PCTOP 銓尹行銷顧問有限公司 CHYUANYIIN 的談天說地溫馨小窩

準備工作

先把硬碟格式到NTFS系統
在此先分割系統，大小8GB

安裝時需要兩片光碟，一片正式，一片VOL的
安裝過程會出現檔案錯誤(setup_wm.ex_)，需要用到VOL的

SERVER端設定PART I:

安裝Windows server 2003

1.個人化您的軟體
　使用者MECC, 公司NCUME

2.輸入產品金鑰

3.授權模式：選擇第二項，每一裝置或每個使用者

4.電腦名稱以及系統管理密碼 ：
　 電腦名稱：NCUMECC01
　Administrator密碼：這是電腦權限最高的管理帳號密碼 ，請一定要設好並牢記

5.日期和時間設定

6.網路設定值： 選擇自訂設定

共有三張網路卡, AcerLAN ALN-325的設定先用自動，目前先不使用

Inter PRO/1000 MT負責對外
進去後選取
1. Client Microsoft Networks
2. File and printer sharing for Microsoft Networks
3. 網際網路通訊協定(TCP/IP)
點選 TCP/IP 通訊協定，進入內容後，
1.設定本機固定IP位址：140.115.65.30
2.DNS設定在進階設定，依照順序為65.30, 65.13, 65.25, 1.31, 192.11
其他選項不勾選

Inter PRO/100負責對內
點選部分與1000MT相同
IP用：192.168.0.254
DNS也用：192.168.0.254

其他選項都用預設，網域的設定也先用WORKGROUP即可

會出現檔案錯誤，更換到VOL版，然後要馬上換回來

當安裝完之後重開電腦,請先把網路線拔掉
第一次執行Windows server 2003
把對外網路的防火牆全開，之後就可以插上網路線
再上Windows update更新最新版的修正程式

升級的同時順便作設定

第二步 : server的設定

分割設定：
系統之前就已經分好了
另外在割一個4130MB的主要磁碟分割, 掛成獨立磁碟代號, 名稱為SWAP
把剩下的部分都分割為延伸磁碟分割，裡面再分為兩部分
第一部分放Log, 大小1G, 掛在C:\Log, 名稱為Log
第二部分放使用者漫遊檔, 大小3G, 掛成獨立磁碟代號, 名稱為userdate
剩下的先不要動

系統部分：
系統-進階-效能-進階 -虛擬記憶體
把C的分頁檔關掉, 把所有分頁檔都放在SWAP磁碟機，大小為(RAM大小*1.5)~4096MB

系統-遠端
勾選遠端桌面

第三步 : 更新
除了之前的Windows Update外
01機只有顯示卡跟音效卡需要更新
其中音效卡用裝置管理員的更新硬體即可

軟體部分安裝DU-Meter和Sniffer和Trend ServerProtect

(SNMP,ASMA, IIS, ASWM暫時不要安裝)
以及SNMP, ASMA, ASWM
SNMP在新增/移除程式-Windows元件-Management and Monitoring Tools裡面

於管理您的伺服器 -> 新增/或移除角色 會進入[設定您的伺服器]精靈
選下一步，等系統處理完後選擇第2項：自訂設定

選擇DNS
建立正向對應區域, 這台伺服器會維護區域
區域名稱: cc.me.ncu.edu.tw, 建立新檔案, 允許動態更新
轉寄到65.13和65.25

開啟管理這台DNS
正向對應區域-cc.me.ncu.edu.tw
新增主機 (和父系資料夾相同)到140.115.65.30
新增別名dns到cc.me.ncu.edu.tw
修改啟動授權的主要伺服器、負責人和名稱伺服器為cc.me.ncu.edu.tw

回到管理您的伺服器
選擇 網域控制站(Active Directory) 依序按下一步
之後有選項，選擇新網域的網域控制站
->網域(在新樹系中)
->網域的完整名稱，使用e2308.cc.me.ncu.edu.tw
->網域NetBIOS名稱，MECC01
->資料庫與記錄檔資料夾，設定到D:\NTDS目錄之下
->共用的系統磁碟區，設定到D:\SYSVOL
->選擇使用權限 只和Windows 2000或Windows server 2003作業系統相容
->設定還原模式密碼，建議使用和Administrator相同的密碼
->設定完成，檢查報表無誤後，系統會進行安裝
->安裝完成，重新啟動

再度開啟DNS管理
新增區域, 主要區域並勾選將區域存放在Active Directory
到........中的所有網域控制站
區域名稱e2308.cc.me.ncu.edu.tw
只允許安全性動態更新

接著刪除在cc.me.ncu.edu.tw中的e2308區域
執行新增委派e2308到cc.me.ncu.edu.tw
最後再把cc.me.ncu.edu.tw內容的動態更新關掉

至網域控制站(Active Directory)選擇右方的 管理Active Directory中的使用者及電腦
左邊的樹狀目錄可以看到剛剛建立的網域，在上面按右鍵，選擇提高網域功能等級
變更成Windows Server 2003

回到管理您的伺服器
新增WINS伺服器(完全不需要其他設定)

再選擇新增DHCP伺服器
名稱為E2308, IP範圍從192.168.1.1~192.168.3.254, 長度16
沒有排除IP, 時間一天, 選擇否，稍後設定
進入管理選單的伺服器選項的設定選項（滑鼠右鍵），設定以下：
003 路由器 192.168.0.254
006 DNS伺服器 192.168.0.254, 140.115.65.13, 140.115.1,31
044 WINS/NBNS 伺服器 192.168.0.254

在領域E2308的內容的DNS取消所有勾選
在ncumecc01.e2308.cc.me.ncu.edu.tw的DNS一樣取消所有勾選，另外在進階的更變伺服器的連結
記得只勾選內部網路
最後，記得授權以及啟用DHCP

回到管理您的伺服器
新增遠端存取或VPN伺服器
網路位址轉譯(NAT)
不要勾防火牆

最後，在開始-執行-Regedit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WPAEvents
刪除LastWPAEventLogged
修改OOBETimer為ff d5 71 d6 8b 6a 8d 6f d5 33 93 fd
調整WAPEvents目錄的權限，在進階中取消允許從父項....., 選複製
編輯SYSTEM的權限到只能查詢數值
在擁有者中調整擁有者為Administrator

設定 Active Directory 使用者帳號

管理Active Directory中的使用者與電腦 -> 展開網域 -> 選擇Users
右鍵 -> 新增網域使用者
使用者登入名稱 308user
不設定密碼
取消，使用者必須在下次登入時變更密碼
勾選，使用者不能變更密碼﹔密碼永久有效
設定完，出現一名稱為308user帳號的使用者
在上面按右鍵 -> 內容 -> 設定檔
填寫設定檔路徑，為剛剛所設定的共用資料夾
再後面加上以這個帳號為名稱的資料夾路徑
例如：\\ncumecc01\userdata\308user

如果創造使用者帳號出現安全性錯誤，就到系統管理工具->網域安全性原則，
進到安全性設定->帳戶原則->密碼原則
分別設成 已停用、已停用、0、0天、0記憶的密碼、0個字元
改完以後記得按F5更新套用新的設定
應該可以解決問題

還有一個管理者的帳號也不忘加入
使用者名稱 NCUMENet
密碼請設好而且牢記
取消，使用者必須在下次登入時變更密碼
勾選，使用者不能變更密碼﹔密碼永久有效
出現一名稱為NCUMENet帳號的使用者
在上面按右鍵 -> 內容 -> 設定檔
填寫設定檔路徑：\\ncumecc01\userdata\NCUMENet
->成員隸屬 -> 新增 -> 進階 -> 立即搜尋 -> 選擇Domain Admins -> 確定

#如果說沒辦法指出正確的路徑或物件名稱時
#在進階中使用立即搜尋,再選擇物件的方式,會用在很多地方
#要多多擅用喔

在伺服器端開啟一個共用資料夾，
要用來存放客戶端的漫遊設定檔以及其他...

在這裡我們建立一個名為 userdata 的資料夾並開啟網路共用
(權限：everyone 唯讀、administrators 完全控制)，
若伺服器名稱為 ncumecc01 則其網路路徑即為 "\\ncumecc01\userdata"

設定方法：
建立資料夾
在資料夾上按右鍵 -> 內容 -> 共用
選擇共用此資料夾 -> 使用權限
設定Everyone -> 允許讀取
設定Administrators -> 新增 -> 進階 -> 立即尋找 ->
選擇Administrators -> 設定完全控制

#再架設初期,可能會有時常更動漫遊檔的動作,這時候可以把Ncumenet也加入共用群組
#權限改成完全控制,如此就能使用網域的Ncumenet登入用戶端
#而且擁有Server端Userdata資料夾的完整控制權
#不用每次要變更或查詢時,都要一直鍵入Server的Administrator帳號和密碼

至此 server 設定告一段落
稍後在回頭設定群組原則(熟悉的當然可以一口氣做完)
群組原則可以再執行鍵入pgedit.msc編輯

本機設定 PART I:

用戶端設定
若已經把需要的帳號以及應用程式安全設定完成
就可以開始下面的動作了
例如我們使用到的帳號有: 308user(權限:User = 受限制的) ; ncumenet(權限:Administrators = 系統管理員)

請先確定設定好本地端Administrator的密碼
並且於使用者帳戶 -> 變更使用者登出或登入的方式 -> 把使用歡迎畫面和快速使用者切換取消

加入網域&複製使用者設定檔至Server

以ncumenet身份登入本機，於我的電腦 -> 內容
修改原工作群組為網域：此處輸入ActDirMe（NETBIOS 網域名稱）。
出現認證時可以輸入server端administrator的帳號密碼來通過認證
加入以後會要求重新啟動電腦

複製使用者設定檔至 Server：

設定好後，以Administrator身份登入，修改NCUMENet帳號的使用者設定檔
（路徑 C:\Documents and Settings\NCUMENet），將 NTUSER.DAT 更名為 NTUSER.man
（此項程序即為設置強制設定檔，往後使用者才不會擅自修改設定）。

# 這只是改變檔案名稱,但屬性還沒有改變,在我的電腦 -> 內容 -> 進階 -> 使用者設定檔
# Ncumenet帳號屬性仍然是[本機],所以還要登出,利用Ncumenet帳號登入一次
# 再回來時就可以看到屬性變成強制了,當然若要在做任何更動,記得先把.man改回.dat

# 如果使用屬性為本機的設定檔上傳會有什麼結果
# 使用者關機或登出時,會把資料回存至Server,但是Server又不允許改寫,而產生錯誤訊息
# 重則連登入都沒辦法登入,所以要設定好才行

# C:\Documents and Settings\帳戶名稱\
# 一般來說應該每個使用者都要獨立
# 但微軟設定C:\Documents and Settings\All Users\這個目錄下
# 每個使用者近來都會去讀取並套用這裡的設定,甚至全新的使用者也是如此
# 有些程式會把捷徑放在All users下,或是當電腦有很多使用者,卻想使用相同設定時,就會把資料放在這
# 舉例來說,若是在All Users\「開始」功能表\程式集\的目錄下有個abc的資料夾
# 新創立或已存在的使用者沒有這個資料夾在 \「開始」功能表\程式集\目錄下
# 當登入時Windows會去讀取All users的設定並套用過來,變成就算使用者本身沒有,卻也能看的到並且使用
# 但事實上,檔案仍然是存在C:\Documents and Settings\All Users\這個目錄下
# 所以在產生漫遊檔時,並不會包含進去,為了能讓使用者的設定獨立
# 盡量在產生新使用者並登入一次後,把All users的資料複製到使用者的資料夾下
# 這樣使用者的開始功能表作才能夠獨立編輯

我的電腦 -> 內容 -> 進階 -> 使用者設定檔 -> 先選取本地端之NCUMENet的設定檔
，然後再按下右下角的「複製到」按鈕。

將要「複製設定檔」的目的地選擇到伺服器所開的共用資料夾下，
例如 : \\ncumecc01\userdata\NCUMENet
並且將「允許使用」的權限設定為「網域的NCUMENet」。
上傳成功後,就能用此帳號登入網域了,這時候可以看到設定檔屬性為"漫遊"

# 此處所有瀏覽或查詢時出現的帳號密碼輸入畫面，都要輸入server端 administrator的帳號密碼

# 若是有照剛剛設定所說,將ncumenet的Userdata存取權限改成無權控制
# 此後,若需要上傳其他漫遊檔,都可以使用ncumenet登入網域
# 就能擁有userdata資料的完整控制權了

修改308user,並製作漫遊檔

利用Ncumenet或Administrator登入本機,修改
C:\Documents and Settings\308user，將 NTUSER.DAT 更名為 NTUSER.man
登入308user一次在登出
上傳至\\ncumecc01\Userdata\308user目錄下

這樣本機端設定也到一部分了
回頭設定Server端的使用者群組原則

Server端設定PART II:

群組原則的設定

在管理Active Directory中的使用者與電腦 -> 網域上按右鍵 -> 內容 -> 切換至「群組原則」標籤頁

先把預設的移除 -> 從清單中移除連結

選新物件 -> 命名308user -> 右鍵 -> 內容 -> [安全性]頁面 -> 移除清單上的 Authenticated User
選擇新增 -> 新增308user -> 確定

注意:每產生一個新的群組原則物件, Authenticated User預設會被設成套用此新物件的設定
所以一定要記得刪除或停止它套用原則

回安全性頁面選擇308user -> 把下方「讀取」與「套用群組原則」此兩項屬性設為允許。套用 -> 確定
(這個動作是使存組員則對308user這個使用者生效,只要308user登入網域就會套用這個群組原則)
回到群組原則物件連結 -> 點選308user -> 上移最上層

以同樣方法新增一個NCUMENet名稱的群組原則,使用者設定為NCUMENet
設定完後位置移到308user的下方

# 群組原則的繼承性質 是由上到下 後面套用的會覆蓋前面的 又分成電腦設定和使用者設定
# 使用者設定於使用者登入時才會由Server取得資料套用，這沒問題
# 但是本機的電腦設定只再電腦開機登入網路時會由Server套用，
# 當登入時變成套用本機端的設定(就是套用順序和使用者設定相反)
# 若要使電腦設定也能成功套用到客戶的電腦上，必須在選項內
# 勾選不可強制覆蓋，這樣客戶端電腦套用電腦設定後，就不會在用自己的套用回去了

# 如果沒有要時常更動本機設定，建議直接設定在用戶端
# 例如限制本機308user拒絕登入本機，只能利用網域的308user登入
# 如果設定是在Server端，那只要網路一斷線，客戶電腦套用了自己的電腦設定
# 308user就能大喇喇的登入主機。

開始設定群組原則了
在308user上右鍵 -> 編輯

主要是處理使用者設定 -> 系統管理範本

===============================================================================================
使用者設定 -> 系統管理範本 -> Windows元件 -> Windows檔案總管

啟用 : 從 [工具] 功能表移除 [資料夾選項] 功能表項目
           移除 [連線網路磁碟機] 及 [中斷網路磁碟機]
           隱藏 Windows 檔案總管的快顯功能表中的 [管理] 項目
           隱藏 [我的電腦] 中這些指定的磁碟機(隱藏c槽)
           移除 [硬體] 索引標籤
           移除 [DFS] 索引標籤
           移除 [安全性] 索引標
           要求網路安裝的認證
           不要求替代的認證
           移除CD燒錄功能
           不要將已刪除的檔案移到資源回收桶中
           從『我的電腦』中移除『共用文件』

#停用不要求替代的認證,安裝時會警告使用者非管理員,但是若繼續安裝仍有可能成功
#使用者會能看到本機系統管理員的帳號(一般來說是Administrator) 但是會要求輸入密碼才能取用管理員權限
#沒辦法有效防寫,也只能用來警告使用者一下而已

=================================================================================================
使用者設定 -> 系統管理範本 -> Windows元件 -> Windows Installer

停用：自動以高權限來安裝

=================================================================================================
使用者設定 -> 系統管理範本 -> Windows元件 -> Windows Update

啟用 : 移除對 Windows Update 所有功能的存取權
=================================================================================================
使用者設定 -> 系統管理範本 -> 開始功能表和工作列

啟用 : 移除[Windows Update]的連結並存取
           從[開始]功能表中移除 [文件]功能表
           從[開始]功能表中移除[網路連線]
           禁止變更工作列和[開始]功能表設定
           不保留最近檔案開啟的紀錄
           結束時清除最近開啟文件的記錄
=================================================================================================
使用者設定 -> 系統管理範本 -> 桌面

啟用 : 從[我的電腦]右鍵功能表上移除快顯功能表
           結束時不儲存設定

=================================================================================================
使用者設定 -> 系統管理範本 -> 控制台

隱藏控制台的選項
1.系統
2.新增移除程式
3.網路連線
4.資料夾選項
5.系統管理工具
6.使用者帳戶

=================================================================================================

使用者設定 -> 系統管理範本 -> 控制台 -> 新增移除程式

啟用 : 移除[新增移除程式]

=================================================================================================

-> 使用者設定 -> 系統管理範本 -> 系統

啟用 : 禁止存取命令提示字元
禁止存取登錄編輯工具
不要執行已指定的Windows應用程式
(加入mmc.exe ; regedit.exe ; GPEDIT.MSC ; MSCONFIG.exe)

停用 : Windows自動更新

=================================================================================================

-> 使用者設定 -> 系統管理範本 -> 系統 -> 指令碼

啟用 : 同步執行登入指令檔

(先不要使用此功能)

=================================================================================================
-> 使用者設定 -> 系統管理範本 -> 系統 -> 登入

當使用者登入時執行這些程式

網路安裝時可以使用,只要使用者登入就能執行放在Server端的程式
但是如何利用他來開啟客戶存於本機各個磁碟機的檔案,尚待研究....

=================================================================================================

-> 使用者設定 -> 系統管理範本 -> 系統 -> Ctrl+Alt+Del選項

啟用 : 移除變更密碼
移除 [鎖定電腦]

=================================================================================================

設定完畢後結束離開

Ncumenet不需要特別去設定

最後選擇308user的群組原則，點選選項，將不可強制覆蓋打勾

Server端設定完成
再回到本機端把本機設定做好

本機設定 PART II:

利用NCUMEnet或是Administratort登入網域
若您使用的是本機管理員登入，請在新增時輸入Server的Administrator帳號密碼

保護系統的乾淨：防止使用者任意安裝檔案
注意繼承時候的結果，以下缺一不可。


(灰色部分請實驗後再決定是否使用)

C:
進到這個資料夾，右鍵選擇內容->安全性
進到進階的部分
請在帳號的部分按新增，新增網域的308user
取消從父項繼承套用到子物件的權限項目->之後對話匡請選複製，
編輯網域308user的帳號 只選取

1.周遊資料夾/執行檔案
2.列出資料夾/讀取資料
3.讀取屬性
4.讀取擴充屬性
5.讀取使用權限

確定後離開，在權限項目可以看到該使用者權限為讀取與執行

C :\Documents and Settings
將這資料夾設為完全控制，因為使用者會建立漫遊檔的暫存目錄在這裡

C :\Documents and Settings\All Users\「開始」功能表  
將這資料夾設為讀取與執行

C:\Program Files\Common Files\InstallShield 這裡面有一般安裝程式會用到的檔案
編輯網域308user的帳號 將完全控制選項選擇拒絕

利用NCUMEnet或是Administrator登入"本機"

執行gpedit.msc

檔案 -> 新增/移除嵌入式管理單元 -> 新增 -> 群組原則 -> 新增 -> 完成 -> 確定
=================================================================================================

展開本機電腦原則 -> 電腦設定 -> Windows設定 -> 安全性設定 -> 本機原則 -> 使用者權限指派

修改 拒絕本機登入 -> 新增使用者或群組 -> 位置選擇本機 -> 選擇308user(本機端) ->確定

=================================================================================================

本機電腦原則 -> 電腦設定 -> Windows設定 -> 安全性設定 -> 本機原則 -> 安全性選項

修改 互動式登入:先前網域控制站無法使用時的登入快取次數
改成0 (不要快取登入)

以下兩項有需要再設定
#修改 互動式登入:給登入使用者的訊息本文
#修改 互動式登入:給登入使用者的訊息標題

=================================================================================================

本機電腦原則 -> 電腦設定 -> 系統管理範本 ->Internet Explore

啟用 停用自動按裝 Internet Explore 元件

=================================================================================================

本機電腦原則 -> 電腦設定 -> 系統管理範本 -> 系統 -> 登入

啟用 自動使用傳統式登入
在電腦啟動及登入時要等待網路啟動

=================================================================================================

本機電腦原則 -> 電腦設定 -> 系統管理範本 -> 系統 -> 使用者設定檔

啟用 漫遊檔連線失敗的話,就將使用者登出
等待遠端使用者設定檔
刪除漫遊設定檔快取樣本

(灰色部分請先不要設定)
=================================================================================================

套用後儲存
本機設定完畢,重開機,GHOST吧

FAQ

Q : 您的電腦無法加入網域。因為您已經超過這個網域所允許建立的電腦帳戶上限。請連絡您的系統管理員，
重設或提高這個限制。
注意：當您將 10 部工作站加入至網域時，才會出現此錯誤訊息。

發生的原因
根據預設值，Windows 2000 與 Windows XP 會將「加入工作站至網域中」的特權授予 Authenticated Users 群組。
啟用此特權時，已驗證的使用者可以略過存取控制清單 (ACL) 的檢查，次數可多至預先定義的最大值。為了避免發生
濫用的情形，根據預設值，任何已驗證的使用者可以加入的電腦帳戶的最大數目是 10 個。

解決方案

加入網域時使用Server端的Administrator帳號和密碼

Q:網路印表機的安裝

A:首先必須先打開Server印表機的共用
這時候就能看到伺服器又多了一個列印伺服器
設定好印表機
使用多工緩衝列印

這個設定是含在漫遊檔裡面的,也就是只要產生一個漫遊檔,那套用這個漫遊檔的使用者,都能使用這台印表機
自然,若是要設定給308user使用,那就是要使用308user來安裝網路印表機,並產生漫遊檔

於控制台 -> 印表機和傳真 -> 新增印表機 -> 網路印表機或連接到另一台電腦的印表機
-> 如果知道路徑名稱 直接選第2項並填入名稱
-> 若否則選1 -> 在目錄中尋找印表機 -> 選擇出現在下方正確的印表機 -> 完成安裝 -> 試印