1、Windows Server 2012 R2 创建 AD 域前言我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台 Windows 服务器,然后将其升级为域控制器。然后创建第二台域控制器,一台成员服务器与一台加入域的 Win8 计算机。环境网络 192.168.100.1 子网掩码 255.255.255.0 网关 192.168.100.2域名 DC1 192.168.100.11/24DC2 192.168.100.12/24Server 192.168.100.13/24PC1 192.168.100.14/24创建域的必备条件DNS 域名:先要想好一个符合 dns 格式的域名
2、,如 DNS 服务器:域中需要将自己注册到 DNS 服务器内,瓤其他计算机通过 DNS 服务器来找到这台机器,因此需要一台可支持 AD 的 DNS 服务器,并且支持动态更新(如果现在没有 DNS 服务器,则可以在创建域的过程中,选择这台域控上安装 DNS 服务器)注:AD 需要一个 SYSVOL 文件夹来存储域共享文件(例如域组策略有关的文件) ,该文件夹必须位于 NTFS 磁盘,系统默认创建在系统盘,为了性能建议按照到其他分区。创建网络中的第一台域控制器修改机器名和 ip先修改 ip 地址,并且将 dns 指向自己,并且修改计算机名为 DC1,升级成域控后,机器名称会自动变成安装域功能选择服
3、务器选择域服务提升为域控制器添加新林此林根域名不要与对外服务器的 DNS 名称相同,如对外服务的 DNS URL 为 http:/,则内部的林根域名就不能是 ,否则未来可能会有兼容问题。选择林功能级别,域功能级别。 、此处我们选择的为 win 2012 ,此时域功能级别只能是 win 2012,如果选择其他林功能级别,还可以选择其他域功能级别默认会直接在此服务器上安装 DNS 服务器第一台域控制器必须是全局编录服务器的角色第一台域控制器不可以是只读域控制器(RODC)这个角色是 win 2008 时新出来的功能设置目录还原密码。目录还原模式是一个安全模式,可以开机进入安全模式时修复 AD 数据
4、库,但是必须使用此密码出现此警告无需理会系统会自动创建一个 netbios 名称,可以更改。不支持 DNS 域名的旧系统,如 win98 winnt 需要通过 netbios 名来进行通信数据库文件夹:用了存储 AD 数据库日志文件文件夹:用了存储 AD 的更改记录,此记录可以用来修复 AD 数据库SYSVOL 文件夹:用了存储域共享文件(例如组策略)如果计算机内有多个硬盘,建议将数据库与日志文件夹分别设置到不同的硬盘内,分两个硬盘可以提供运行效率,而且分开存储可以避免两份数据同时出现问题,以提高修复 AD 的能力。 (不过我认为现在都是 RAID 模式了没必要分开,和操作系统分区分开就可以了
5、)顺利通过检查,直接安装安装完成重启检查 DNS 服务器内的记录是否完备域控会将自己扮演的角色注册到 DNS 服务器内,以便让其他计算机能够通过 DNS 服务器来找到域控。因此先检查DNS 服务器内是否已经存在这些记录。需要用域管理员账户来登陆 contosoadministrator.检查主机记录选择管理工具-dns默认会有一个 的区域,主机记录表示域控 已经正确的将其主机名与 IP 地址注册到DNS 服务器内。如果域控制器已经正确的将家里注册到 dns 服务器,应该还会有_tcp _udp 等文件夹。单击_tcp 文件夹后可以看到数据类型为服务位置(SRV)的_ldap 记录,表示
6、已经正确的注册为域控制器。还能看到_gc 记录全局编录也是由 所扮演。排除注册失败的问题如果域成员本身的设置或者网络问题,会造成无法将数据注册到 DNS 服务器。如果有成员计算机的主机与 ip 美元正确注册到 DNS 服务器,可以到此机器上运行 ipconfig /registerdns 来手动注册。完成后,到 DNS 服务器检查是否已有正确记录,例如 ,ip 地址 192.168.100.13 则坚持区域 是否有对应的 a 记录和 ip。如果发现域控制器没有将其扮演的角色注册到 dns 服务器,也就是没有_tcp 文件夹与记录,到服务器中重启netlogon 服务创建更多的域控制器如果一个
7、域内有多个域控制器,可以有如下好处.提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。排错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继续提供域服务器。我们将 升级为域控制器首先改名,改 ip后面都和前面一样安装功能这里不同,将域控添加到现有域,输入域名 ,并且输入现有权限添加域控的账户contosoadministrator 的密码。只有 Enterprise Admins 和 Domain Admins 内的用户有权限创建其他域控制器。选择从其他域控复制安装完成后机器会重启,然后在检查 DNS 记录
8、。修改 dns 指向修改 dc1 和 dc2 的 dns 互相将各自的首选 dns 指向对方域控将 windows 计算机加入或脱离域Windows 加入域后,就可以访问 ad 数据库和其他域资源。可以被加域的计算机:Windows server 2012(R2)Windows server 2008(R2)Windows server 2003(R2)Windows 8Windows 7Windows vistaWindows xp将 windows 计算机加入域我们要将 机器加入域。先将机器改名改 ip。输入域名和域账户密码如果报错,请检查 dns 是否指向域控。完成后我们可以使用域账户
9、登录此台服务器计算机名后已自动加上域名脱离域只要输入工作组并点击确定成员计算机内的 ad 管理工具我们有时管理员管理不过来是可以将开账户的权限委派改其他各个部门的行政,委派给他们后,他们当然是不能登陆域控的,这时就要在他们的计算机上安装 ad 管理工具Windows server 2012添加功能中,添加远程服务器管理工具Windows8 和 Windows7都去官网下载 Remote Server Administration Tools for Windows8/7创建组织单位与域用户账户可以将用户账户创建到任何一个容器或组织单位(OU)内。先创建业务部的 OU.然后再创建用户。创建组织单
10、位点击 Active Directory 管理中心输入名称创建用户业务部-新建用户用户 UPN 登录:用户可以利用这个域电子邮箱格式相同的名称( )来登录域,此名称被称为User Principal Name(UPN ) 。此名在林中是唯一的。用户名 SamAccountName 登录:用户也可以利用此名称(contosowang)来登录。其中 wang 是 NetBios 名。同一个域中此名称必须是唯一的。Windows NT Windows 98 等旧版系统不支持 UPN,因此在这些计算机上登录时,只能使用此登录名。使用新账户登录域我们使用 2 种方法来登录域利用新用户账户登录域控除了域
11、Administrators 等少数组内的成员外,其他一般域账户默认无法登陆到域控上,除非另外开放。赋予用户在域控登录权限一般用户必须在域控上拥有允许本地登录的权限,才能在域控上登录。此权限可以用过组策略来开放。系统管理工具-组策略管理计算机配置-策略-windows 设置-安全设置-本地策略- 用户权限分配-允许本地登录,然后将用户或组加入到列表内组策略配置完成需要应用到域控才有效,应用方法有三种:将域控制器重启等域控制器自动应用此策略,可能需要等待 5 分钟或更久手动应用:到域控制器上运行 gpupdate 或 gpupdateforce多台域控制器的情况如果域内有多台域控制器,则设置的安
12、全设置值,先被存储到 PDC 操作主机角色的域控制器内,默认由第一台域控制器扮演。Active Directory 用户和计算机-选择 右键操作主机需要等待设置值从 PDC 操作主机复制到其他域控制器后,他们才会应用这些设置值。什么时候应用分两种情况:自动复制:PDC 操作主机默认 15 秒后悔自动将其复制出去,因此其他域控制器可能需要等 15 秒或更久才能接受到此设置值。手动复制:到任何一台域控制器上选择 Active Directory 站点和服务-Sites-Default-First-Name Servers 单击要接收设置的域控制器-NTDS Settings-立即复制。如下图 D
13、C1 是操作主机, DC2 是需要接收的域控如果是组策略设置,则他先辈存储在 PDC 操作主机内,但如果 Active Directory 用户账户或其他对象有改动,则这些改动会先被存储在所连接的域控制器,同时系统默认会在 15 秒后自动将此改动数据复制到其他域控制器。如果要查询目前连接的域控制器,可以如下图在 Active Directory 管理中心控制台中将鼠标指针对着图中的contoso,他就会显示所连接的域控制器。如果要更改连接其他控制器,单击更改域控制器。域用户个人数据的设置每个域用户账户内部都有一些相关的属性数据,例如地址 电话等,域用户可以通过这些属性来查找 Active Di
14、rectory 内的用户,因此这些数据越完整越好。限制登录时间与登录计算机我们可以限制用户的登录时间已经能用使用某些计算机来登录域。如下图只能允许用户在正常上班时间内登录电脑默认用户可以登录所有非域控制器的成员计算机,不过可以限制他们只能利用某些特定计算机来登录域。如下图限制只能登录 server 计算机。Active Directory 轻型目录服务为了让支持目录访问的应用程序,可以在没有域的环境内享有目录服务的好处,Windows Server 2012 内提供了Active Directory 轻型目录服务 AD LDS,它可以让你在计算机内创建多个目录服务器的环境,每个环节被称为一个
15、AD LDS 实例,每个实例拥有独立的目录设置,架构,数据库。Active Directory 回收站在旧版的操作系统中,如果系统管理员误将 ad 对象删除,就需要进入目录服务还原模式。还原麻烦,并且在还原好重启时,域无法提供服务。虽然 windows server 2008 R2 新增了 ad 回收站,让系统管理员不需要进入目录服务还原模式,就可以救回被删除的对象,但是却不是很好用,例如需要通过复杂的命令与步骤。Windows server 2012 的 ad 回收站又有了进一步的改良,他提供容易使用的图像界面管理工具。要启用 ad 回收站,林与域功能级别必须是 Windows Server 2008 R2(含)以上的级别。注意,一旦启用回收站,就无法在禁用,因此域与林功能基本也无法在被降级。启用 Active Directory 回收站打开 Active Directory 管理中心,单击左侧的域名 contoso,单击右侧的启用回收站报错了因为域内有多个域控制器,需要等设置值被复制到所有的域控制器后,ad 回收站功能才会完全正常。 (我做实验,节约性能还有一台辅助域控没有打开)开启辅助域控并复制设置值后再次开启回收站。删除组织单位试着将业务部删除,但是先将防止删除的选项删除
