
四、域xxx不是AD域，或用於域的AD域控制器無法聯繫上。
在2000/03域中，2000及以上客戶機主要靠DNS來查找域控制器，獲得DC的 IP 地址，然後開始進行網路身份
驗證。DNS不可用時，也可以利用瀏覽服務，但會比較慢。2000以前老版本計算機，不能利用DNS來定位DC，只能
利用瀏覽服務、WINS、lmhosts文件來定位DC。所以加入域時，為了能找到DC，應首先將客戶機TCP/IP配置中所配
的DNS伺服器，指向DC所用的DNS伺服器。
加入域時，如果輸入的域名為FQDN格式，形如mcse.com，必須利用DNS中的SRV記錄來找到DC，如果客戶機的
DNS指的不對，就無法加入到域，出錯提示為「域xxx不是AD域，或用於域的AD域控制器無法聯繫上。」2000及以
上版本的計算機跨子網（路由）加入域時，也就是說，加入域的計算機是2000及以上，且與DC不在同一子網時，
應該用此方法。
加入域時，如果輸入的域名為NetBIOS格式，如mcse，也可以利用瀏覽服務（廣播方式）直接找到DC，但瀏覽
服務不是一個完善的服務，經常會不好使。而且這樣雖然也可以把計算機加入到域，但在加入域和以後登錄時，
需要等待較長的時間，所以不推薦。再者，由於客戶機的DNS指的不對，則它無法利用2000DNS的動態更新動能，
也就是說無法在DNS區域中自動生成關於這台計算機的A記錄和PTR記錄。那麼同一域另一子網的2000及以上計算機
就無法利用DNS找到它，這本應該是可以的。
若客戶機的DNS配置沒問題，接下來可使用nslookup命令確認一下客戶機能否通過DNS查找到DC（具體見
前）。能找到的話，再ping一下DC看是否通。

A2、用戶無法登錄到域？
一、用戶名、口令、域
確保輸入正確的用戶名和口令，注意用戶名不區分大小寫，口令是區分大小寫的。看一下欲登錄的域是否還存在（比如子域被非正常刪除了，域中唯一的DC未聯機）。
二、DNS
客戶機所配的DNS是否指向DC所用的DNS伺服器，討論同前。
三、計算機帳號
基於安全性的考慮，管理員會將暫時不用的計算機帳號禁用（如財務主管渡假去了），出錯提示為「無法與域連接……，域控制器不可用……，找不到計算機帳戶……」，而不是直接提示「計算機帳號已被禁用」。可到AD用戶和計算機中，將計算機帳號啟用即可。
對於 Windows 2000/XP/03，默認計算機帳戶密碼的更換周期為 30 天。如果由於某種原因該計算機帳戶的密碼與 LSA 機密不同步，登錄時就會出現出錯提示：「計算機帳戶丟失……」或「此工作站和主域間的信任關系失敗」。解決辦法：重設計算機帳戶，或將該計算機重新加入到域。
四、默認普通域用戶無權在DC上登錄
見下一小節的B1。
五、跨域登錄中的問題
在2000及以上計算機上登錄到域的過程是這樣的：域成員計算機根據本機DNS配置去找DNS伺服器，DNS根據SRV記錄告訴它DC是誰，客戶機聯系DC，驗證後登錄。
如果是在林中跨域登錄，是首先查詢DNS伺服器，問林的GC是誰。所以要保證林內有可用的GC。如果是要登錄到其它有信任關系的域（不一定是本林的），要保證DNS能找到對方的域。

如何解決本地或域管理員密碼丟失？
本地管理員密碼丟失，可通過刪除sam文件（2000SP3以前）或通過NTpassword軟體來解決。但要解決域管理員密碼丟失，它們就無能為力了,這時就需要用到「鳳凰萬能啟動盤」中的ERD Commander 2002了，接下來我們將詳細討論使用此盤解決管理員密碼丟失問題。
1、上網搜索「鳳凰萬能啟動盤」或「深山紅葉」或「老毛桃WINPE」，大約230M；
2、下載後解壓縮，將其內容刻錄成光碟；
3、用此光碟啟動計算機，顯示XP安裝界面，Start ERD Commander 2002環境；
4、出現選擇菜單，選擇第一項：ERD Commander 2002；
5、出現類似XP的啟動界面
6、進入選擇系統安裝的路徑，一般會自動測出操作系統、版本及是否域控制器；
7、出現類似的XP桌面：選擇Start/Administrative Tools/Locksmith；
8、進入ERD Commander 2002 locksmith向導界面，下一步；
9、選擇Administrator，重設其密碼；（此時切不可手動重新啟動計算機，否則此修改將無效）
10、選擇Start/Logoff，點OK；
11、稍候片刻，點reboot後重新啟動計算機
常見WINPE啟動盤中的ERD Commander 2002功能強大，不僅可破解本地管理員密碼，包括NT/2000/XP/03的各個版
本。還可以破解NT/2000/03域管理員密碼，均已實驗證明。 由於可自動識別操作系統和版本，及是否DC，所以用戶在操作時，重設密碼的方法都是一樣的。對於03，重設密碼時要注意符合密碼策略中要求的符合復雜性要求，且密碼最小長度為7，否則重設的密碼會無效。

無法使用域內的共享列印機？
現象：計算機重啟或注銷，再登錄進來，無法使用以前安裝的域內的共享網路列印機， 為用戶重新安裝列印機，當時可以列印，但不久問題又會出現。用戶反映說有時能列印，有時就是不能列印。
其原因在於用戶沒有登錄到域（很多用戶即使計算機加入到了域，也經常習慣性地選擇登錄到本地機），
沒有域用戶身份，當然無權訪問域內的資源。而且關鍵是Windows系統在這里有個小毛病，它並不象你訪問共享文
件夾那樣，由於沒有身份而提示你輸入用戶名和密碼來進行驗證，而是直接提示你「拒絕訪問，無法連接」、
「當前列印機安裝有問題」，「RPC服務不可用」等等（在不同的操作系統或應用程序中提示會所不同）。
解決辦法有3種，最好還是用方法1。：
1、要求用戶將其域用戶帳號加入到本地管理員組，以後每次都以域用戶帳號登錄。
說明：這本身就是微軟推薦的一種辦法。因為如果不這樣，普通用戶以本地管理員身份登錄時，控制本機沒問
題，但訪問域資源時需要輸入域用戶名和口令；而用戶若以域用戶身份登錄，又沒有本機管理特權。比如說：無法關機，無法修改網路等配置，無法安裝軟體、驅動等。這樣做了以後，用戶以域用戶身份登錄，同時他又是本地管理員。
2、在列印伺服器上啟用Guest用戶，保證everyone有列印許可權。但這樣做不安全，所以不推薦。
3、在客戶機上每次要使用列印機前，在開始—運行：\\PrintServer，這時會提示你輸入用戶名和密碼。通過驗證後，再去使用列印機。很顯然這樣方法比較麻煩。

無法訪問域內的共享資源？
上例中我們提到過客戶機如果加入到了域，但用戶選擇登錄到本地機。當訪問域內共享資源時，會提示輸入用戶名和口令。若不出現提示，直接出現拒絕訪問。一般是由於目標計算機上啟用了guest，而guest用戶沒有許可權造成的。
接下來的討論實質和域的關系不太，但確實是我們訪問網路共享資源中經常會碰到的問題：基於UNC路徑的I形式來訪問時的故障，如在開始/運行：\\10.63.243.1。 前提：在網卡、協議、連接沒問題的情況下。即在可ping通的前提下，若\\10.63.243.1不通，排錯可從下面幾個方面來考慮。
1、目標機的「Microsoft網路的文件和列印機共享」服務的問題。
提示：「\\10.63.243.1 文件名、目錄名或卷標語法不正確」。
檢查：服務是否安裝、是否選中，或重裝一下。
操作：網上鄰居/右鍵/屬性/本地連接/右鍵/屬性
2、由於訪問相關的net logon、server、workstation服務務未正常啟動的影響。
提示：
（1）若目標機（為域成員）上的net logon服務停了：「試圖登錄，但網路登錄服務未啟動」。
（2）若目標機上的server服務停了：「\\10.63.243.1 文件名、目錄名或卷標語法不正確。」
（3）若本機的worstation服務停了：「\\10.63.243.1 網路未連接或啟動」。連其它計算機，也是一樣的提示。
檢查：相應服務是否已經正常啟動。
操作：我的電腦/右鍵/管理/服務和應用程序/服務下
3、由於本機與其它計算機重名（指NetBIOS名稱）的影響
提示：訪問任何計算機均提示：「找不到網路路徑」。
檢查：重啟一下，看是否有「網路中存在重名」的提示。可能上次開機時沒注意給忽略了。
操作：我的電腦/屬性/網路標識/屬性/計算機名下，修改計算機名。
4、XP/03由於默認安全策略：「帳戶：使用空白密碼的本地帳戶只允許進行控制台登錄」的影響 提示：\\10.63.243.1無法訪問。您可能沒有許可權使用網路資源。請與這台伺服器的管理員聯系以查明您是否有訪問許可權。登錄失敗：用戶帳戶限制。可能的原因包括不允許空密碼，登錄時間限制，或強制的策略限制。
檢查：改用非空密碼的帳戶試試，或查看XP/03目標機上的本地策略。
操作：開始/運行：gpedit.msc。計算機配置/Winodws設置/安全設置/本地策略/安全選項下，由默認值「
啟用」改為「禁用」。
注意：域帳號訪問不受此策略限制。
5、網路共享訪問被篩選器的設置所阻止
提示：找不到網路路徑
檢查： TCP/IP篩選、IPSEC、RRAS篩選器是否被啟用，且TCP埠139和445被禁用。
操作：
（1）網上鄰居/屬性/本地連接/屬性：TCP/IP—高級—選項—TCP/IP篩選
（2）網上鄰居/屬性/本地連接/屬性：TCP/IP—高級—選項—IP安全機制
（3）開始/程序/管理/路由和遠程訪問/IP路由選擇/常規/介面/右鍵屬性/常規：輸入/輸出篩選器。
說明：
（1）RRAS篩選器只在2000/03 Server版中才有，IPSEC只有在2000的上述位置才有。
（2）若你就想設置篩選器，基於埠控制，不讓別人訪問你的網路共享資源，需要同時禁止TCP：139和445口。
（3）由於此種原因產生的訪問故障，一般是由於實驗後忘了復原，或別人故意和你開玩笑。

在AD域中，如何批量添加域用戶帳號？
作為網管，有時我們需要批量地向AD域中添加用戶帳戶，這些用戶帳戶既有一些相同的屬性，又有一些不同屬性。如果逐個添加、設置的話，十分地麻煩。一般來說，如果不超 過10個，我們可利用AD用戶帳戶復制來實現。如果再多的話，我們就應該考慮使用csvde.exe或ldifde.exe來減輕我們的工作量了。最後簡單介紹一下利用腳本（可利用循環功能）批量創建用戶帳號
一、AD用戶帳戶復制
1、在「AD域和計算機」中建一個作為樣板的用戶，如S1。
2、設置相關需要的選項，如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。
3、在S1上/右鍵/復制，輸入名字和口令。
說明：
1、 只有AD域用戶帳戶才可以復制，對於本地用戶帳戶無此功能。
2、 帳戶復制可將在樣板用戶帳戶設置的大多數屬性帶過來。具體如下：
二、比較csvde與ldifde
三、以csvde.exe為例說明：域用戶帳戶的導出/導入
操作步驟如下：
1、 在「AD域和計算機」中建一個用戶，如S1。
2、 設置相關需要的選項，如所屬的用戶組、登錄時間、用戶下次登錄時需更改密碼等。
3、 在DC上，開始/運行：cmd
4、 鍵入：csvde –f demo.csv
說明：
（1）不要試圖將這個文件導回，來驗證是否好使。因為這個文件中的好多欄位在導入時是不允許用的，如：
ObjectGUID、objectSID、pwdLastSet 和 samAccountType 等屬性。我們導出這個文件目的只是為了查看相應的欄位名是什麼，其值應該怎麼寫，出錯信息如下：
（2）可通過-d –r參數指定導出范圍和對象類型。例如：
-d 「ou=test,dc=mcse,dc=com」 或 -d 「cn=users,dc=mcse,dc=com」
-r 「< Objectclass=user>」
1、 以上面的文件為參考基礎，創建自己的my.csv，並利用復制、粘貼、修改得到多條記錄。例如：
dn,objectClass,sAMAccountName,userAccountControl,userPrincipalName
"CN=s1,OU=test,DC=mcse,DC=com",user,S1,512,[email protected]
"CN=s2,OU=test,DC=mcse,DC=com",user,S2,512,[email protected]
………………，其它可用欄位，我試了一下，見下表（不全）：
6、導入到AD，鍵入 csvde –i –f my.csv –j c:\
說明：-j用於設置日誌文件位置，默認為當前路徑。此選項可幫助用戶在導入不成功時排錯。
有一點大家必須明確的是：我們在這里做AD域用戶帳戶復制、做AD域用戶帳戶的導出/導入，並不能代替「AD備份和恢復」。我們只是在批量創建用戶帳號，帳號的SID都是重新生成的，權利許可權都得重新設才行。（當然我們可以把導入的用戶，通過memberof欄位設到一些用戶組中去，使它有權利許可權。但這與利用「AD備份和恢復」到原
狀，完全是兩回事）。
四、利用腳本創建批量用戶帳戶
1、利用腳本創建用戶帳號（用戶可參考下例）。
Set objDomain = GetObject("LDAP://dc=fabrikam,dc=com")
Set objOU = objDomain.Create("organizationalUnit", "ou=Management")
objOU.SetInfo
說明：在fabrikam.com域創建一個名叫Management的OU。
Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
Set objUser = objOU.Create("User", "cn= AckermanPila")
objUser.Put "sAMAccountName", "AckermanPila"
objUser.SetInfo
objUser.SetPassword "i5A2sj*!"
objUser.AccountDisabled = FALSE
objUser.SetInfo
說明：在Management OU下創建一個名叫AckermanPila的用戶，口令為i5A2sj*!，啟用。
Set objOU = GetObject("LDAP://OU=Management,dc=fabrikam,dc=com")
Set objGroup = objOU.Create("Group", "cn=atl-users")
objGroup.Put "sAMAccountName", "atl-users"
objGroup.SetInfo
objGroup.Add objUser.ADSPath
objGroup.SetInfo
說明：在Management OU下創建一個名叫atl-users的用戶組，將用戶AckermanPila加入到這個組中。
Wscript.echo "Script ended successfully"
說明：顯示「腳本成功結束」信息
2、利用腳本中的循環功能實現批量創建用戶帳號
Set objRootDSE = GetObject("LDAP://rootDSE")
Set objContainer = GetObject("LDAP://cn=Users," & _
objRootDSE.Get("defaultNamingContext"))
For i = 1 To 1000
Set objUser = objContainer.Create("User", "cn=UserNo" & i)
objUser.Put "sAMAccountName", "UserNo" & i
objUser.SetInfo
objUser.SetPassword "i5A2sj*!"
objUser.AccountDisabled = FALSE
objUser.SetInfo
Next
WScript.Echo "1000 Users created."
說明：在當前域的Users容器中創建UserNo1到UserNo1000，共1000個用戶帳戶

我的計算機不知道怎麼回事，系統時間總是被改快1小時？
加入域的計算機，沒有自己的時間。這是因為時間參數，在AD復制中是一個極為重要的因素。如：決定多主控復制時，誰的修改最終生效。所以整個域的時間，都由域的PDC模擬主控來控制，整個林的時間都由林根域上的PDC模擬主控來控制。
說明：如果整個林的時間都快1小時，對你AD的正常工作沒有任何影響。
解決：修改林根域的PDC模擬主控計算機的時間。實際工作中，要先查看域內計算機的時區設置是否正確。

建立AD域，需要有什麼樣的許可權才行？
1、若是創建林內的第一個域，即林根域，只要有目標計算機上的本地管理員許可權即可。
2、作為已有域的附加DC，需要該域的域管理員（Domain Admins）許可權。
3、安裝子域的DC，或新樹的DC，都涉及到林結構的改變，需要林管理員（Enterprise Admins）許可權才行。

如何在2000域中添加一台03的DC？
03和2000比，功能更強大了，在域和AD的體系結構上也有了一些變化（參見前面：域、林功能級別）。但微軟的產品十分講究向前兼容，我們可以實現在一個2000域中加入03DC、加入03DNS，並且DC間的AD復制，DNS間的區域傳輸，都好像沒有版本差異一樣。
但要注意：直接就在03計算機上安裝AD是不行的，會收到出錯提示「Active Directory版本不同」。我們需要做一些准備工作，在2000DC（SP2及更高）上運行03光碟/I386/adprep， 具體第一步：adprep /forestprep進行林准備，第二步adprep /domainprep進行域准備。
順便說一下：03可以作為2000域的附加DC，2000也可以作為03域的附加DC，而直接在2000上安裝AD即可，不需要准備。

創建AD域時，由於沒有NTFS分區，導致AD安裝失敗？
在2000/03成員或獨立服務上上運行dcpromo命令，安裝AD，將其提升為DC，其上必須有一個NTFS 5.0分區，用來保存AD的sysvol文件夾。
注意：2000的NTFS分區是NTFS 5.0，NT4的是NTFS 4.0，NT4必須安裝SP4後，才可訪問2000的NTFS分區。 如果C是引導分區，即系統夾winnt或windows所在分區，採用FAT32分區，系統會自動查找下一個可用的NTFS分區來存放系統卷，如d:\sysvol。如果找不到NTFS分區，就會出錯，導致AD安裝失敗。這時可利用convert命令將某個FAT32分
區轉成NTFS分區，這個轉換會保持數據的完好。但要注意這個轉換是單向不可逆，想回復到FAT分區，除非重新格式化該分區。 以轉換D盤為例，具體操作如下：
1、開始/運行：convert d: /fs:ntfs
2、提示是否轉換，鍵入y確認轉換。
說明：這時並沒有真正開始轉換，如果後悔，可以到注冊表HLM\當前控制\控制\會話管理\BootExecute下，刪除其值Convert d: /fs:ntfs 。
3、重新啟動計算機，將在登錄界面出現前，真正實施FAT到NTFS的轉換。

安裝AD域時，出現NetBIOS名稱沖突？
在安裝AD時，安裝選項會要求輸入：新域的DNS全名，在這里應該輸入新域的完全有效域名FQDN，形如：mcse.com。系統會打算以mcse作為此域的NetBIOS名稱，並在網路中檢查是否存在重名，需要等一會兒。
如果不重名則設為mcse（建議用戶不要修改此名），重名系統則自動設為mcse0，建議用戶最好換個名字，因為你的網路可能還會有2000以前版本的老系統，考慮到NetBIOS名稱解析和DNS名稱解析的互助，保持一致性比較好。
說明：NetBIOS名稱，只是為95/98/NT等老版本用戶通過「瀏覽服務」或WINS來識別這個域用的，如果確信域內計算機都是2000及以上系統（它們通過DNS定位域），其實NetBIOS名稱沖不沖突，都無所謂。 這種沖突可能源自於網路中如果已有一個域，名字叫做mcse.org，DNS名雖然不沖突，但是NetBIOS名稱沖突。也可能是你安裝了一個mcse.com域未能完全成功，又再次安裝導致的，這樣情況倒可以強行將NetBIOS名稱將為mcse，而不是mcse0。

安裝AD完成後，重啟登錄非常慢，甚至長達20分鍾之久。
這一般是由於用一台運行了一段時間的2000/03 Server來安裝AD造成的，故障較難定位。若重啟幾次後就正常了，則不必理會。如果多次重啟後還是非常慢，那就要重裝系統及AD了。建議：最好在新裝的系統上來安裝AD，這樣不容易出問題。

安裝AD時，選擇了在本機安裝DNS，但安裝結束後，在DNS中未生成SRV記錄？
如果決定在安裝AD過程中在本機安裝DNS，應在安裝前，將本機TCP/IP配置中的DNS伺服器指向自己，這樣在安裝AD完成後重啟時，SRV記錄將被自動注冊到DNS伺服器的區域當中去的，生成四個以下劃線開頭的文件夾，如_msdcs。 03DNS在這里夾的層次結構有所變化，將_msdcs.域名夾提升了一級，直接放到了查找區域下，但本質沒變。 如果安裝前忘了將DNS指向自己，也可以後補上。然後到計算機管理/服務下，重啟Net Logon服務即可。這樣可以把啟動時未能注冊到DNS伺服器的SRV記錄（緩存在windows\system32\cache中）寫入DNS。如果仍然不行的話，那隻好重啟DC了。

安裝子域失敗。
在保證許可權（需要林管理員許可權，不要誤以為是父域管理員許可權）、DNS沒問題的情況下，最常見的安裝子域失敗的原因就是域命名主控失效，出錯提示為：「由於以下原因，操作失敗：AD無法與域命名主機xxx聯系。指定的伺服器無法運行指定的操作。」
說明：域命名主控要正常工作，它本身要求GC必須可用。這是由於：為了保證域的名字在林中唯一，域命名主機需要查詢GC。若是2000林，GC必須和域命名主機在同一台計算機上才行。若是2003林，不要求GC必須和域命名主機非得在同一台計算機上。
解決：保證域命名主控聯機，如果確信其已無法正常工作，可強制傳給（查封seize）林內的任意一台DC，子域的DC也可以。原來的主控必須被重做系統後，才可連入網路，以保證域命名主控的林唯一性。

修改用戶密碼需要幾分鍾，甚至更長的時間。
前面我們介紹過：PDC模擬主控負責最小化密碼變化的復制等待時間，若一台DC接受到密碼變化的請求，它必須通知PDC模擬主控。若是PDC模擬主機失效，收到該請求的DC必須經過一段時間的查找後，確認真的找不到PDC模擬主控了，才會自己修改用戶密碼。所以在此情況下，應首先檢查PDC模擬主控。 如果確信其已無法正常工作，可強制傳給（查封seize）域內的任意一台DC。原來的主控必須被重做系統後，才可連入網路，以保證PDC模擬主控的域唯一性。

正常卸載AD時的常見問題
在實際工作中有時我們需要改變伺服器角色，或者將實驗中安裝的DC回復到普通成員/獨立伺服器身份，這就要進行AD的卸載。
1、卸載時會提示給新的本地管理員設置密碼
2、附加DC卸載後，仍在域中。
3、如果AD不能卸載，應從以下幾方面考慮：
（1）網卡是否正常工作
即使你整個林中只有一台計算機，也要保證網卡正常工作，才能將AD卸載。網卡不工作或禁用網卡都會導致AD無法卸載，提示「卸載SYSVOL文件夾出錯」
（2）許可權
許可權要求與安裝AD時類似，若一個林中只有一個域，那麼你要卸載的就是林根域，需要林管理員（Enterprise Admins）許可權；卸載附加DC需要該域的域管理員（Domain Admins）許可權；卸載子域或樹，涉及到林結構的改變，也需要林管理員許可權。
（3）DNS
一般應保證與安裝時所用DNS一致。如果做了DNS規劃，必須保證1中許可權所要求的管理員身份能通過DNS找到相應DC，進行驗證。
（4）域命名主控
卸載時只要涉及到林結構的改變，就需要保證域命名主控有效；卸載附加DC時不要求域命名主控有效。
但要注意的是：卸載時，域命名主控失效的出錯信息與安裝時的「AD無法與域命名主機xxx聯系」提示不同，具體是：由於以下原因，操作失敗。以提供的憑據綁定到伺服器xxx失敗。「RPC伺服器不可用」。

『捌』 我們公司有一台伺服器，想實現用伺服器域控來控制用戶的上網行為及安裝軟體情況，請問如何實現呢

上網行為實現不了，需要買上網行為管理設備，能控制各種行為，比如聊天發送和接收之類的
軟體安裝也是一樣的，這些想要控制，都是企業級安全產品
windows 域控只是自帶文案寫得好，用起來不是那麼回事兒
還是需要配合其他網路安全產品的

『玖』 如何阻止公司伺服器域自動安裝殺毒軟體，請教高手！！！

公司的遠程式控制制軟體俗稱就是木馬。它的許可權永遠比你高。除非你不用它，否則不可能阻止。你要是阻止了公司的網管是肯定能知道的。

你只要把公司的控制軟體在你電腦上 開的那個埠封掉。它就控制不了你了。還是那句話，網管會知道的，除非他是白痴

『拾』 如何阻止公司伺服器域自動安裝殺毒軟體，請教高手！！！

公司的遠程式控制制軟體俗稱就是木馬。它的許可權永遠比你高。除非你不用它，否則不可能阻止。你要是阻止了公司的網管是肯定能知道的。
你只要把公司的控制軟體在你電腦上
開的那個埠封掉。它就控制不了你了。還是那句話，網管會知道的，除非他是白痴