大型企業(yè)網(wǎng)絡(luò)中都應(yīng)該有一個域控制器，在域控制器中安裝活動目錄，在活動目錄中創(chuàng)建域，可以為公司帶來意想不到的便利。

企業(yè)里因各種原因，經(jīng)常有人在非工作時間使用公司網(wǎng)絡(luò)，甚至有人通過控制軟件，通過互聯(lián)網(wǎng)遠(yuǎn)程在未經(jīng)授權(quán)的時間內(nèi)使用公司網(wǎng)絡(luò)。這樣就容易產(chǎn)生安全隱患。那么我們?nèi)绾蜗拗朴脩舴欠ㄊ褂镁W(wǎng)絡(luò)呢？很簡單，我們只要對企業(yè)網(wǎng)絡(luò)進行簡單的升級即可滿足這一需求。

一、升級企業(yè)網(wǎng)絡(luò)

不要誤會，我們這里的升級并不是硬件上的升級，因此不需要公司為此額外投入任何費用。在升級之前，你需要先查看一下公司的網(wǎng)絡(luò)類型，如果已經(jīng)是域活動目錄環(huán)境，那么則可以直接跳過這一步向下看。但是一般企業(yè)網(wǎng)絡(luò)都是簡單的工作組方式搭建，對此則需要對其進行升級。八哥網(wǎng)（http://www.it8g.com）以目前企業(yè)服務(wù)器應(yīng)用最普遍的Windows 2000/2003為例，向大家介紹如何升級到域控制器。

打開控制面板，啟動“管理工具”文件夾“配置服務(wù)器”項，打開后單擊左側(cè)的“Active Directory”，再單擊右側(cè)的“啟動”按鈕，這樣就打開了Active Directory操作向?qū)Т翱?。由于我們是首次使用域，因此在向?qū)崾緯r應(yīng)選擇“新域的域控制器”項，其它的建議大家都使用默認(rèn)值。隨后會提示設(shè)置DNS域名，在這里可以隨便輸入，如果企業(yè)有自己的網(wǎng)站，也可以將域名設(shè)為網(wǎng)站的域名（圖1），向?qū)У淖詈髸崾景惭bDNS，需要按要求完成安裝。最后生成域控制器的時間比較長，大家需要耐心等待。

二、創(chuàng)建域賬戶

創(chuàng)建了域控制器后，我們就可以在活動目錄中為員工創(chuàng)建登錄域的賬戶了。在控制面板中打開“管理Active Directory中的用戶和計算機”項，然后在Users上單擊右鍵，選擇“新建”→“用戶”命令，在彈出的對話框中輸入新用戶的相關(guān)信息即可（圖2）。

新用戶創(chuàng)建成功后，還需要對用戶進行必要的設(shè)置才能解決安全問題。在Active Directory中的用戶和計算機的用戶列表中找到創(chuàng)建的用戶，然后單擊右鍵打開其屬性窗口，切換到“帳戶”標(biāo)簽，在窗口底部的“賬戶過期”時間中選擇“在這之后”，再設(shè)置一個過期的時間，這個過期的時間就是員工聘用合同的到期時間，到了這個時間之后該員工的賬號將自動失效，需管理員重新開放權(quán)限才能登錄企業(yè)的域網(wǎng)絡(luò)環(huán)境中（圖3）。

如果要求還想更嚴(yán)格一些，那么則可以單擊“登錄時間”按鈕，在打開的窗口中設(shè)置允許或拒絕登錄的時間。在這里設(shè)置的時間應(yīng)該考慮到公司的作息時間（圖4）。

三、用戶加入域

現(xiàn)在只需要通知用戶將計算機加入到域即可。其方法是打開系統(tǒng)屬性窗口，切換到“計算機名”選項卡，單擊“更改”按鈕，將“隸屬于”設(shè)為“域”，同時輸入創(chuàng)建的域名稱，單擊“確定”按鈕輸入具有管理員權(quán)限的用戶名和密碼，以便讓計算機加入到域。

加入到域后會提示重新啟動，在初次啟動成功后用戶只有輸入域賬戶才能登錄系統(tǒng)，也只有這樣才能使用公司的網(wǎng)絡(luò)，而之前創(chuàng)建的本地賬戶將統(tǒng)統(tǒng)失效無法登錄。

經(jīng)過這樣的處理之后，只要人事部門與IT部門相互配合，為員工設(shè)置獨立的賬戶登錄時間和過期時間，這樣在員工下班時間或離職后自動鎖定賬戶，從而避免其非法盜取企業(yè)資料。

用域管理員工賬號使之按需使用就可以防止員工在非工作時間使用公司網(wǎng)絡(luò)，為企業(yè)杜絕了可能會產(chǎn)生的安全隱患。

【編輯推薦】

1. 域控制器的靈活運用
2. 域外控制器的作用與安裝
3. 域控制器千萬別忽視DNS設(shè)置
4. 域控制器的備份與還原簡易教程
5. 域控制器中DHCP、WINS、DNS的安裝和基本設(shè)置