域服务器的作用是：1.安全集中管理，统一安全策略 。2.软件集中管理，按照公司要求限定所有机器只能运行必需的办公软件。3.环境集中管理，利用AD可以统一客户端桌面,IE,TCP/IP等设置4.活动目录是企业基础架构的根本，为公司整体统一管理做基础。其它isa,exchange,防病毒服务器，补丁分发服务器，文件服务器等服务依赖于域服务器。1、域控下更改客户端桌面壁纸前提：确保网络是可通达，防火墙处于关闭状态，图片格式为.jpg，共享目录应为域控C盘。步骤：（1）在域控C盘建立共享文件夹desk,为可读模式，将共享图片desk.jpg存放在共享目录下。（2）开始菜单→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“壁纸”→右击编辑→用户下配置→策略→管理模板→桌面→Active Desktop→启用Active Desktop、启用不允许更改、启用桌面墙纸（墙纸名称为\192.168.200.20\desk\desk.jpg)→强制刷新组策略（gpupdate /force）→重新启动客户端生效。2、发布通告信息前提：在AD用户与计算机中将Computer中的计算机移动到与其相对应的组织单位中。步骤：开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“通告”→右击编辑→计算机配置下→策略→windows设置→安全设置→本地策略→安全选项→交互式登陆：试图登陆的用户的消息标题、消息文本→输入要求内容→强制刷新组策略（gpupdate /force）→重新启动客户端生效。3、禁用命令行步骤：开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“禁用命令行”→右击编辑→用户配置下→策略→管理模板→“开始”菜单和任务栏→从开始菜单中删除“运行”菜单→强制刷新组策略（gpupdate /force）→重新启动客户端生效。注意事项：此操作不收computer下计算机是否在用户组织单位下影响。4、发布办公室软件步骤：（1）下载office2003(寻找PRO11.MSI)→cmd→msiexec -a+(拖拽第一步的路径)→Enter→弹出管理员安装→填写产品秘钥→放在C盘下共享文件夹下。（2）开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“禁用命令行”→右击编辑→用户配置下→策略→软件设置→软件安装→右击新建→数据包→网络（此路径必须为网络）→源PC→找到共享文件夹下的.MSI软件→打开→已分配（分配为强制安装，发布时客户端具有自主性）。5、更改客户端用户密码策略步骤：开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“禁用命令行”→右击编辑→计算机配置→策略→windows设置→安全设置→账户策略→密码策略、密码长度最小值等，可依据需要定制→在AD用户与计算机→找到相应计算机重置密码。6、文档共享（漫游用户）步骤：（1）在域控C盘下新建共享文件夹“文档共享”→右击共享→给everyone读写权限→开始→管理工具→AD用户与计算机→选中需要漫游用户→右击属性→配置文件→配置文件路径：\192.168.1.10\文档共享%username%→应用确定→刷新组策略。（2）进入C盘下→右击“文档共享”文件夹→属性→安全→高级→所有者→编辑→选中Administrator和(替换子容器和对象的所有者)→应用确定，重启客户端。（3）进入“共享文档”→右击用户文件夹→属性→安全→编辑→添加→高级→立即查找→选中对应的客户端→确定一键到底→刷新组策略（guupdate /force）,重启客户端，此时，域内添加到漫游中的可以脱离物理机，文件随账号漫游。7、文件夹重定向步骤：（1）在域控C盘下新建共享文件夹“文件”→右击共享→给everyone读写权限→开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“文件夹重定向”→右击编辑→用户配置下→策略→windows设置→文件夹重定向→文档→右击属性→目标下设置行：基本–将每个人的文件夹重定向到同一个位置（注意在右面设置选项下含增加兼容性操作）→目标文件夹位置行：在根目录路径下位每一用户创建一个文件夹→根路径行：浏览（注意此处应为网络路径）应用、确定→刷新组策略。（2）进入C盘下→右击“文件”→属性→安全→高级→所有者→编辑→选中administrator和替换子容器和对象的所有者→确定。再次进入“文件”→访问用户文件夹→右击My Documents→右击属性→安全→编辑→添加→高级→立即查找→添加相应的用户→给完整权限→确定到底。8、远程调用（2003）前提：防火墙是个问题，注意关闭。步骤：（1）域控端→右击计算机→勾选“启用远程协助病允许从这台计算机发送邀请”→勾选“启用这台计算机上的远程桌面病选择远程用户”→添加→高级→立即查找→对应的客户端用户→确定关系。（2）客户端→cmd→mstsc→输入目的计算机Ip地址→勾选“资源可互相复制”。9、压缩数据库步骤：cmd→services.msc–右击停止Active Directory Domain Services→cmd→cd /→mkdir temp→ntdsutil(进入域控模式)→？（显示帮助参数）→Activate Instance ntds(激活域控)→file(对文件进行操作)→？（显示帮助参数）→compact to c (压缩到指定目录)→copy c：”\temp\ntds.dit” ”c：\Windows\NTDS\ntds.dit”→Enter→yes(到此时压缩数据库结束)10、迁移数据库步骤：在C盘下建立两个文件夹targetntds(存放数据库)、targetlog(存放日志)→cmd→ntdsutil→Activate InStance ntds→file→info(列出磁盘信息)→？（显示帮助参数）→Move DB to c：\targetndtds 和 Move logs to c：\targetlog→info(查看日志、数据存放位置)→启动服务Active Directory Domain Services→打开AD用户与计算机验证是否操作成功。11、windows 2008 封装：查看系统sid ：win+R→cmd→whoami /user →回车。2008封装：cmd→sysprep→双击sysprep开始封装，whoami /user(查看SID是否更改)；windows 2003 封装：将第一张安装光盘插入光驱，打开光驱→support→Tools→DEPLOY.CAB→ 提取setupca.exe、setupmgr.exe、sysprep.exe →双击sysprep.exe→下一步→重新封装。升级域控：cmd→dcpromo→ok(注意在进行操作前确定域控制器的ip地址)12、禁止所有用户加入域,只允许主管可以将计算机加入域步骤:（1）开始→管理工具→ADSI编辑器→右击ADSI编辑器→连接到→勾选“选择或键入域服务器（s）”：lv.com(域控的域名)→确定→点击“默认命名上下文”→右击“DC=lv,DC=com”→属性→将“ms-DS-MachineAccountQuota”→”10”修改成”0”.（2）AD用户与计算机→右击“市场部”（组织单位）→委派控制（E）→下一步→添加→高级→立即查找→王经理（主管）→确定→下一步→勾选要委派的任务→创建、删除和管理用户账户、重置用户密码并强制在下次登录时更改密码、读取所有用户信息→下一步→完成→强制刷新组策略→重新启动客户端。13、禁用客户端ip功能注意：策略实施应该是在域策略下，而非部门下 步骤：开始→管理工具→组策略编辑→Default Domain Policy 右击→编辑→计算机配置→策略→windows设置→安全设置→系统服务→Network Connections→改成自动→编辑安全设置→删除所有组或用户名→添加→Domain Admins、Everyone→前者给完整权限，后者给读取权限→应用，确定→刷新全区策略，重启客户端。14、权限的委派与回收步骤：（1）AD用户与计算机→右击“部门”→委派控制→添加→高级→立即查找→下一步→勾选权限→下一步→完成，刷新组策略。（2）AD用户与计算机→查看（对话框的菜单栏）→高级功能→右击“部门”→属性→安全→选中需要收回权限的部门或用户→高级→删除相应权限（注意此时显示的权限和添加时的字样不同，可以拉长对话框）→应用→确定，刷新组策略。15、设置客户端IE主页及其相应权限设置步骤：（1）开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“修改主页”→右击编辑→用户配置下→策略→windows设置→Internet Explor 维护→URL→重要URL→自定义主页：http//www.google.com.hk（公司主页）→应用，确定，刷新组策略。（2）开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“修改主页”→右击编辑→计算机配置下→管理模板→windows组件→Internet Explorer→Internet 控制面板→Internet 区域→安全页→Internet 区域→允许下载等设置。16、限制软件使用步骤：（1）开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“修改主页”→右击编辑→用户配置下→策略→管理模板→系统（在最右侧寻找策略）→不要运行指定的windows应用程序→启用→显示→添加应用程序的启动项名称（192.168.200.20/pub/sample/cal.exe）→应用，确定，刷新策略，重启客户端。（2）开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“修改主页”→右击编辑→计算机配置下→策略→windows设置→安全设置→软件限制策略→右击创建→安全级别→设置“不受限”为默认→进入“其他规则”→右击新建哈希规则、路径规则→确认到相同路径下的软件即可。17、禁用注册表编辑器、命令提示符步骤：开始→管理工具→组策略管理→找到对应的组织单位→创建相应OU→命名为“修改主页”→右击编辑→用户配置下→策略→管理模板→系统（在最右侧寻找策略）→系统阻止访问注册表编辑工具、命令提示符→启用→刷新组策略，重新启动客户端。18、关闭事件跟踪器步骤：cmd→gpedit.msc→计算机配置→管理模板→系统→显示“关闭事件跟踪器”→禁用19、审核策略（审核登录事件）步骤：（1）策略→计算机配置→windows设置→安全设置→本地策略→审核策略→启动（2）查看审核策略：服务器管理器→诊断→事件查看器→windows日志→安全→即可查看策略配置完毕之后，现在服务器上执行：gpupdate ／froce
#刷新策略
然后再客户端上也执行一次gpupdate ／froce
#刷新策略
然后再在客户端上执行gpresult
-r
#查看组策略作用结果
会提示你结果，哪些策略已经被应用，哪些应用失败。如下图：或者通过也可以通过rsop.msc查看。