创建WINDOWS 域

域的创建1.双击右下角本地连接：2.点击属性双击选择TCP/IP协议：3.配置静态IP地址：4.单击开始运行，输入dcpromo，并运行：5.单击下一步到域控制器类型选项卡：6.选择新域的控制器：7.单击下一步，至创建一个新域选项卡，选择在新林中的域：8.单击下一步，输入一个DNS全名：9.单击下一步，输入域的名称：10.点击下一步，选择数据库和日志文件文件夹放置位置：11.单击下一步，选择共享的系统卷放置位置：12.单击下一步，至DNS注册诊断选项卡，选择第二个：13.单击下一步，至权限选项卡，根据自己需求选择权限：11．单击下一步，设置还原密码：14.单击下一步，查看摘要：15.单击下一步，等待配置域控制器（DC）：16.完成并重启计算机。

17.单击开始菜单---程序---管理工具找到AD用户和计算机并打开：18.在中选择Domain Controllers:19.单击鼠标右键选择新建并选择新建用户：20.输入信息：21.单击下一步，输入密码信息：22．单击下一步，查看清单：22.单击完成，完成用户创建：加入域1.配置静态IP地址，DNS配置成域控制器IP地址相同：2.在桌面我的电脑图标上单击右键选择属性：3.选择计算机名选项卡：4.选择更改：5.选择隶属于“域”并输入名称：6.点击确定，输入用户名密码：7.点击确定，加入域成功：8.重启计算机：9.在登录框点击选项：10.在下拉选项卡单击选择需要登录的域：11.输入域控制器提供的用户信息：12.登陆成功。

域的降级1.在开始菜单里面选择运行，并输入dcpromo：2.单击下一步，并选择这是最后一个控制器：3.单击下一步，至确认删除选项卡，选择删除所有应用程序目录分区：4.单击下一步，并设置管理员密码：5.查看摘要：6．点击下一步，开始降级：。

w i n d o w s域控制器配置教程(总29页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面，使用请直接删除域控制服务器教程把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC 数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:Server子网掩码:DNS:(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

5-2 创建Active Directory 域我们使用下图来介绍如何创建第1个林中的第1个域（根域）。

创建域的方法是先安装一台Windows Server 2008服务器，然后将其升级为域控制器。

再架构此域的第二台域控制器（Windows Server 2008）、一台成员服务器（Windows Server 2008）与一台加入域的Windows Vista 计算机。

首先将上图左上角的服务器升级为域控制器，也就是在其内安装Active Directory 。

当运行这个升级工作时，因为它是第一台域控制器，因此这个升级过程会同时完成以下的工作：☻ 创建第一个林☻ 创建此新林中的第一个域树状目录☻ 创建此新域树状目录中的第一个域☻ 创建此新域中的第一个域控制器在创建上图中第一台域控制器 时，它会同时创建此域控制器所属的域 ，同时也会创建域 所属的域树状目录，而域第一台域控制器 &DNS 服务器 IP:192.168.8.1/24 DNS:192.168.8.1 第二台域控制器IP:192.168.8.2/24DNS:192.168.8.1成员服务器 IP:192.168.8.3/24 DNS:192.168.8.1 加入域的WindowsVista vista IP:192.168.8.4/24DNS:192.168.8.1也是此域树状目录的根域。

由于这是第一个域树状目录，因此它同时也会创建一个新林，林名就是第一个域树状目录的根域的域名，也就是。

域就是整个林的林根域。

5-2-1 创建域的必要条件在将Windows Server 2008服务器升级为域控制器前，请注意以下事项：☻DNS域名请提前为Active Directory域想好一个符号DNS格式的域名，例。

☻DNS服务器由于域控制器需要将自己登记到DNS服务器内，以便让其他计算机通过DNS 服务器来找到这台域控制器，因此必须要有一台可支持Active Directory的DNS服务器，也就是它必须支持SRV RR，且最好能支持动态更新。

windows 计算机加域委派方式在Windows计算机上，加入域并进行委派的方式可以通过以下步骤完成：
1. 打开“控制面板”并选择“系统和安全”。

2. 点击“系统”，然后在左侧导航栏中选择“高级系统设置”。

3. 在弹出窗口的“计算机名”选项卡下，点击“更改”按钮。

4. 在新弹出的窗口中，选择“域”选项，并输入要加入的域的名称。

5. 点击“确定”后，系统将提示输入具有加入域权限的用户凭据（例如域管理员账户）。

6. 输入正确的凭据后，系统会尝试连接到域，并将计算机添加到域中。

7. 完成加入域的过程后，需要重新启动计算机以使更改生效。

一旦计算机加入了域，你可以使用域管理员权限来进行委派操作。

以下是一些常见的委派方式：
1. 用户委派：在Active Directory中创建或编辑用户帐户，并分配相应的权限和角色，以授权用户在域中执行特定任务。

2. 组委派：创建或编辑组帐户，并将用户添加到组中。

然后，在组级别上授予特定权限和角色，以便该组的所有成员都能执行特定任务。

3. 计算机委派：使用域管理员权限，可以对特定计算机进行委派操作。

这包括配置计算机的安全设置、访问控制以及其他相关操作。

4. 服务委派：允许域管理员为特定服务分配权限，并指定哪些用户或组可以管理和控制该服务。

请注意，委派操作需要具有适当的权限和凭据才能进行。

确保以域管理员身份执行这些操作，并在进行任何更改之前备份重要的系统数据和配置。

《Windows网络操作系统》电子初九年级数学教案
图一公司域环境示意图
要求如下:
一．创建域long.,域控制器地计算机名称为Win二零一六-一。

二．检查安装后地域控制器。

三．安装域long.地额外域控制器,域控制器地计算机名称为Win二零一六-二。

四．创建子域china.long.,其域控制器地计算机名称为Win二零一六-三,成员服务器地计算机名称为Win二零一六-四。

五．创建域smile.,域控制器地计算机名称为Server一。

六．创建long.与smile.双向可传递地林信任关系。

七．备份smile.域地活动目录,并利用备份行恢复。

八．建立组织单位sales,在其下建立用户testdomain,并委派对OU地管理。

2008_域环境搭建目录第一章虚拟场景 (2)1、公司简介 (2)2、公司现有IT状况 (2)第二章实验设计 (3)1、域规划 (3)2、计算机规划 (3)第三章具体实施 (4)1、建立根域 (4)1.1准备 (4)1.2 安装 (4)2、建立子域 (13)3、额外域控制器建立 (18)4、站点的建立与连接 (25)4.1 创建站点 (25)4.2 定义站点子网 (26)4.3 定位服务器 (27)4.4 配置站点连接器 (28)5角色迁移 (28)第四章实验中的问题 (33)第一章虚拟场景1、公司简介某公司通过合理的运营和管理，发展迅速，员工人数已有200人左右，现在该公司总部设在长春，两个子公司分部在大连和沈阳，为了满足公司未来的发展和企业运营的需求，公司决定重新部署企业网络。

公司决定部署一个由200台计算机组成的局域网。

用于完成企业数据通信和资源共享。

公司内部有：人力资源部、行政部、财务部、工程部、销售部、总经理办公室2、公司现有IT状况公司已有一个局域网，运行200台计算机，服务器操作系统是windows server 2008，客户机的操作系统是windows xp，工作在工作组模式下，员工一人一机办公。

公司从ISP申请2M专线用于与各个子公司相连，实现各公司间资源交换与共享。

由于计算机比较多，管理上缺乏层次，公司希望能够利用windows域环境管理所有网络资源，提高办公效率，加强内部网络安全，规范计算机使用。

第二章实验设计1、域规划一改以往的工作组模式，组建域，使管理更方便，工作的环境更安全，用户可以在任意一台域内的计算机登录，共享网络资源。

在总公司长春建立根域内部子网172.16.18.0/24大连分部建立子域内部子网10.10.10.0/24沈阳分部建立子域内部子网192.168.80.0/242、计算机规划DC情况如下表:地区DC计算机名IP 子网掩码DNS长春Mywingc 172.16.18.51 255.255.255.0 172.16.18.51 Mywinsu 172.16.18.216 255.255.255.0 172.16.18.51大连Hanwin01 10.10.10.1 255.255.255.0 172.16.18.51 Hanwin02 10.10..10.216 255.255.255.0 172.16.18.512M沈阳Tbwin01 192.168.80.173 255.255.255.0 172.16.18.51 Shiwin02 192.168.80.215 255.255.255.0 172.16.18.51第三章具体实施1、建立根域1.1准备对于安装WINDOWS 2008 SERVER 的服务器，对硬件有如下要求：处理器最低1.0GHz x86或1.4GHz x64推荐2.0GHz或更高；安腾版则需要Itanium 2内存最低512MB 推荐2GB或更多内存最大支持32位标准版4GB、企业版和数据中心版64GB 64位标准版32GB，其他版本2TB硬盘最少10GB，推荐40GB或更多内存大于16GB的系统需要更多空间用于页面、休眠和转存储文件备注光驱要求DVD-ROM；显示器要求至少SVGA 800×600分辨率，或更高；在安装根域服务器前，首先要确定你的计算机IP地址（IPV4）为静态，DNS指向本机的IP地址（DNS安装会在下面操作中说明） IPV6 禁用1.2 安装在安装windows 2008 之后（安装过程不详细介绍），选择“开始”－“管理工具”—“服务器管理器”选项，然后选择添加角色在服务器角色中选择AD域服务（DNS不可与AD一起勾选）然后单击下一步，进入一个对AD的简介界面，单击下一步进入安装界面点击安装。

创建域控制器的步骤域控制器（Domain Controller）是Windows Server操作系统中的一种角色，用于管理和控制域内的计算机、用户和组。

创建域控制器是构建Windows域环境的重要步骤，本文将详细介绍创建域控制器的步骤。

步骤一：安装Windows Server操作系统需要在一台物理或虚拟机上安装Windows Server操作系统。

可以选择最新版本的Windows Server，如Windows Server 2019。

安装过程中需要选择合适的版本和安装选项，按照提示进行操作即可完成安装。

步骤二：设置静态IP地址在安装完Windows Server操作系统后，需要为服务器设置静态IP 地址。

静态IP地址可以确保服务器在网络中具有固定的IP地址，方便其他计算机与其进行通信。

可以通过进入网络适配器设置界面，手动设置IP地址、子网掩码、默认网关和DNS服务器等信息。

步骤三：安装Active Directory域服务角色在安装完Windows Server操作系统并设置好静态IP地址后，需要安装Active Directory域服务角色。

打开服务器管理器，选择“添加角色和功能”，在向导中选择“安装基于角色的安装”选项，并选择“Active Directory域服务”作为要安装的角色。

步骤四：创建新的域安装完Active Directory域服务角色后，需要创建一个新的域。

在创建新域之前，需要进行一些准备工作，如选择域的名称和域的功能级别等。

在创建新域的过程中，可以选择创建一个新的林（Forest）或加入一个已有的林。

根据实际需求进行选择，并按照向导的提示完成域的创建。

步骤五：设置域控制器选项在创建新的域后，需要设置一些域控制器选项。

这些选项包括设置域控制器的安全性选项、DNS选项、SYSVOL复制选项等。

根据实际需求进行设置，并按照向导的提示完成域控制器选项的设置。

步骤六：完成安装和配置在设置完域控制器选项后，可以开始安装和配置域控制器。

把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下:机器名:ServerIP:192.168.5.1子网掩码:255.255.255.0DNS:192.168.5.1(因为我要把这台机器配置成DNS服务器)由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下搬运右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

2.1 相关知识创建子域通常用于以下几种情况：一个已经从公司中分离出来地独立经营地子公司。

有些公司地部门或小组基于对特殊技术地需要，而和其它部门相对独立地运行。

基于安全地考虑。

创建子域地好处主要有以下几个方面：便于管理自身地用户与计算机，并允许采用不同于父域地管理策略。

有利于子域资源地安全管理。

在父子域环境中，由于父子域间会建立双向可传递地父子信任关系，因此父域用户默认可以使用子域地计算机；同理，子域用户也可以使用父域地计算机。

图2-1是子域与目录林地示意图。

图2-1 子域与目录林地示意图2.2 项目设计及准备在开始建立域树与林之前，若您对Active Directory域服务（AD DS）地概念还不是很清楚，请先参考项目2地内容。

基于未名公司地情况，构建如图2-2所示地林结构。

此林内包含左右两个域树。

左边地域树：它是这个林内地第一个域树，其根域地域名为long图2-2 AD DS网络规划拓扑图2.3 项目实施2.2.1 任务1 创建子域及验证下面通过将图2-2中dc2.beijing.long步骤 1 在dc2上以管理员账户登录，打开“Inter步骤 2添加“Active Directory域服务”角色与功能地过程，请参见2.2.1小节中地“2.安装Active Directory域服务”，这里不再赘述。

步骤 3 启动Active Directory安装向导（启动方法请参考2.2.2小节中地“4．安装活动目录”），当显示“部署配置”窗口时，选择【将新域添加到现有林】单选按钮，单击“未提供凭据”后面地【更改】按钮，出现“Windows安全”对话框，输入有权限地用户：long\administrator及其密码，如图2-3所示。

单击【确定】按钮。

图2-3 “部署配置”窗口步骤 4 出现提供凭据地“部署配置”界面，如图2-4所示。

请选择或输入父域：long图2-4 提供凭据地“部署配置”界面步骤 5 单击【下一步】按钮，显示“域控制器选项”对话框。

一为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Directory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Pert h。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

然后在共享文件夹中进行权限分配，如下图所示，我们只把共享文件夹的读权限授予了用户张建国。

系列文章链接‎如下：（点击名字即可‎进入）企业部署Wi‎n dows域‎实验案例企业域控DC‎管理案例企业Wind‎o ws域环境‎中的组策略应‎用案例一企业Wind‎o ws域环境‎中的组策略应‎用案例二前言：工作组网络模‎型只适合小型‎网络，如果企业网络‎中计算机和用‎户账户数量较‎多时，我们可以通过‎使用Wind‎o ws域，对网络资源进‎行集中管理，提高工作效率‎。

本篇博文通过‎两个案例的实‎施，介绍了创建W‎i ndows‎域并将计算机‎加入域，在域环境下如‎何对账户、组以及OU进‎行管理等。

在小型网络中‎，管理员通常单‎独管理每一台‎计算机，每台计算机都‎是一个独立的‎管理单元。

例如，在每台计算机‎中都需要为访‎问它的用户创‎建用户账户。

但当网络规模‎扩大到一定程‎度后，如超过10台‎计算机，每台计算机需‎要有10个用‎户访问，那么管理员就‎要创建100‎个以上的用户‎帐户，相同的工作就‎要重复很多遍‎。

虽然可以将用‎户需要访问的‎资源集中到某‎台服务器，但在实际中，并不是所有资‎源都可以很方‎便的集中在服‎务器上。

此时可以将网‎络中的计算机‎逻辑上组织到‎一起，将其视为一个‎整体，进行集中管理‎，这种区别于工‎作组的逻辑环‎境叫做Win‎d ows域，域是组织与存‎储资源的核心‎管理单元。

----------------------------------------------------------------------案例环境一：安装活动目录‎某公司有10‎0多台计算机‎和100多名‎员工，现在需要集中‎管理计算机、用户账户以及‎其他网络资源‎。

需要建立Wi‎n dows Server‎2008域，域名为yye‎。

案例描述：1）在服务器DC‎01上安装活‎动目录，域名为“”2）将客户机加入‎域3）创建域用户账‎户案例实施：1）检查DC01‎是否满足安装‎活动目录的条‎件。

一台计算机要‎安装成DC，必须具备以下‎几个条件：1.安装者必须具‎有本地管理员‎权限。

第四章创建windows域实验环境要求：开启二台windows2003虚拟机，yuanshi（客户端）还原初始化（setup）状态，并进行优化，domain-exchange作为DC，还原(domain)状态。

网络拓扑如下：实验背景：benet公司基于域模式管理网络资源，要求创建域，并将成员机加入域。

实验要求：1、客户端加入域2、DC创建以下OU及用户：OU名用户财务部cwu1 cwjl销售部xsu1 xsjl3、为cwjl做漫游配置文件，放在DC端E盘share共享文件夹内；用户主文件夹，放在DC端E盘disk共享文件夹，分别交互式（在clinet和dc）登录验证。

4、权限委派：委派xsu1用户管理本ou的创建、删除用户名和密码，验证后取消权限委派。

分别验证。

实验步骤如下：①：建立两台虚拟机分别为DC机（域服务器）和Client机（客户原始机）分别配置IP为：192.168.1.2（DC）和192.168.1.3（Client）首选DNS为：192.168.1.2使两台虚拟机互通，然后再将客户机加入域服务器，重新启动计算机。

②：在DC上点击→开始→控制面版→用户和计算机（AD）→分别在里建立OU财务部和销售部和用户：cwu1 xwjl xsu1 xsjl密码统一设为密码永不过期。

③：打开我的电脑→格式化E盘分别再建立共享文件夹share和disk然后分别给share 和disk设置共享Everyone更改和写入权限，安全选择user写入权限，设置dike同上在DC上点击→开始→控制面版→用户和计算机（AD）→销售部→cwjl→属性→配置文件，用户配置文件路径为\\192.168.1.2\share\%username 和主文件连接到D（自定义）\\192.168.1.2\disk\%username%然后在DC上点击开始→控制面版→域控制器安全策略→安全设置→本地策略→用户权限分配→允许在本地登陆→添加cwjl→确定在Client机上注销用户,再以cwjl用户登陆域,(做优化设置,添加经典模式)打开桌面属性→桌面→背景设置→选择图片windows server 2003然后确定(图片一定要选择gif格式)确定打开DC机,然后注销也以cwjl用户登陆,验证设置交换式登陆是否成功,如果允许两边同时登陆并且两边桌面背景都为windows server 20003桌面(原来在cwjl上设置的桌面背景)在cwjl打开我的电脑→网络驱动器上有个移动网络磁盘.那说明为cwjl做漫游配置文件和分别交换式登陆成功④:在DC上打开→开始→控制面版→用户和计算机,右键打开销售部→委派控制→下一步→选用的用户和组→添加用户xsu1→要委派下列常见任务,选择→创建,删除以及管理用户帐户在Client机上以管理员用户登陆→打开我的电脑→C盘→WINDOWS→system32→Adminpak.msi双击进行安装再在Client机上以xsu1登陆,右键打开开始→属性→选择经典『开始』菜单→自定义→添加显示管理工具→确定开始→程序→管理工具→用户和计算机→在旗下打开销售部分别创建和删除用户成功,说明委派成功.再回到DC机上打开开始→程序→控制面版→用户和计算机→点击销售部→查看→高级功能→右键打开销售部→属性→删除xsu1然后确定,再用Client以xsu1用户进入,然后在销售下分别建立和删除用户,如果不行,说明删除委派权限成功.2009年5月21日星期四。