創建一個完整的域

前言

我們按照下圖來創建第一個林中的第一個域。創建方法為先安裝一台Windows服務器，然后將其升級為域控制器。然后創建第二台域控制器，一台成員服務器與一台加入域的Win8計算機。

一般說主和備，主要是指擔任PDC放置的角色的這台DC，所有修改密碼的操作必須由這台DC應答。

除了修改密碼、域管理、林管理，其他操作（主要是身份驗證）都可以隨便抓一台DC來完成。

DNS是一個列表，在整個林里面同步，除了PDC放置有單獨的列表，其它DC一般沒有權重。

也就是PDC故障，如果不需要修改用戶的密碼，可以不用管

環境

網絡192.168.100.0/24  網關192.168.100.2

域名 contoso.com

配置ip，去掉ipv6，禁用TCP/IP上的NetBIOS

DC1：192.168.100.11/24

DC2：192.168.100.12/24

Server：192.168.100.13/24

PC1：192.168.100.14/24

創建域的必備條件

• DNS域名：先要想好一個符合dns格式的域名，如 contoso.com
• DNS服務器：域中需要將自己注冊到DNS服務器內，瓤其他計算機通過DNS服務器來找到這台機器，因此需要一台可支持AD的DNS服務器，並且支持動態更新（如果現在沒有DNS服務器，則可以在創建域的過程中，選擇這台域控上安裝DNS服務器）

注：AD需要一個SYSVOL文件夾來存儲域共享文件（例如域組策略有關的文件），該文件夾必須位於NTFS磁盤，系統默認創建在系統盤，為了性能建議按照到其他分區。

創建網絡中的第一台域控制器

http://www.cnblogs.com/airoot/p/7774977.html

創建更多的域控制器

如果一個域內有多個域控制器，可以有如下好處.

• 提高用戶登錄的效率：如果同時有多台域控制器對客戶提供服務，可以分擔審核用戶登錄身份（賬戶與密碼）的負擔，讓用戶登錄效率更佳。
• 排錯功能：如果有域控制器發生故障，此時依然能有其他正常的域控制器繼續提供域服務器。

我們將 DC2 升級為域控制器

首先改名，改ip，主DNS填寫自己的IP，備DNS填寫主域控的IP（因為要發現當前環境中的域，那么DNS就要指向主域控的IP地址）

后面都和前面一樣安裝功能，然后提升為域控

需要注意的是，這里不同，將域控添加到現有域，輸入域名contoso.com，並且輸入現有權限添加域控的賬戶contoso\administrator的密碼。

（只有Enterprise Admins和Domain Admins 組內 的用戶有權限創建其他域控制器）

輸入目錄服務還原模式DSRM密碼

下一步

直接下一步，“復制自”這里保持默認即可，也就是“任何域控制器”

根據需求可以修改路徑，然后下一步

開始安裝，安裝過程中會突然斷網，大概需要等5分鍾，重新遠程服務器即可

修改dns指向

修改dc1和dc2的dns互相將各自的首選dns指向對方域控

打開DNS管理器，可以看到機器名和IP信息都已經同步過來了，同步間隔默認是15分鍾

將windows計算機加入域

Windows加入域后，就可以訪問ad數據庫和其他域資源。可以被加域的計算機：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

將Server加入域

我們要將server.contoso.com機器加入域。

先將機器改名改ip。

輸入域名和域賬戶密碼

 

如果報錯，請檢查dns是否指向域控。

完成后我們可以使用域賬戶登錄此台服務器

計算機名后已自動加上域名

成員計算機內的ad管理工具

我們有時管理員管理不過來是可以將開賬戶的權限委派改其他各個部門的行政，委派給他們后，他們當然是不能登陸域控的，這時就要在他們的計算機上安裝ad管理工具

Windows server 2012

添加功能中，添加遠程服務器管理工具

Windows8 和Windows7

去官網下載Remote Server Administration Tools for Windows8/7

創建組織單位與域用戶賬戶

點擊 Active Directory管理中心

創建一個組織單位(OU)：業務部

創建一個用戶

• 用戶UPN登錄：用戶可以利用這個域電子郵箱格式相同的名稱（wang@contoso.com）來登錄域，此名稱被稱為User Principal Name（UPN）。此名在林中是唯一的。
• 用戶名SamAccountName登錄：用戶也可以利用此名稱（contoso\wang）來登錄。其中wang是NetBios名。同一個域中此名稱必須是唯一的。Windows NT Windows 98等舊版系統不支持UPN，因此在這些計算機上登錄時，只能使用此登錄名。

使用新賬戶登錄域

我們使用2種方法來登錄域

或者

利用新用戶賬戶登錄域控

除了域Administrators等少數組內的成員外，其他一般域賬戶默認無法登陸到域控上，除非另外開放。

賦予用戶在域控登錄權限

一般用戶必須在域控上擁有允許本地登錄的權限，才能在域控上登錄。此權限可以用過組策略來開放。

系統管理工具-組策略管理

計算機配置-策略-windows設置-安全設置-本地策略-用戶權限分配-允許本地登錄，然后將用戶或組加入到列表內

組策略配置完成需要應用到域控才有效，應用方法有三種：

• 將域控制器重啟
• 等域控制器自動應用此策略，可能需要等待5分鍾或更久
• 手動應用：到域控制器上運行gpupdate或gpupdate\force

多台域控制器的情況

如果域內有多台域控制器，則設置的安全設置值，先被存儲到PDC操作主機角色的域控制器內，默認由第一台域控制器扮演。

Active Directory用戶和計算機-選擇contoso.com右鍵操作主機

需要等待設置值從PDC操作主機復制到其他域控制器后，他們才會應用這些設置值。什么時候應用分兩種情況：

• 自動復制：PDC操作主機默認15秒后悔自動將其復制出去，因此其他域控制器可能需要等15秒或更久才能接受到此設置值。
• 手動復制：到任何一台域控制器上選擇Active Directory站點和服務-Sites-Default-First-Name Servers單擊要接收設置的域控制器-NTDS Settings-立即復制。如下圖DC1是操作主機，DC2是需要接收的域控

如果是組策略設置，則他先輩存儲在PDC操作主機內，但如果Active Directory用戶賬戶或其他對象有改動，則這些改動會先被存儲在所連接的域控制器，同時系統默認會在15秒后自動將此改動數據復制到其他域控制器。

如果要查詢目前連接的域控制器，可以如下圖在Active Directory管理中心控制台中將鼠標指針對着圖中的contoso，他就會顯示所連接的域控制器。如果要更改連接其他控制器，單擊更改域控制器。

域用戶個人數據的設置

每個域用戶賬戶內部都有一些相關的屬性數據，例如地址 電話等，域用戶可以通過這些屬性來查找Active Directory內的用戶，因此這些數據越完整越好。

限制登錄時間與登錄計算機

我們可以限制用戶的登錄時間已經能用使用某些計算機來登錄域。

默認用戶可以登錄所有非域控制器的成員計算機，不過可以限制他們只能利用某些特定計算機來登錄域。如下圖限制只能登錄server計算機。

Active Directory輕型目錄服務

為了讓支持目錄訪問的應用程序，可以在沒有域的環境內享有目錄服務的好處，Windows Server 2012內提供了Active Directory輕型目錄服務 AD LDS,它可以讓你在計算機內創建多個目錄服務器的環境，每個環節被稱為一個AD LDS實例，每個實例擁有獨立的目錄設置，架構，數據庫。

Active Directory回收站

在舊版的操作系統中，如果系統管理員誤將ad對象刪除，就需要進入目錄服務還原模式。還原麻煩，並且在還原好重啟時，域無法提供服務。

雖然windows server 2008 R2新增了ad回收站，讓系統管理員不需要進入目錄服務還原模式，就可以救回被刪除的對象，但是卻不是很好用，例如需要通過復雜的命令與步驟。

Windows server 2012 的ad回收站又有了進一步的改良，他提供容易使用的圖像界面管理工具。

要啟用ad回收站，林與域功能級別必須是Windows Server 2008 R2（含）以上的級別。注意，一旦啟用回收站，就無法在禁用，因此域與林功能基本也無法在被降級。

啟用Active Directory回收站

打開Active Directory管理中心，單擊左側的域名contoso，單擊右側的啟用回收站

報錯了

因為域內有多個域控制器，需要等設置值被復制到所有的域控制器后，ad回收站功能才會完全正常。（我做實驗，節約性能還有一台輔助域控沒有打開）

開啟輔助域控並復制設置值后再次開啟回收站。

刪除組織單位

試着將業務部刪除，但是先將防止刪除的選項刪除

取消勾選防止意外刪除。

接着刪除業務部

還原組織單位

接下來，要通過回收站來救回組織單位，雙擊deleted objects。

選擇要救回的組織單位，單擊還原

刪除域控制器與域

可以通過降級的方式來刪除域控制器，也就是將Actice Directory從域控制器刪除。在降級前先注意以下事項：

如果域內還有其他域控制器存在，則它會被降級為該域的成員服務器。

如果這台域控制器是此域內的最后一台域控制器，域內也沒有其他的域控制器存在了，因此域將被刪除，而域控制器也將會被降級為獨立的服務器。

注：建議先將成員服務器server.contoso.com脫離域，因為在域刪除后，這台服務器的賬戶就無法登陸域了（域刪除后，也可以再將成員服務器脫離域）。

必須是Enterprise Admins組的成員，才能有權限刪除域內的最后一台域控制器。如果此域之下還有子域，請先刪除子域。

• 如果此域控制器是全局編錄服務器，請檢查其所在站點內是否還有其他全局編錄服務器，如果沒有，請先指定另一台域控制器來扮演全局編錄服務器，否則將影響用戶登錄。Active Directory站點和服務-Site- Defalut-First-Site-Name – Server-NTDS Setting並單擊鼠標右鍵-屬性-勾選全局編錄

如果刪除的域控制器是林內最后一台域控制器，則林輝被一起刪除。Enterprise Admins組的成員才有權限刪除這台域控制器與林。

刪除域控制器步驟：

取消勾選

先降級

選擇擁有權限的賬戶

如因為故障無法刪除此域控制器(如，在刪除時，需要能夠連接企圖域控制器，但是一直無法連接)此時可以勾選強制刪除此域控制器。

輸入降級后的本地administrator密碼

降級后服務器會重啟，並重新登陸

雖然這台服務器已經不再是域控了，不過此時域服務組件依然存在還是要繼續去刪除。

刪除最后一台域控

當域中已經沒有其他域控制器時，最后一台刪除時會多此選項。

刪除dns區域和應用程序分區

完成后將管理工具刪除

 

原文：http://www.cnblogs.com/wanggege/p/4605678.html