Windows Server 2012 AD域管理創建

本文轉載自查看原文 2017-07-21 20:34 10557

前言

關於AD域管理及其權限划分概論：

1. AD域源於微軟，適用於windows，為企業集中化管理和信息安全提供強力保障。

2. 提供域中文件夾共享，但同時又對不同用戶有不用的權限。

3.通過對設備限制USB接口，網絡訪問特定網站來實現對企業內部信息的保護和防止流失。

4.個人文件夾可以重定向到服務器文件夾上，實現真正的在同一個域中使用者數據不受固定PC限制既數據跟隨用走。

5.用戶的權限不需要定制，只需要加入若干個帶有不同權限屬性的固定組就可以獲得相應的權限功能。

我們按照下圖來創建第一個林中的第一個域。創建方法為先安裝一台Windows服務器，然后將其升級為域控制器。然后創建第二台域控制器，一台成員服務器與一台加入域的Win8計算機。

環境

網絡192.168.100.1 子網掩碼 255.255.255.0 網關192.168.100.2

域名 contoso.com

DC1 192.168.100.11/24

DC2 192.168.100.12/24

Server 192.168.100.13/24

PC1 192.168.100.14/24

創建域的必備條件

DNS域名：先要想好一個符合dns格式的域名，如 contoso.com
DNS服務器：域中需要將自己注冊到DNS服務器內，瓤其他計算機通過DNS服務器來找到這台機器，因此需要一台可支持AD的DNS服務器，並且支持動態更新（如果現在沒有DNS服務器，則可以在創建域的過程中，選擇這台域控上安裝DNS服務器）

注：AD需要一個SYSVOL文件夾來存儲域共享文件（例如域組策略有關的文件），該文件夾必須位於NTFS磁盤，系統默認創建在系統盤，為了性能建議按照到其他分區。

創建網絡中的第一台域控制器

修改機器名和ip

先修改ip地址，並且將dns指向自己，並且修改計算機名為DC1，升級成域控后，機器名稱會自動變成dc1.contoso.com

安裝域功能

選擇服務器

選擇域服務

提升為域控制器

添加新林

此林根域名不要與對外服務器的DNS名稱相同，如對外服務的DNS URL為http://www.contoso.com，則內部的林根域名就不能是contoso.com，否則未來可能會有兼容問題。

選擇林功能級別，域功能級別。、

此處我們選擇的為win 2012 ，此時域功能級別只能是win 2012，如果選擇其他林功能級別，還可以選擇其他域功能級別
默認會直接在此服務器上安裝DNS服務器
第一台域控制器必須是全局編錄服務器的角色
第一台域控制器不可以是只讀域控制器（RODC）這個角色是win 2008時新出來的功能
設置目錄還原密碼。

目錄還原模式是一個安全模式，可以開機進入安全模式時修復AD數據庫，但是必須使用此密碼

出現此警告無需理會

系統會自動創建一個netbios名稱，可以更改。

不支持DNS域名的舊系統，如win98 winnt需要通過netbios名來進行通信
數據庫文件夾：用了存儲AD數據庫
日志文件文件夾：用了存儲AD的更改記錄，此記錄可以用來修復AD數據庫
SYSVOL文件夾：用了存儲域共享文件（例如組策略）

如果計算機內有多個硬盤，建議將數據庫與日志文件夾分別設置到不同的硬盤內，分兩個硬盤可以提供運行效率，而且分開存儲可以避免兩份數據同時出現問題，以提高修復AD的能力。（不過我認為現在都是RAID模式了沒必要分開，和操作系統分區分開就可以了）

順利通過檢查，直接安裝

安裝完成重啟

檢查DNS服務器內的記錄是否完備

域控會將自己扮演的角色注冊到DNS服務器內，以便讓其他計算機能夠通過DNS服務器來找到域控。因此先檢查DNS服務器內是否已經存在這些記錄。需要用域管理員賬戶來登陸contoso\administrator.

檢查主機記錄

選擇管理工具-dns

默認會有一個contoso.com的區域，主機記錄表示域控dc.contoso.com已經正確的將其主機名與IP地址注冊到DNS服務器內。

如果域控制器已經正確的將家里注冊到dns服務器，應該還會有_tcp _udp等文件夾。單擊_tcp文件夾后可以看到數據類型為服務位置(SRV)的_ldap記錄，表示dc1.contoso.com已經正確的注冊為域控制器。還能看到_gc記錄全局編錄也是由dc1.contoso.com所扮演。

排除注冊失敗的問題

如果域成員本身的設置或者網絡問題，會造成無法將數據注冊到DNS服務器。

如果有成員計算機的主機與ip美元正確注冊到DNS服務器，可以到此機器上運行ipconfig /registerdns來手動注冊。完成后，到DNS服務器檢查是否已有正確記錄，例如server1.contoso.com，ip地址192.168.100.13則堅持區域contoso.com是否有對應的a記錄和ip。

如果發現域控制器沒有將其扮演的角色注冊到dns服務器，也就是沒有_tcp文件夾與記錄，到服務器中重啟netlogon服務

創建更多的域控制器

如果一個域內有多個域控制器，可以有如下好處.

提高用戶登錄的效率：如果同時有多台域控制器對客戶提供服務，可以分擔審核用戶登錄身份（賬戶與密碼）的負擔，讓用戶登錄效率更佳。
排錯功能：如果有域控制器發生故障，此時依然能有其他正常的域控制器繼續提供域服務器。

我們將dc2.contoso.com升級為域控制器

首先改名，改ip

后面都和前面一樣安裝功能

這里不同，將域控添加到現有域，輸入域名contoso.com，並且輸入現有權限添加域控的賬戶contoso\administrator的密碼。

只有Enterprise Admins和Domain Admins內的用戶有權限創建其他域控制器。

選擇從其他域控復制

安裝完成后機器會重啟，然后在檢查DNS記錄。

修改dns指向

修改dc1和dc2的dns互相將各自的首選dns指向對方域控

將windows計算機加入或脫離域

Windows加入域后，就可以訪問ad數據庫和其他域資源。可以被加域的計算機：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

將windows計算機加入域

我們要將server.contoso.com機器加入域。

先將機器改名改ip。

輸入域名和域賬戶密碼

如果報錯，請檢查dns是否指向域控。

完成后我們可以使用域賬戶登錄此台服務器

計算機名后已自動加上域名

脫離域

只要輸入工作組並點擊確定

成員計算機內的ad管理工具

我們有時管理員管理不過來是可以將開賬戶的權限委派改其他各個部門的行政，委派給他們后，他們當然是不能登陸域控的，這時就要在他們的計算機上安裝ad管理工具

Windows server 2012

添加功能中，添加遠程服務器管理工具

Windows8 和Windows7

都去官網下載Remote Server Administration Tools for Windows8/7

創建組織單位與域用戶賬戶

可以將用戶賬戶創建到任何一個容器或組織單位（OU）內。先創建業務部的OU.然后再創建用戶。

創建組織單位

點擊 Active Directory管理中心

輸入名稱

創建用戶

業務部-新建用戶

用戶UPN登錄：用戶可以利用這個域電子郵箱格式相同的名稱（wang@contoso.com）來登錄域，此名稱被稱為User Principal Name（UPN）。此名在林中是唯一的。
用戶名SamAccountName登錄：用戶也可以利用此名稱（contoso\wang）來登錄。其中wang是NetBios名。同一個域中此名稱必須是唯一的。Windows NT Windows 98等舊版系統不支持UPN，因此在這些計算機上登錄時，只能使用此登錄名。

使用新賬戶登錄域

我們使用2種方法來登錄域

利用新用戶賬戶登錄域控

除了域Administrators等少數組內的成員外，其他一般域賬戶默認無法登陸到域控上，除非另外開放。

賦予用戶在域控登錄權限

一般用戶必須在域控上擁有允許本地登錄的權限，才能在域控上登錄。此權限可以用過組策略來開放。

系統管理工具-組策略管理

計算機配置-策略-windows設置-安全設置-本地策略-用戶權限分配-允許本地登錄，然后將用戶或組加入到列表內

組策略配置完成需要應用到域控才有效，應用方法有三種：

將域控制器重啟
等域控制器自動應用此策略，可能需要等待5分鍾或更久
手動應用：到域控制器上運行gpupdate或gpupdate\force

多台域控制器的情況

如果域內有多台域控制器，則設置的安全設置值，先被存儲到PDC操作主機角色的域控制器內，默認由第一台域控制器扮演。

Active Directory用戶和計算機-選擇contoso.com右鍵操作主機

需要等待設置值從PDC操作主機復制到其他域控制器后，他們才會應用這些設置值。什么時候應用分兩種情況：

自動復制：PDC操作主機默認15秒后悔自動將其復制出去，因此其他域控制器可能需要等15秒或更久才能接受到此設置值。
手動復制：到任何一台域控制器上選擇Active Directory站點和服務-Sites-Default-First-Name Servers單擊要接收設置的域控制器-NTDS Settings-立即復制。如下圖DC1是操作主機，DC2是需要接收的域控

如果是組策略設置，則他先輩存儲在PDC操作主機內，但如果Active Directory用戶賬戶或其他對象有改動，則這些改動會先被存儲在所連接的域控制器，同時系統默認會在15秒后自動將此改動數據復制到其他域控制器。

如果要查詢目前連接的域控制器，可以如下圖在Active Directory管理中心控制台中將鼠標指針對着圖中的contoso，他就會顯示所連接的域控制器。如果要更改連接其他控制器，單擊更改域控制器。

域用戶個人數據的設置

每個域用戶賬戶內部都有一些相關的屬性數據，例如地址電話等，域用戶可以通過這些屬性來查找Active Directory內的用戶，因此這些數據越完整越好。

限制登錄時間與登錄計算機

我們可以限制用戶的登錄時間已經能用使用某些計算機來登錄域。

如下圖只能允許用戶在正常上班時間內登錄電腦

默認用戶可以登錄所有非域控制器的成員計算機，不過可以限制他們只能利用某些特定計算機來登錄域。如下圖限制只能登錄server計算機。

Active Directory輕型目錄服務

為了讓支持目錄訪問的應用程序，可以在沒有域的環境內享有目錄服務的好處，Windows Server 2012內提供了Active Directory輕型目錄服務 AD LDS,它可以讓你在計算機內創建多個目錄服務器的環境，每個環節被稱為一個AD LDS實例，每個實例擁有獨立的目錄設置，架構，數據庫。

Active Directory回收站

在舊版的操作系統中，如果系統管理員誤將ad對象刪除，就需要進入目錄服務還原模式。還原麻煩，並且在還原好重啟時，域無法提供服務。

雖然windows server 2008 R2新增了ad回收站，讓系統管理員不需要進入目錄服務還原模式，就可以救回被刪除的對象，但是卻不是很好用，例如需要通過復雜的命令與步驟。

Windows server 2012 的ad回收站又有了進一步的改良，他提供容易使用的圖像界面管理工具。

要啟用ad回收站，林與域功能級別必須是Windows Server 2008 R2（含）以上的級別。注意，一旦啟用回收站，就無法在禁用，因此域與林功能基本也無法在被降級。

啟用Active Directory回收站

打開Active Directory管理中心，單擊左側的域名contoso，單擊右側的啟用回收站

報錯了

因為域內有多個域控制器，需要等設置值被復制到所有的域控制器后，ad回收站功能才會完全正常。（我做實驗，節約性能還有一台輔助域控沒有打開）

開啟輔助域控並復制設置值后再次開啟回收站。

刪除組織單位

試着將業務部刪除，但是先將防止刪除的選項刪除

取消勾選防止意外刪除。

接着刪除業務部

還原組織單位

接下來，要通過回收站來救回組織單位，雙擊deleted objects。

選擇要救回的組織單位，單擊還原

刪除域控制器與域

可以通過降級的方式來刪除域控制器，也就是將Actice Directory從域控制器刪除。在降級前先注意以下事項：

如果域內還有其他域控制器存在，則它會被降級為該域的成員服務器。

如果這台域控制器是此域內的最后一台域控制器，域內也沒有其他的域控制器存在了，因此域將被刪除，而域控制器也將會被降級為獨立的服務器。

注：建議先將成員服務器server.contoso.com脫離域，因為在域刪除后，這台服務器的賬戶就無法登陸域了（域刪除后，也可以再將成員服務器脫離域）。

必須是Enterprise Admins組的成員，才能有權限刪除域內的最后一台域控制器。如果此域之下還有子域，請先刪除子域。

如果此域控制器是全局編錄服務器，請檢查其所在站點內是否還有其他全局編錄服務器，如果沒有，請先指定另一台域控制器來扮演全局編錄服務器，否則將影響用戶登錄。Active Directory站點和服務-Site- Defalut-First-Site-Name – Server-NTDS Setting並單擊鼠標右鍵-屬性-勾選全局編錄