50台计算机，有没有必要做域控？如果用域管理，服务器硬件需要怎样的配置？

域只是一种管理模式，需不需要用域控跟你有多少台机器毫无关系，主要是看你用不用的到域的功能，如果觉得有必要用，哪怕是只有2两台机器都可以装域控，如果没有使用的必要，那你再多机器也最好别装。

活动目录之用户配置文件分类:电脑技术
关于域用户的开设在前面的文章中(如何把一台成员服务器提升为域控制器(一)、(二))已经涉及过了，所以在这里开设用户的方法就不再重复了，本篇文章主要向大家介绍一下用户配置文件。
首先，什么是用户配置文件根据微软的官方解释:用户配置文件就是在用户登陆时定义系统加载所需环境的设置和文件和集合，它包括所有用户专用的配置设置。用户配置文件存在于系统的什么位置呢那么用户配置文件包括哪些内容呢来给大家看一副截图:
用户配置文件的保存位置在:系统盘(一般是C盘)下的“Documents and Settings”文件夹下，有一个和你的登陆用户名相同的文件夹，该用户配置文件就保存在这里，顺便提示一下，如果本机和域上有一个同名用户，并且都登陆过的话，那么就会出现在同名文件夹后面拖后缀的情况，举个例子:比如在一个域(democom)里面有一台计算机(testxp)，本地有一个swg的帐号，域上也有一个swg的帐号，并且都登陆过这台计算机，那么会发生如下情况:
本地帐号先登陆:那么本地的swg的用户配置文件夹为swg，而域用户的用户配置文件夹为swgdemo。
域帐号先登陆:那么域用户的用户配置文件夹为swg，本地用户的配置文件夹为swgtestxp。
通过上面的截图，我们可看出，用户配置文件包括桌面设置、我的文档、收藏夹、IE设置等一些个性化的配置。另外需要说明的是在“Documents and Settings”文件夹下有一个名为“All Users”的文件夹，如果你在这个文件夹下的“桌面”文件夹下新建一个文件的话，你会发现所有用户在登陆时的桌面上都有这个文件，所以这个文件夹里的配置是对这台计算机的每个用户均起作用的。
当网络变成域构架后，所有的域用户可以在任意一台域内的计算机登陆，当你在一台计算机上的用户配置文件修改后，你会发现到另一台计算机上登陆时，所有的设置还是原来的，并没有发生修改，这是因为用户的配置文件是保存在本地的，不管是域用户还是本地用户，都是保存在那台登陆的计算机上。我们可以在“我的电脑”上击“右键”，选“属性”，点“高级”，然后在“用户配置文件”里点“设置”:
请注意“类型”里用红框标出的部分，全部是“本地”，这就说明用户配置文件保存在本地，那么如何才能让用户的配置文件随着帐号走，也就是不管用户在哪台计算机上登陆都能保持用户配置文件一致呢为了解决这个问题，就要用到漫游用户配置文件，原理就是把用户配置文件保存在一个网络的公共位置，当用户在计算机上登陆里，会从网络公共位置把用户配置文件下载到本地并加以应用，然后当用户注销时，会把本地的用户配置文件同步到网络公共位置，以保证公共位置用户配置文件的有效性，以便下一次使用。那么如何来实现这个功能呢现在就来实践一下:
首先，要在一个网络的公共位置开设一个共享文件夹，用来存放用户配置文件，在个实验里，就在域控制器上开设一个为share的共享文件夹，并开放权限:
然后，点击“开始-设置-控制面板-管理工具”，双击“AD用户和计算机”，并选中相应的用户，这里以“swg”帐号为例:
在“swg”帐号上双击，然后选“配置文件”，在“用户配置文件-配置文件路径”里输入:\\19216851\share\%username%，“19216851”是域控制器的IP地址，如下图所示:
然后点确定，接下去就到客户端去，用“swg”帐号登陆一下，看看会发生什么变化。
如上图所示，DEMO\swg的状态由刚刚的“本地”变成了“漫游”，此时注销一下用户，那么就会自动的将该用户的本地用户配置文件同步到网络公共位置，如果再用“swg”到另外的域内计算机上去登陆的话，会发现所有的用户配置文件和这台计算机上是一样的。那么服务器上发生了些什么变化呢
如上图所示，服务器的“share”文件夹里会自动创建一个和用户名一样的“swg”文件夹，默认情况下这个文件夹只允许对应的用户打开:
画面很熟悉吧
目前很多公司的IT Pro都有共同的感叹，就是用户喜欢把自己的桌面什么的搞得乱七八糟，虽然通过组策略可以限制掉一部份，但总觉得不是很完善，在这里，向大家推荐使用强制用户配置文件，用户可以对自己个人配置文件任意修改，但是一旦注销后，这些修改将不会被保存，这样用户下次登陆里，用户的配置文件还是保持和原来一样，那么如何实现这个功能呢其实只要将用户配置文件夹下的“Ntuserdat”改成“Ntuserman”就可以了，来看一下修改过程:
首先，在显示隐藏文件和已知文件的扩展名，可以在“工具-文件夹选项-查看”里进行修改：
~
点“确定”后，就可以在看到那个“Ntuserdat”文件了，但此时会有一个问题，如果去修改C:\Documents and Settings\swg下的“Ntuserdat”，会发现根本没有办法修改这个文件，因为文件在使用中，无法修改;如果去修改网络公共位置的“Ntuserdat”，也就是\\19216851\share\swg下的“Ntuserdat”，修改当然可以修改，但是由于在“swg”用户注销的时候，本地的“Ntuserdat”会把网络公共位置的“Ntuserman”覆盖掉，也就是等于没有修改。很多人都想直接在服务器上更改 “swg”文件夹的所有者，然后给管理员帐号添加权限，这样就可以直接在服务器上把“Ntuserdat”改掉，但本人实践过几次，都发现这样的 *** 作会引起一些权限无法继承，而导致出错的情况，所以不建议大家使用，这里推荐一种方法:
先把“swg”帐号注销掉，然后用另外一个帐号登陆，比如管理员，当然，如果在登陆成功后直接去访问\\19216851\share\swg以试图修改的话，那么你将会感到失望，因为还是拒绝访问的，那么如何访问并修改呢，可以这样 *** 作，“开始-运行-cmd”然后回车，这样就启动了命令行，在命令行下输入:net use \\19216851 password /user:swg，显示“命令成功完成”，这样就利用“swg”和服务器建立一个连接，此时就可以\\19216851\share\swg，里进行修改了，
然后再注销管理员帐号，用“swg”登陆，看看有没有成功:
看到了吧，类型由“漫游”变成了“强制”，现在可以在桌面这些地方进行任意的修改，你会发现注销再登陆，又恢复到了原样。这种设置在多人使用同一个帐号的情况下非常有用。
最后再请大家注意两个问题:
1、 在配置强制用户配置文件时，当用其它用户登陆修改时，请保证被修改的用户处于注销状态，为什么大家不妨自己想一想!
2、 当使用漫游用户配置文件时，请不要在桌面等地方存放一些大型的程序或文件，因为用户在登陆和注销过程中会下载和上传配置文件，如果文件过大，会影响登陆和注销的速度。

有两种方法可以访问组策略：一是通过gpeditmsc命令直接进入组策略窗口；二是打开控制台，将组策略添加进去。
1 输入gpeditmsc命令
选择“开始”→“运行”，在d出窗口中输入“gpeditmsc”，回车后进入组策略窗口（图1）。组策略窗口的结构和资源管理器相似，左边是树型目录结构，由“计算机配置”、“用户配置”两大节点组成。这两个节点下分别都有“软件设置”、“windows设置”和“管理模板”三个节点，节点下面还有更多的节点和设置。此时点击右边窗口中的节点或设置，便会出现关于此节点或设置的适用平台和作用描述。“计算机配置”、“用户配置”两大节点下的子节点和设置有很多是相同的，那么我们该改哪一处？“计算机配置”节点中的设置应用到整个计算机策略，在此处修改后的设置将应用到计算机中的所有用户。“用户配置”节点中的设置一般只应用到当前用户，如果你用别的用户名登录计算机，设置就不会管用了。但一般情况下建议在“用户配置”节点下修改，本文也将主要讲解“用户配置”节点的各项设置的修改，附带讲解“计算机配置”节点下的一些设置。其中“管理模板”设置最多、应用最广，因此也是本文的重中之重。
通过控制台访问组策略
单击“开始”→“运行”，输入“mmc”，回车后进入控制台窗口。单击控制台窗口的“文件”→“添加/删除管理单元”，在d出窗口单击“添加”（图2），之后选择“组策略”并单击“添加”（图3），在下一步的“选择组策略对象”对话框中选择对象。由于我们组策略对象就是“本地计算机”，因此不用更改，如果是网络上的另一台计算机，那么单击“浏览”选择此计算机即可。另外，如果你希望保存组策略控制台，并希望能够选择通过命令行在控制台中打开组策略对象，请选中“当从命令行开始时，允许更改‘组策略管理单元’的焦点”复选框（图4）。最后添加进来的组策略如图5所示。

楼主所指的应该是域控添加用户吧，在
程序
里面的
管理工具
有AD用户与
计算机
，可以
在里面
创建，分配
权限
有两种，一种是
管理域
用户本地的权限，一种是文件
访问权限
，管理域
用户权限
又可以分为域策略（2003分域安全和
域控制器
两种，2008安装
组件
里有
组策略管理器
，比较简便）和OU策略两种，域策略在单击AD用户与计算机的
所在
域属性里面的组策略可以设置，例如设置加入域的用户桌面墙纸和
开始菜单
所能显示的项目，还有限制更改系统相关设置，在域策略中设置了的话所有
域用户
都生效，OU策略是在AD用户与计算机下新建
组织单位
下右击属性-组策略所设置的策略，作用
同域
策略，但
范围
只限OU下面的
对象
，如果OU下有子OU，而策略有冲突，则优先应用子OU的策略，不冲突就策略叠加，其他如2003的域
安全策略
和域
控制安全器策略的
作用范围
是整个域和域控，但所能设置的项目只有安全选项，适合新手，建议可以先试试这两种策略的效果。而文件权限则分共享权限和NTFS权限两种，在
文件夹
右击共享和共享的共享和安全里面设置，可以单独赋予域用户的权限，或将用户加入本
地域
组再统一赋予相应权限，如果共享权限和NTFS权限设置冲突则以拒绝优先，例如在共享上设置了A用户完全控制，而安全里面设置了拒绝写入，则最后的权限就是只读，而拒绝写入，安全里面还有高级选项，可以设置权限继续和不继承还有更细的权限设置，如果新手建议练熟基本的权限再弄高级里面的内容，因为里面有
所有者
设置，万一不小误 *** 作了会导致用户无法访问，希望我的回答对你有帮助。

---