在域中设置组策略应用给每个用户！

禁止客户修改IP是一个用绝迟凯户策略。

组策略有以下几种：

1 Default Domain Policy（系统内置的组策略）

应用到整个域内所有用户与计算机。如果旦睁你设置这个组策略，所有用户登陆到所有计算机都无法修改IP。你现在修改的就是这个策略。

2 Default Domain Controller Policy（系统内置的组策略）

应用到域控制器组织单元内所有用户与计算机。如果你设置这个组策略，所有用户登陆到域控制器都无法修改IP。

3 自定义并唤组策略

新建ou组织单位，对于用户策略，只需要把用户拖到ou下面，然后在ou上定义策略即可，不需要设置安全属性。在客户机和域控gpupdate /force 即生效

首先应该规划好你的域计算机帐户及用户帐户，一般企业会按实际的组织来组织域上的OU（组织单元），方便以后为不同的OU定义不同的组策略。同样在计算机加入域前，建议在域控制器上打开"Active Directory 用户和计算机"，在适当的组织单元里建立相应的计算机帐户，如未建立就将客户机加入，在默认将计算机加入到"computer"下，而"computer"上不能创建组策略，另外新建计算机帐户时，还可以指定特定的用户有权限将此计算机加入域，否则就只能是域管理员才能将此计算机加吵悉入域。

假定你已配置好域控，DHCP（或为客户机配置好IP和DNS），DNS配置非常重要。在客户端电脑上用管理员权限打开系统属性--计算机名--更改，选择域，然后输入域名，如果一切正常会提示你输入用户名和密码，输入域管理员或你在创建此计算机帐户是指定的有权限将此计算机加入域的用户名和密码，然后重启即可。

也可以使用命令提示符完成加入域的 *** 作，首先在域控上安装windows support工具（在windows安装光盘上有个support目录）。然后在命令提示符下执行：

NETDOM JOIN 客户机计算机名 /Domain:域名

[/UserD:域管理员用户名] [/PasswordD:[域管理员密码 | *]] [UserO:执行此 *** 作的用户名（一般为客户指码机管理升逗乎员）] [/PasswordO:[客户机管理员密码 | *]]

[/REBoot[:重启时间（以秒记）]]

你还没明白OU是什么东西，OU是组织单元，是用来组织用户和配置权限的，不是用来管理别的服务器的。

如果大雀知想将其它服岁塌务器加入到域，需要将服务器添加成辅助域服务器或子域服务器，对于你的情况，应该将服务器添加为子域服务器，如果主域服务器名为abc-HQ.com，那么在广州分公司的子域服务器应该名为GZ.abc-HQ.com，如果在滚消上海分公司的子域服务器应该名为SH.abc-HQ.com。

建议先建DNS服务器，再将服务器加入到域，DHCP什么时候建都行，只是最后要通过域验证才能分配IP地址。

先建DNS服务，在里面一定要指定abc-HQ.com的IP地址为192.168.1.10,或设好解析服务器为192.168.1.10。然后就可以将服务器加入到域了。从DCpromo开始，选择加入到现有域，加入为子域，然后按提示一步步来，其间会要求你输入主域服务器的管理员帐号密码。

因为手头没有2003服务器，没法给你详细说，如果没有把握，那就先找两台电脑来试一下，有经验了就好办了。

---