公司电脑进行域控管理，普通域用户是无法安装软件的，所以需要IT的管理人员进行软件安装。

需要IT管理人员具有安装软件的权限。我们希望建立一个IT组，只要是这个组内的域用户都具有软件安装权限（仅限安装软件，不是域管理员权限），将来IT的人员增加，只需往这个组内添加用户即可，请问如何操作？！

虽然power user组有一定的安装软件的权限，但是有些需要修改服务,驱动,系统文件的软件，就过不去了，另外，非administrator组的用户在安装软件的时候总是会有一些问题的，安装的时候可能不会有事，用着用着就出问题也是有的，所以最好是把这些用户加入到本地的administrator组中，你说的那种想法是好的，但是实现起来真的很难，好象我还没有看到有真正成功的。有很多国内软件，当然，国外的也有，在编写程序的时候根本就不考虑权限问题，导致程序安装运行的时候往往都需要管理员权限，这个很讨厌的。

要建立域进行管理，首先需安装域控制器（dc），dc上存储着域中的信息资源，如名称、位置和特性描述等信息。通过在一台服务器上安装活动目录（ad），就会将这台计算机安装成dc。 1安装者必须具有本地管理员的权限。 2操作系统版本必须满足条件（windows server2003除web以外的所有都满足）。 3本地磁盘必须有一个ntfs文件系统 4有tcp/ip设置 5有相应的dns服务器支持 6有足够的可用空间 1.打开ad开始--运行输入dcpromo 2.是否创建新域。dc有两种新域的域控和现有域的额外域控制器。一般选择新域的域控。 3.新域的dns全名。 4.新域的netbios名。下一步 5.数据库和日志文件夹。为了优化性能，可以将数据库和日志放在不同的硬盘上。该文件夹不一定在ntfs分区。如果本计算机是域的第一台域控，则sam数据库就会升级到c:\windows\ntds\ntds.dit，本地用户账户变成域用户账户。 6.共享的系统卷。共享系统卷sysvol文件夹存放的位置必须是ntfs文件系统。 7.dns注册诊断。ad需要dns服务支持。选第二项，下一步。 8.域兼容性。如果网络中不存在windows server 2003 以前版本的域控制器，就选第二项。如果存在选第一项。 9.还原模式密码。目录服务还原模式的管理员密码，是在目录服务还原模式下登录系统时使用。由于目录服务还原模式下，所有的域账户用户都不能使用，只有使用这个还原模式管理员账户登录。 10.安装完成后需重启计算机。 前面讲解了怎样创建windows域，接下来完善一下，讲解怎样将计算机加入域。 在安装完ad后，需要将其它的服务器和客户计算机加入到域中。一般情况下，在从客户计算机加入域时，会在域中自动创建计算机账号。不过，用户必须在本地客户计算机上拥有管理权限才能将其加入到域中。在加入域之前，首先检查客户机的网络配置：1.确保网络上物理连通 2.设置ip地址 3.检查客户机到服务器是否连通 4.配置客户机的首选dns服务器（通常为第一台dc的ip） 在客户端计算机系统属性中的“计算机名”选项卡里，单击更改按钮可以打开计算机加入域的对话框，选中域后，输入正确的域名，然后再根据提示输入具有加入域权限的用户名和密码即可。 这样就ok了！将客户机加入域，就可以在客户机上，使用域账户加入到域，也可以使用客户机的本地用户账户登录到域。 前面一直提到dns，下面讲解dns在域中的作用。 dns在域中有两个作用：域名的命名采用dns的标准、定位dc。 1、域名的命名采用dns标准。遵循dns分布式、等级结构的标准。这体现了办公网络与internet集成的理念。 2、客户机如何定位dc。当域用户账户登陆时或者查找活动目录时，首先要定位dc，这需要dns服务器支持，主要步骤： 1）客户机发送dns查询请求给dns服务器。 2）dns服务器查询匹配的srv资源记录。 3）dns服务器返回相关dc的ip地址列表给客户机。 4）客户机联系到dc 5）dc响应客户机的请求 dns在活动目录中为什么能起到定位dc的作用哪？ 主要靠域的dns区域中的spv资源记录。开始--程序--管理工具--dns，打开dns管理器，就是srv资源记录。