创建windows备用AD

山东神达化工windows_ad域配置方案和操作手册2015年01月14日目录1.背景 (3)2.为什么要用域 (4)2.1.一个演示实例说明 (4)2.2域的概念 (7)3.如何部署一个域 (7)3.1.DNS前期准备 (8)3.1.1.创建区域并允许动态更新 (9)3.1.2.检查NS和SOA记录 (12)3.2.创建域控制器 (14)3.3.创建计算机账号 (23)3.4.创建用户账号 (26)4.用备份进行域的灾难重建 (30)4.1.如何备份 (30)4.2.如何还原 (34)5.部署额外域控制器 (39)6.ACTIVE DIRECTORY的授权还原 (48)7.ACTIVE DIRECTORY的脱机碎片整理 (57)8.针对神达化工的具体方案 (62)8.1.用户管理 (62)8.2.灾备和重建 (63)8.3.桌面恢复 (63)8.4.域用户集成本地管理员 (63)8.5如何限制域用户脱离域后登陆 (68)1.背景山东神达化工有限公司（以下简称：神达化工）目前实施的HONEYWELL PHD 实时数据库需要且必须运行在windows的ad域中，目前项目进展顺利。

神达化工实施HONEYWELL PHD 实时数据库的网络拓扑如图1所示：图1⏹一台域控制器：负责域用户的维护⏹一台数据库服务器：运行HONEYWELL所依赖的数据库⏹一台web服务器：对外访问，所有终端通过这台机器获取浏览信息。

神达化工在以往的信息化建设中并未使用过windows的ad域，借助HONEYWELL PHD 实时数据库项目，希望将域引入并通过域对公司内部的计算机进行管控。

在项目建设过程中，针对windows的ad域，神达化工还有如下疑虑：1、什么是域，为什么要实施域。

2、如何创建、管理、维护域。

3、如何处理灾备和恢复。

针对以上几个问题，下面将详细介绍并列举实例进行演示。

2.为什么要用域微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

Windows Server 2016中部署AD 简述AD是Active Directory的简写，中文称活动目录。

活动目录(Active Directory)主要提供以下功能：1、服务器及客户端计算机管理，2、用户服务，3、资源管理，4、桌面配置，5、应用系统支撑等；更多AD DS概述请查看微软技术文档,本文详细介绍AD DS的部署。

主题：•部署环境•森林模型•角色安装•运行部署向导部署环境森林模型角色安装在需要安装AD域控制器的电脑上打开服务器管理器，点击“添加角色和功能”打开“添加角色和功能向导”，点击“下一步”安装类型选择“基于角色或基于功能的安装”，点击“下一步”服务器选择“从服务器池中选择服务器”，再选中池中的本地服务器，点击“下一步”服务器角色选择“Active Directory域服务”，会弹出“添加Active Directory域服务所需的功能？”，点击“添加功能”服务器角色选择“Active Directory域服务”之后，点击“下一步”点击“下一步”点击“下一步”确认这里把“如果需要，自动重新启动目标服务器”打勾，点“安装”正在安装Active Directory域服务角色安装完成，点“关闭”运行部署向导运行AD DS（Active Directory域服务的简称）部署向导，打开本地服务器的服务器管理器，点“通知”-“将此服务器提升为域控制器”打开AD DS的部署向导，由于我们这里是部署新的AD控制器，所以部署配置选择“添加新林”，把“根域名”设置成“”，点击“下一步解释：将域控制器添加到现有域：在现有的域控制器中添加新的域控制器将新域添加到现有林：在现有的林中新建域，与林中现有的域不同添加新林：在没有林的情况下新建林域控制器选项：林功能级别（包含Windows Server 2008到Windows Server 2016级别都有）：Windows Server 2016域功能级别（只包含Windows Server 2016域功能）：Windows Server 2016 指定域控制器功能：默认键入目录服务还原模式（DSRM）密码（自己设置复杂性密码）：****点击“下一步”点击“下一步”点击“下一步”AD DS的数据库、日志文件和SYSVOL的位置我们指定在D盘目录下，当然也可以默认，为了安全起见我们还是放D盘，点击“下一步”点击“下一步”先决条件检查通过，点击“安装”，如果不通过请根据提示查看原因正在进行自动部署，部署完成后会自动重启服务器AD域控制器部署完成，打开“服务器管理器”-“工具”-“Active Dir ectory用户和计算机”就可以看到我们刚才部署好的域，这样一个完整的域就部署完成了。

WindowsServer2016AD服务器搭建的步骤（图⽂）简介：是Active Directory的简写，中⽂称活动⽬录。

活动⽬录(Active Directory)主要提供以下功能：1）服务器及客户端计算机管理2）⽤户服务3）资源管理4）桌⾯配置5）应⽤系统⽀撑等准备环境：主机名IP地址配置系统dc1172.16.200.1712c_2u_4_80g Windows Server 2016 Standard部署步骤⼀、⾓⾊安装1）打开服务器管理器，添加⾓⾊和功能；2) 点下⼀步；3）选基于教授和基于功能的安装，点下⼀步；4）选从服务器池中选择服务器，点下⼀步；5-1）点 Active Directory 域服务；5-2）点添加功能；5-3）点下⼀步；6）点下⼀步；7）打勾，点是，点安装；8）安装成功，点关闭；⼆、AD域控制器部署向导1）打开服务器管理器，点右上⾓点⼩旗⼦，点将此服务器提升为域控制器；2）因为是第⼀个AD控制器，点添加新林，根域名处填域名，点下⼀步#将域控制器添加到现有域：在现有的域控制器中添加新的域控制器#将新域添加到现有林：在现有的林中新建域，与林中现有的域不同3）填⼊⽬录服务还原密码，点下⼀步；域控制器选项：林功能级别（包含Windows Server 2008到Windows Server 2016级别都有）：Windows Server 2016域功能级别（只包含Windows Server 2016域功能）：Windows Server 2016指定域控制器功能：默认键⼊⽬录服务还原模式（DSRM）密码（需设置复杂密码）：****4）点下⼀步；5）点下⼀步；NETBIOS域名：计算机名称⽤来标识计算机在⽹络中的⾝份，就像⼈的名字。

当启动计算机时，系统会在⽹络上注册唯⼀的NetBIOS名称，也就是从⽹络中看到的计算机名。

6）点下⼀步；AD DS数据库、⽇志⽂件夹和sysvol⽂件夹，出于安全考虑建议放在其他盘7）点下⼀步；8）点安装，完毕后系统⾃动重启；9）重启后进⼊系统。

AD简明教程—快速入门AD（Active Directory）是微软开发的一种用于管理网络中用户、计算机和其他网络资源的目录服务。

它可以提供认证、授权和资源分配的功能，方便网络管理员对整个网络进行集中管理和控制。

以下是AD的快速入门简明教程。

第一步：安装AD首先，你需要在一台计算机上安装AD。

通常情况下，这台计算机将被配置为域控制器，即AD的主服务器。

你可以选择在Windows Server操作系统上安装AD。

在安装过程中，你需要设置AD的域名和管理员账户。

第二步：创建域安装完AD后，你需要创建一个域。

域是一组计算机、用户和资源的集合，它们可以被统一管理和控制。

你可以根据组织的需要创建不同的域。

为了创建一个域，你需要在域控制器上打开“服务器管理器”工具，进入“角色和功能安装向导”并选择“安装新的活动目录域服务”。

按照向导的指示完成域的创建过程。

第三步：添加用户安装完域后，你可以开始添加用户。

在AD中，用户是被授权访问网络资源的主体。

为了添加用户，你需要在域控制器上打开“Active Directory用户和计算机”工具。

在工具的界面中，右键点击“Users”文件夹，选择“New”>“User”。

按照向导的指示，创建新用户并指定其登录名、密码和其他相关信息。

第四步：分配组在AD中，组是一种用于将用户和计算机组织在一起的方式。

通过将用户分配到组中，你可以更好地管理和控制权限。

为了创建组，你可以在“Active Directory用户和计算机”工具中，右键点击“Users”文件夹，选择“New”>“Group”。

输入组的名称，并将相关用户添加到组中。

第五步：设置权限AD允许你对用户和资源进行细粒度的权限控制。

为了设置权限，你可以在“Active Directory用户和计算机”工具中，选择要设置权限的对象，右键点击并选择“属性”。

在属性的对话框中，点击“安全”选项卡，并设置适当的权限。

第六步：扩展AD除了创建用户和组外，你还可以扩展AD的功能，以满足组织的需求。

Windows Server菜鸟宝典之一：Windows Server 2008 R2 AD服务器搭建一、Windows AD简介Active Directory® 目录服务可安装在运行Microsoft® Windows Server® 2003，Standard Edition、Windows Server 2003，Enterprise Edition 和Windows Server 2003，Datacenter Edition 的服务器上。

Active Directory 存储有关网络上的对象的信息，并使管理员和用户更方便地查找和使用这种信息。

Active Directory 使用结构化的数据存储作为目录信息的逻辑化、分层结构的基础。

这种数据存储，也称为目录，包含与Active Directory 对象有关的信息。

这些对象通常包括共享资源，如服务器、卷、打印机、网络用户和计算机帐户。

有关Active Directory 数据存储的详细信息，请参阅目录数据存储。

通过登录验证以及目录中对象的访问控制，将安全性集成到Active Directory 中。

通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络上任何地方的资源。

基于策略的管理减轻了即使是最复杂的网络的管理。

有关Active Directory 安全性的详细信息，请参阅安全概述。

Active Directory 还包括：•一套规则，即架构，定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。

有关架构的详细信息，请参阅架构。

•包含目录中每个对象信息的全局编录。

允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。

有关全局编录的详细信息，请参阅全局编录的角色。

•查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。

有关查询目录的详细信息，请参阅查找目录信息。

AD域服务器详细搭建AD (Active Directory) 域服务器是一个基于Windows服务器的网络服务，它提供集中管理和控制网络用户、计算机和其他网络资源的功能。

以下是AD域服务器详细搭建的步骤和注意事项。

步骤1：规划和设计1.确定域的名称和结构：选择一个域名，确保其符合DNS命名约定。

设计域的结构，包括子域和组织单元（OU）的层次结构。

2.确定域控制器的数量和位置：根据组织的规模和地理分布，确定需要多少个域控制器，并计划将其部署在哪些位置。

3.确定安全策略和权限：根据组织的安全要求，确定域中的安全策略和权限设置。

4. 准备硬件和软件资源：确保有足够的硬件资源（服务器和存储）来支持域控制器。

确保每台服务器都安装了Windows Server操作系统。

步骤2：安装和配置域控制器1. 安装Windows Server操作系统：在每台服务器上安装Windows Server操作系统。

根据实际情况选择版本，如Windows Server 20242. 升级操作系统：如果服务器上已经安装了较旧版本的Windows Server操作系统，可以选择执行升级。

3. 添加“Active Directory域服务”角色：在服务器管理器中添加“Active Directory域服务”角色。

按照向导进行配置。

4.创建新域或加入现有域：可以创建新的域或加入现有的域。

在创建新域时，提供域名和域控制器名称。

在加入现有域时，需要提供域名和域管理员凭据。

5.配置域设置：根据设计规划中的决策，配置域设置，如域名系统（DNS）设置、林/树/子域设置等。

6.完成安装和配置：根据向导完成安装和配置过程。

等待域控制器在网络上复制和同步数据。

步骤3：管理域控制器和域1. 创建和管理用户账户：使用Active Directory用户和计算机工具创建和管理用户账户。

指定用户的属性、密码策略等。

2.创建和管理组：创建和管理组，以便对用户账户进行分组和管理。

windowsserver2012R2部署AD域服务⼀、部署AD域控制器⾸先，我们检查第⼀台已经安装Windows Server 2012 R2的服务⽹络的相关配置，确定的服务器IP地址、⼦⽹掩码、默认⽹关的参数如下，由于该服务器既要充当ADDC⾓⾊，⼜要充当⽹络的DNS⾓⾊，所以“⾸先DNS服务器”中配置的IP地址输⼊它⾃⼰的IP地址，即192.168.20.100，同时将来会有另外⼀台辅助的ADDC会加⼊也会承担DNS的⾓⾊，所以在备⽤服务器中的IP地址中输⼊另外⼀台DNS的IP地址，即192.168.20.101，操作如下步骤 1 检查服务器的IP地址步骤 2点击Server2012左下⾓的“服务器管理器”显⽰如下界⾯步骤 3点击”管理”步骤 4点击“添加⾓⾊和功能按钮”弹出如下界⾯步骤 5这⾥选择“基于⾓⾊或基于功能的安装”，然后点“下⼀步”步骤 6服务器选择这⾥选择默认的，假如你需要针对其它主机安装AD⾓⾊，这⾥可以选择你需要的主机，点击“下⼀步”步骤 7这⾥勾选“Active Directory域服务”步骤 8当勾选这个选项时，会弹出如下对话框，点“添加功能”。

步骤 9这样就正确选择了安装AD⾓⾊，点击“下⼀步”步骤 10功能页⾯不需要做任何选择直接点“下⼀步”步骤 11这⾥是介绍AD⾓⾊的功能及注意事项，点击“下⼀步”步骤 12勾选“如果需要，⾃动重新启动⽬标服务器”，然后点击“安装”步骤 13安装成功后我们点击“关闭”，但这还没有完全安装成功步骤 14点击服务器右上⾓的“功能按钮”, 弹出继续配置AD的对话框步骤 15点击“部署后配置”，在红框处填⼊相应的域名步骤 16点击“下⼀步”选择域功能级别，选择相应的功能，DNS/GC/RODC,最下⾯输⼊⽬录服务还原密码在此设置密码为：vancen.123步骤 17点击“下⼀步”后配置DNS，由于不需要委派DNS，所以这⾥不需要设置，直接点击“下⼀步”步骤 18这⼀步配置Netbios名，若没有特殊需求默认的就可以，直接点“下⼀步”步骤 19配置⽇志，数据库，SYSVOL路径，若没有特殊需求，默认就可以步骤 20查看配置信息，若没有任何问题直接点“下⼀步”步骤 21这个页⾯是检测是否满⾜条件，满⾜条件后就可以直接点“安装”步骤 22等待机器安装配置项，可能需要重启步骤 23重启后我们会看到AD⾓⾊已经安装完成第⼀台 ADDC已经安装完成⼆、部署额外域控制器⾸先，我们检查第⼆台已经安装Windows Server 2012 R2的服务⽹络的相关配置，确定的服务器IP地址、⼦⽹掩码、默认⽹关的参数如下，由于该服务器既要充当辅助的ADDC⾓⾊，⼜要充当⽹络的DNS⾓⾊，所以“⾸先DNS服务器”中配置的IP地址输⼊主域控制器的IP地址，即192.168.20.100，备⽤DNS服务器的IP地址输⼊它⾃⼰的IP地址，即192.168.20.101，操作如下步骤 1 检查服务器的IP地址步骤 2 修改计算机名为ADDC02，点击确定步骤 3 点击“添加⾓⾊和功能按钮”弹出如下界⾯步骤 4这⾥选择“基于⾓⾊或基于功能的安装”，然后点“下⼀步”步骤 5这⾥选择“从服务器池中选择服务器”，然后点“下⼀步”步骤 6这⾥选择“域服务所需的功能”，然后点“下⼀步”步骤 7然后点“下⼀步”步骤 8然后点击“安装”步骤 9点击“将此服务器提升为域控制器”步骤 10由于是做已经建⽴的域的辅助域控制器，所以单击 “向域控制器添加到现有域”步骤 11由于域的辅助域控制器所以选择域系统（DNS）服务器和全局编录（GC）功能，⽬录还原模块密码vancen.123步骤 12选择从主域控复制数据安装，复制⾃：步骤 13配置⽂件路径选择默认，点击“下⼀步”步骤 14查看脚本后，点击“下⼀步”步骤 15先决条件检查后，点击“安装”第⼆台 ADDC已经安装完成，到此两台域控制都已经安装完成三、验证安装步骤 1直接打开CMD命令⾏，输⼊“netdom query fsmo”,这时会显⽰五种⾓⾊都已经安装成功步骤 2若要进⼀步验证AD是否安装正确，可以使⽤DCDIAG /a命令⾏步骤 3使⽤Repadmin诊断⼯具检查⽬录复制问题，包括管理和修改复制拓扑，强制复制事件和显⽰复制元数据与最新⽮量。

AD域控配置步骤AD（Active Directory）域控是Windows Server操作系统提供的一种目录服务，用于管理网络中的用户、组、计算机等对象，实现统一的身份验证和访问控制。

下面是AD域控配置的详细步骤。

第一步：安装Windows Server2.将安装光盘插入服务器或将ISO镜像刻录到光盘上。

3.启动服务器，通过BIOS设置将光盘设置为首选启动项。

4.根据提示完成操作系统的安装。

第二步：设定IP地址和域名1. 进入“控制面板”->“网络和Internet”->“网络和共享中心”。

2.在左侧导航栏中点击“更改适配器设置”。

3.找到服务器所使用的网络适配器，右键点击并选择“属性”。

4. 在“网络连接属性”对话框中双击“Internet协议版本4(TCP/IPv4)”。

5. 在“Internet协议版本4 (TCP/IPv4)属性”对话框中选择“使用下面的IP地址”。

6.输入服务器的IP地址、子网掩码和默认网关。

7. 在“Internet协议版本4 (TCP/IPv4)属性”对话框中选择“使用下面的DNS服务器地址”。

8.输入首选DNS服务器的IP地址（可以使用公共DNS服务器，如8.8.8.8）。

9.点击“确定”保存设置。

第三步：安装ADDS角色1.打开“服务器管理器”。

2.在“服务器管理器”左侧导航栏中点击“添加角色和功能”。

3.在“添加角色和功能向导”中点击“下一步”。

4.选择“基于角色安装”，点击“下一步”。

5.在“服务器角色”页面中选择“活动目录域服务”，点击“下一步”。

6.在“功能”页面中点击“下一步”。

7. 在“Active Directory 预配置”页面中选择“新建一个域控制器域”，点击“下一步”。

8.在“域控制器选项”页面中选择“添加新的森林”，输入域名，点击“下一步”。

9.在“区域选项”页面中选择合适的选项，点击“下一步”。

10.在“目录服务复用权限”页面中选择合适的选项，点击“下一步”。

win2008ad域控搭建⼀、前⾔1.1 AD 域服务什么是⽬录（directory）呢？⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory（电话⽬录）；计算机中的⽂件系统（file system）内记录着⽂件的⽂件名、⼤⼩与⽇期等数据，它就是 file directory（⽂件⽬录）。

如果这些⽬录内的数据能够由系统加以整理，⽤户就能够容易且迅速地查找到所需的数据，⽽ directory service（⽬录服务）提供的服务，就是要达到此⽬的。

在现实⽣活中，查号台也是⼀种⽬录；在 Internet 上，百度和⾕歌提供的搜索功能也是⼀种⽬录服务。

Active Directory 域内的 directory database（⽬录数据库）被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象，⽽提供⽬录服务的组件就是 Active Directory （活动⽬录）域服务（Active Directory Domain Service，AD DS），它负责⽬录数据库的存储、添加、删除、修改与查询等操作。

⼀般适⽤于⼀个局域⽹内。

在 AD 域服务（AD DS）内，AD 就是⼀个命名空间（Namespace）。

利⽤ AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP ⽹络环境内利⽤ Domain Name System（DNS）来解析主机名与 IP 地址的对应关系，也就是利⽤ DNS 来解析来得到主机的 IP 地址。

除此之外，AD 域服务也与 DNS 紧密结合在⼀起，它的域命名空间也是采⽤ DNS 架构，因此域名采⽤ DNS 格式来命名，例如可以将 AD 域的域名命名为 。

1.2 AD域对象与属性AD 域内的资源以对象（Object）的形式存在，例如⽤户、计算机与打印机等都是对象，⽽对象则通过属性（Attriburte）来描述其特征，也就是说对象本⾝是⼀些属性的集合。

Windows Server 2012 R2 创建AD域前言我们按照下图来创建第一个林中的第一个域。

创建方法为先安装一台Windows服务器，然后将其升级为域控制器。

然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。

环境网络192.168.100.1 子网掩码255.255.255.0 网关192.168.100.2域名DC1 192.168.100.11/24DC2 192.168.100.12/24Server 192.168.100.13/24PC1 192.168.100.14/24创建域的必备条件DNS域名：先要想好一个符合dns格式的域名，如DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。

创建网络中的第一台域控制器修改机器名和ip先修改ip地址，并且将dns指向自己，并且修改计算机名为DC1，升级成域控后，机器名称会自动变成安装域功能选择服务器选择域服务提升为域控制器添加新林此林根域名不要与对外服务器的DNS名称相同，如对外服务的DNS URL为，则内部的林根域名就不能是，否则未来可能会有兼容问题。

选择林功能级别，域功能级别。

、此处我们选择的为win 2012 ，此时域功能级别只能是win 2012，如果选择其他林功能级别，还可以选择其他域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器的角色第一台域控制器不可以是只读域控制器（RODC）这个角色是win 2008时新出来的功能设置目录还原密码。

目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码出现此警告无需理会系统会自动创建一个netbios名称，可以更改。

一为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Directory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Pert h。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

然后在共享文件夹中进行权限分配，如下图所示，我们只把共享文件夹的读权限授予了用户张建国。

W i n d o w s S e r v e r2008安装A D部署一、AD安装说明：服务器上已安装LDAP后不能再安装AD域服务器，应为两者用的端口都是相同的在运行里输入”dcpromo”，启动AD域安装引导选择在“新林中新建域”输入你想要的域名选择域功能级别（默认的2003即可）选择“windowsserver2008”进行下一步安装在弹出的窗口中，系统会自动把DNS勾选，因为是域中的第一台域控制器，所以默认为全局录服务器。

单击“下一步”这里我们选择“是”进行下一步安装选择数据库文件存放的位置，单击“下一步”这里要求软入还原模式密码，与2003不同，在2003中此步骤可跳过，不输入任务密码，但是在2008中这样是不可以的。

这时系统会生成一个配置信息，我们可以选择导出，以用于在CORE模式的2008中部署DC。

单机下一步，进行安装，安装完成后，会提示计算机进行重新启动。

根据提示重启机器后，打开服务器管理-》角色，给大家看看AD管理器吧（：二、AD域证书安装（可选）说明：本步骤为可选项，如果在使用SSL加密连接AD域时必须在服务器上先安装AD域证书打开服务器管理界面，选中“角色”后，点击右侧界面中的“添加角色”在弹出的角色向导框中，将“ActiveDirectory证书服务”勾选上，并点击【下一步】继续点【下一步】继续点【下一步】（默认只选择“证书颁发机构”即可）继续点【下一步】（默认选择“企业”）在界面中选择“根证书”，继续点【下一步】继续点【下一步】（默认选择“新建私钥”）继续点【下一步】（默认算法选择“SHA1”，长度为“2048”）继续点【下一步】（默认）继续点【下一步】（默认）继续点【下一步】（默认）最后点击【安装】，开始安装证书安装完成后点击【关闭】，最后重启机器（注意如果不重启机器证书不会生效，使用SSL连接AD域时会连接失败）重启后可以在【服务器管理】-》【角色】下看到三、创建组织和用户并赋权限1.创建组织单位在【服务器管理】-》【角色】-》【ActiveDirectory域服务】下，选择域名（）右键选择【新建】-【组织单位】；输入组织机构名称“111”点击【确定】后，创建组织机构名称2.在组织机构下创建用户组在弹出的组信息框中填写对应的组名称点确定后生成组3.在组织机构下创建用户在弹出的用户信息框中填写对应的用户名称点击【下一步】后，在弹出的密码框中输入用户密码点击【下一步】后再点击【完成】，创建用户成功4.给用户授权管理员权限选择中要授权的用户（如：yuchen）选择当前组织结构名称（如：111）右键选择“委派控制”在弹出的向导界面中点击【下一步】在弹出的用户或组中，将要赋予管理权限的用户添加进来，然后点击【下一步】在列表中勾选所有的管理员权限，点击【下一步】点击【下一步】后再点击【完成】，授权完成四、在控制台配置AD域在控制台中添加创建的AD域，具体配置如下：1.在【系统配置】-【认证管理】-【LDAP认证源】中添加配置的AD域说明：不加密端口为389加密端口为636（需要AD证书）管理用户和密码为之前创建并赋予权限的用户（列如：yuchen）AD域前要加@1.在【系统配置】-【认证管理】-【LDAP认证源信息对应】中配置AD域源的字段关系对应；注意：对应的名称大小写是区分的，必须按照图中的关系一一对应说明：配置好后同步用户试试，如果正常图0735李震16:12:26默认情况下：LDAP过滤条件中填写(objectClass=user)则只同步一级目录项目上使用基线版本进行域同步时，如果域的组织有多层，在LDAP过滤条件中增加：LDAP过滤条件为：(objectClass=user)域用户同步如果同步多级用户：。

windowsserver2012AD域服务器的搭建安装⼦域的创建加⼊客户机加⼊... 1，安装Active Directory域前的准备⼯作2，安装Active Directory域3，加⼊⼦域（可选）4，加⼊客户机******************************************************************************************************⼀，准备⼯作没有相关条件，，所以使⽤VMwork代替了，vmwork10及以上都可以，本⼈⽤15使⽤了4台Windows server 2012 虚拟机来搭建ad域其实1台就可以搭建⼦域域控制器虚拟机是⽤来展⽰⼦域加⼊⽅法的，，⽗域控制器2⽤来展⽰⼀个域可以加⼊多个域控制器的，客户机是⽤来演⽰普通pc加⼊ad域环境的，，，所以这三个有⽆都可以。

4台虚拟机配置如下关于⽹络最好加⼊同⼀个lan区段安装虚拟机过程不做赘述*********************************************************************************************************2，安装ad域启动⽗域域控制器虚拟机启动完成后，我们要完成以下步骤1，使⽤administrator管理员账户登录服务器同时改密码必须要有数字字母和标点符号，，不然在安装ad域时会不符合密码要求。

********************注意：密码必须要同时有字母，数字和标点符号，，，必须有，不然在安装ad域时会不符合密码要求。

2，关闭防⽕墙回到桌⾯3，更改ip地址开始安装ad域点击将此服务器提升为域控制器字样由于是创建域所以我们选择添加新林新林就是新的域我随便编了个域输密码，越复杂越好，，，必须有数字字母标点符号如果出现红⾊警告要注意了必须解决⽐如不设置密码密码复杂度不符合要求等必须解决才能安装安装后会⾃动注销成功//////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////ad域安装完成可以使⽤客户机测试客户机设置 ip dns ⼀定要设置为域服务器的ip客户机加⼊域输⼊域服务器的账户及密码提⽰加⼊域成功***************************************************************************************************************************** 3，添加第⼆个域控制器到主域同样使⽤管理员账户密码必须有字母数字及标点符号，，防⽕墙关闭配置ip dns为⽗域服务器的ip下⼀步下⼀步下⼀步下⼀步安装点击将此服务器提升为域控制器选择第⼀个输⼊域点击选择弹出账号框**********账户名为域名\administrator ******************我的域为 域名为cn 那么我输⼊时要输⼊ cn\administrator密码为⽗域域服务器的administrator⽤户的密码选择域下⼀步创建该控制器的密码字母数字标点符号要有⼀直下⼀步安装成功这时域已经有两个域控制器⼀个客户机了****************************************************************************************************************************************************** 4，安装⼦域打开⼦域域控制器虚拟机设置密码设置ip dns dns为⽗域控制器的ip关闭防⽕墙打开服务器管理器》管理》添加⾓⾊和功能下⼀步勾选域下⼀步在下⼀步在下⼀步安装点击蓝字将此服务器提升为域控制器选择在⽗域名中输⼊⽗域名点击选择弹出windows安全输⼊⽗域控制器的⽤户名和密码***********************************注意输⼊⽗域的********************************确定选择⽗域在新域名输⼊新的域名点下⼀步设置密码字母数字标点符号都要有下⼀步下⼀步下⼀步下⼀步安装成功。