本节书摘来自异步社区《Windows Server 2012活动目录管理实践》一书中的第1章，第1.1节,作者： 王淑江 更多章节内容可以访问云栖社区“异步社区”公众号查看。

第 1 章　域概述

Windows Server 2012 AD DS域服务的核心价值是提供一套完整的用户身份验证系统，是一个基础身份验证平台，基于Windows的应用可以很容易实现用户单点登录。本章将通过一个真实的案例介绍域应用和一些需要了解的基本概念。

1.1　真实的案例

1.1.1 案例需求
这是一个真实的案例。案例是这样的：

某企业网络环境中部署300余台电脑（客户端计算机使用Windows XP操作系统），并使用多台服务器，所有计算机（服务器和客户端计算机）都处于工作组环境。企业中部署门户站点和邮件服务后，企业发展动态、会议通知、人力资源调整等管理信息全部通过门户站点和邮件通知，领导层要求员工打开计算机后，做到以下两点。

-自动打开用户的邮件系统（Microsoft Outlook系列）。

-自动打开浏览器（Internet Explorer）并登录到企业的门户站点，以便查看信息。

1.1.2 IT技术部门
IT部门接到任务后，IT部门领导根据计算机分布情况给ITPro（5人）部署任务，要求在5个工作日完成上述任务。

1．处理方法
采取的工作方式：手动方式单台计算机处理。

使用以下方法完成任务要求。

将Microsoft Outlook系列应用程序拖曳到“所有程序”→“启动”菜单下。

将Internet Explorer浏览器的“主页”通过“Internet”选项，设置为企业门户站点。

2．遇到的问题
从工作过程角度审视，ITPro的做法是正确的，确实可以达到领导层的要求。但是在实施过程中遇到以下问题。

-部分员工出差在外，不能完成相关设置工作。

-部分员工具备计算机知识，ITPro设置完成后，立即更改上述设置，需要反复更改，多次强调才能完成任务设置。

3．时间周期
预计完成设置任务需要5个工作日，实际执行时间超过1个月还没有全部完成上述要求的设置。

1.1.3 达到的效果
根据领导层的要求，发布会议通知后相关人员在指定时间指定地点参加会议，但是数次会议之后，缺席人员总是说没有收到会议通知，从企业站点以及邮件中都没有看到，以IT部门技术服务不到位作为托词。

因此领导层决定：强制所有计算机用户打开电脑后完成上述管理任务。

1.1.4 IT技术部门新措施
1．新举措
IT技术部门经过咨询、论证、验证以及测试后，在网络中部署Active Directory服务，结合其他服务完成管理任务。

-网络中的用户统一身份登录。

-Microsoft ISA Server 作为上网行为管理，非域内的用户不能访问Internet。

-部署组策略完成领导提出的管理任务：自动打开Internet Explorer浏览器并访问指定的主页，自动运行Microsoft Outlook应用程序。

-根据部门提供严格的共享文件夹访问机制。

-非管理员不能私自安装软件。

2．实现的效果
部署Active Directory服务后，不仅完成领导交代管理任务，而且以前大量需要手动完成的任务通过策略部署自动完成，甚至操作系统安装都通过“Windows部署服务”实现自主安装，降低ITPro的工作强度和管理难度。域内根据需要部署策略，针对不同的部门完成不同的管理任务。

部署Active Directory服务后，首先实现了领导要求，发布会议通知后相关人员在指定时间指定地点参加会议，不参加会议的借口已经不能成立。然后，通过“策略管理”管理域内的计算机，让管理更上一层楼，将ITPro从繁重的维护工作脱离出来，将大部分精力用于业务流程方面的管理。