前言

关于AD域管理及其权限划分概论：

  1. AD域源于微软，适用于windows，为企业集中化管理和信息安全提供强力保障。

  2. 提供域中文件夹共享，但同时又对不同用户有不用的权限。

  3.通过对设备限制USB接口，网络访问特定网站来实现对企业内部信息的保护和防止流失。

  4.个人文件夹可以重定向到服务器文件夹上，实现真正的在同一个域中使用者数据不受固定PC限制既数据跟随用走。

  5.用户的权限不需要定制，只需要加入若干个带有不同权限属性的固定组就可以获得相应的权限功能。

 

 

我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器，然后将其升级为域控制器。然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。

环境

网络192.168.100.1 子网掩码 255.255.255.0 网关192.168.100.2

域名 contoso.com

DC1 192.168.100.11/24

DC2 192.168.100.12/24

Server 192.168.100.13/24

PC1 192.168.100.14/24

创建域的必备条件

• DNS域名：先要想好一个符合dns格式的域名，如 contoso.com
• DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）

注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。

 

创建网络中的第一台域控制器

修改机器名和ip

先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成dc1.contoso.com

安装域功能

选择服务器

选择域服务

提升为域控制器

添加新林

此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为http://www.contoso.com，则内部的林根域名就不能是contoso.com，否则未来可能会有兼容问题。

• 选择林功能级别，域功能级别。、

  此处我们选择的为win 2012 ，此时域功能级别只能是win 2012，如果选择其他林功能级别，还可以选择其他域功能级别

• 默认会直接在此服务器上安装DNS服务器
• 第一台域控制器必须是全局编录服务器的角色
• 第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能
• 设置目录还原密码。

  目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码

   

  出现此警告无需理会

  

  系统会自动创建一个netbios名称，可以更改。

  不支持DNS域名的旧系统，如win98 winnt需要通过netbios名来进行通信

  

• 数据库文件夹：用了存储AD数据库
• 日志文件文件夹：用了存储AD的更改记录，此记录可以用来修复AD数据库
• SYSVOL文件夹：用了存储域共享文件（例如组策略）

  

  如果计算机内有多个硬盘，建议将数据库与日志文件夹分别设置到不同的硬盘内，分两个硬盘可以提供运行效率，而且分开存储可以避免两份数据同时出现问题，以提高修复AD的能力。（不过我认为现在都是RAID模式了没必要分开，和操作系统分区分开就可以了）

  顺利通过检查，直接安装

  

  安装完成重启

  

检查DNS服务器内的记录是否完备

域控会将自己扮演的角色注册到DNS服务器内，以便让其他计算机能够通过DNS服务器来找到域控。因此先检查DNS服务器内是否已经存在这些记录。需要用域管理员账户来登陆contoso\administrator.

检查主机记录

选择管理工具-dns

默认会有一个contoso.com的区域，主机记录表示域控dc.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内。

如果域控制器已经正确的将家里注册到dns服务器，应该还会有_tcp _udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录，表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演。

排除注册失败的问题

如果域成员本身的设置或者网络问题，会造成无法将数据注册到DNS服务器。

如果有成员计算机的主机与ip美元正确注册到DNS服务器，可以到此机器上运行ipconfig /registerdns来手动注册。完成后，到DNS服务器检查是否已有正确记录，例如server1.contoso.com，ip地址192.168.100.13则坚持区域contoso.com是否有对应的a记录和ip。

如果发现域控制器没有将其扮演的角色注册到dns服务器，也就是没有_tcp文件夹与记录，到服务器中重启netlogon服务

创建更多的域控制器

如果一个域内有多个域控制器，可以有如下好处.

• 提高用户登录的效率：如果同时有多台域控制器对客户提供服务，可以分担审核用户登录身份（账户与密码）的负担，让用户登录效率更佳。
• 排错功能：如果有域控制器发生故障，此时依然能有其他正常的域控制器继续提供域服务器。

我们将dc2.contoso.com升级为域控制器

首先改名，改ip

后面都和前面一样安装功能

这里不同，将域控添加到现有域，输入域名contoso.com，并且输入现有权限添加域控的账户contoso\administrator的密码。

只有Enterprise Admins和Domain Admins内的用户有权限创建其他域控制器。

选择从其他域控复制

安装完成后机器会重启，然后在检查DNS记录。

修改dns指向

修改dc1和dc2的dns互相将各自的首选dns指向对方域控

将windows计算机加入或脱离域

Windows加入域后，就可以访问ad数据库和其他域资源。可以被加域的计算机：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

将windows计算机加入域

我们要将server.contoso.com机器加入域。

先将机器改名改ip。

输入域名和域账户密码

如果报错，请检查dns是否指向域控。

完成后我们可以使用域账户登录此台服务器

计算机名后已自动加上域名

脱离域

只要输入工作组并点击确定

成员计算机内的ad管理工具

我们有时管理员管理不过来是可以将开账户的权限委派改其他各个部门的行政，委派给他们后，他们当然是不能登陆域控的，这时就要在他们的计算机上安装ad管理工具

Windows server 2012

添加功能中，添加远程服务器管理工具

Windows8 和Windows7

都去官网下载Remote Server Administration Too