Windows Server2008域控建域加域手顺书

5-2 创建Active Directory 域我们使用下图来介绍如何创建第1个林中的第1个域（根域）。

创建域的方法是先安装一台Windows Server 2008服务器，然后将其升级为域控制器。

再架构此域的第二台域控制器（Windows Server 2008）、一台成员服务器（Windows Server 2008）与一台加入域的Windows Vista 计算机。

首先将上图左上角的服务器升级为域控制器，也就是在其内安装Active Directory 。

当运行这个升级工作时，因为它是第一台域控制器，因此这个升级过程会同时完成以下的工作：☻ 创建第一个林☻ 创建此新林中的第一个域树状目录☻ 创建此新域树状目录中的第一个域☻ 创建此新域中的第一个域控制器在创建上图中第一台域控制器 时，它会同时创建此域控制器所属的域 ，同时也会创建域 所属的域树状目录，而域第一台域控制器 &DNS 服务器 IP:192.168.8.1/24 DNS:192.168.8.1 第二台域控制器IP:192.168.8.2/24DNS:192.168.8.1成员服务器 IP:192.168.8.3/24 DNS:192.168.8.1 加入域的WindowsVista vista IP:192.168.8.4/24DNS:192.168.8.1也是此域树状目录的根域。

由于这是第一个域树状目录，因此它同时也会创建一个新林，林名就是第一个域树状目录的根域的域名，也就是。

域就是整个林的林根域。

5-2-1 创建域的必要条件在将Windows Server 2008服务器升级为域控制器前，请注意以下事项：☻DNS域名请提前为Active Directory域想好一个符号DNS格式的域名，例。

☻DNS服务器由于域控制器需要将自己登记到DNS服务器内，以便让其他计算机通过DNS 服务器来找到这台域控制器，因此必须要有一台可支持Active Directory的DNS服务器，也就是它必须支持SRV RR，且最好能支持动态更新。

域网络的搭建目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?我们现在就动手实践一下:本篇文章中所有的成员服务器均采用微软的Windows Server 2008，客户端则采用Windows7系统。

第一步首先，当然是在成员服务器上安装上Windows Server 2008，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 注意：网络设置使用静态ip机器名:ServerIP:192.168.0.59子网掩码:255.255.255.0默认网关:192.168.0.1DNS:192.168.0.59(因为我要把这台机器配置成DNS服务器) dns的安装就不做介绍了第二步安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”在这里直接点击“下一步”: 这里是一个兼容性的要求，选择windows2008及以上的操作系统来做为客户端。

然后点击“下一步”: 在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”: 在这里我们要指定一个域名，我在这里指定的是，这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“FM”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

在这里要指定AD数据库和日志的存放位置，如果不是C盘的空间有问题的话，建议采用默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特殊情况，不建议修改:第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装了DNS，但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现响应超时的现像，所以在这里要选择:“在这台计算机上安装并配置DNS，并将这台DNS服务器设为这台计算机的首选DNS服务器”。

Windows Servers 2008＆1.1.1:用命令提升域控制器:1.1:因为window servers 2008 升级为域控制器要先安装Active Directory 域服务,安装服方法为在初始配置任务窗口,点击添加角色,在添加角色向导中选择服务器角色,选择Active Directory 域服务,待安装完毕后,在开始运行中输入dcpromo.exe开始升级域控＆2.1.1:备份还原2.1向导备份先安装Windows server Backup功能,待安装完毕后,在服务器管理器里选择Windows server backup向导,然后依向导备份;2.2利用命令备份a:先安装Windows server backup 及命令行工具和Windows powershell功能,,然后在开始运行中输入wbadminb:在命令行提示符中输入如下命令:Wbadmin get disks 回车显示出服务器已经连接的磁盘C:在命令提示符下输入如下命令:wbadmin start systemstatebackuup -backuptarget:f:回车显示询问是否将系统从c盘备份到F盘，键入Y回车然后开始创建需要备份卷的卷影副本并搜索系统文件，备份完成后，并且创建了一个备份文件日志；d:在命令提示符下输入如下命令：wbadmin get versions回车显示备份信息2.3：恢复系统文件（命令下）a：重启系统进入目录还原模式并以本地管理员登录输入还原密码b：打开命令提示符输入如下命令：wbadmin get versions回车显示AD服务器的备份列表及需要注意每次备份中的版本标识符c：在命令提示符下输入：wbadmin start systemstaterecovery -version：05/14/2008-00:05回车输入Y开始还原3:拯救域控制器3.1.1 概述:主域控制器出现故障但管理员可以登录进去,首先将数据备份到其他硬盘并将辅助域控制器提升为主控,然后在原主控制器上运行dcpromo将其从AD中删除或者从装,再将其升级为辅助域控,最后升级为主控并恢复数据;主域控制器彻底损坏并且不能恢复,将其辅助域控提升为主控,重装原主控升级为额外域控,最后升级为主控并恢复数据.3.1.2 转移操作主机角色五种操作主机角色:RID主机角色、PDC模拟器角色、结构主机角色、域命名操作主机角色、架构主机角色；1：连接辅助域控制器（主域控可以登录）在主域控上Active Directory用户和计算机选项打开Active Directory用户个计算机并右击选择更改域控制器选项，在接下来的选择要提升为主域控的辅助域控；2：转移RID PDC模拟器角色、结构主机角色在Active Directory用户和计算机窗口中右击选择操作主机，然后以此更改RID、PDC、结构主机三个角色3：转移域命名主机角色在Active Directory域信任关系右击选择操作主机，然后更改该角色到辅助域控制器上面；4：转移架构主机角色打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到fsmo maintenance在此命令提示符下输入如下命令Transfer schema master 回车及完成命令5：查看架构主机角色a:使用Active Directory架构管理单元可以查看架构主机角色的位置，默认Active Directory并没有在MMC管理单元中显示，需要注册后使用，在辅助域控制器上面在运行中输入regsvr32 schmmgmt.dll确定即可b:在开始运行中MMC然后添加Active Directory架构，待完成后右击Active Directory架构在操作主机选项所显示的更改架构主机可以看到3.1.3恢复原主域控制器将主域控制器角色转移到辅助域控上后，徐将其提升为全局编录服务器，并在原主控上dcpromo命令删除原域控，然后重装系统并升级为额外愉快最后提升为主域控制器1：升级辅助域控为全局编录服务器在Active Directory站点和服务窗口以此展开Site、Default-First-Site-Name、servers、域名，然后右击NTDS Settings选择属性然后选择全局编录复选项，3.1.4 强制转移主机角色如果网路中的主域控制器完全损坏不能恢复，将辅助域控强行升级为主控及全局编录服务器，然后重装原主控，升级为辅助域控并升级为主控；a：打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到打开命令提示符输入：ntdsutil回车进入ntdsutil然后输入如下命令：roles回车进入fsmo maintenance 输入如下命令：connections回车进入server connections命令提示符下输入如下命令连接辅助域控制器connect to server 回车在server connections 提示符下输入如下命令：quit 按回车回到fsmo maintenance在此命令提示符下输入如下命令b：占用架构角色，在fsmo maintenance命令提示符下输入如下命令：Seize schema master回车显示角色占用确认对话框，提示网管管理员是否要占用架构主机角色，单击是将占用架构主机角色;c：占用RID主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize RID master回车显示角色占用确认对话框，提示网管管理员是否要占用RID Master主机角色，单击是将占用RID Master主机角色d: 占用PDC主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize PDC回车显示角色占用确认对话框，提示网管管理员是否要占用pdc主机角色，单击是将占用pdc主机角色e: 占用结构主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize infrastructure master回车显示角色占用确认对话框，提示网管管理员是否要占用infrastructure master主机角色，单击是将占用infrastructure master主机角色f: 占用域命名主机角色，在fsmo maintenance在此命令提示符下输入如下命令：Seize naming master回车显示角色占用确认对话框，提示网管管理员是否要占用infrastructure master主机角色，单击是将占用naming master主机角色，以上为强制夺取五个角色步骤；3.1.1 DNS数据库及DHCP数据库备份迁移1：DNS数据库备份还原:DNS服务器默认会在system%\system32\DNS 目录下创建数据库文件，其中backup文件夹是用来备份DNS数据库的，在备份前应当通过DNS控制台停止DNS服务器，2：DHCP数据库备份即还原a:DHCP数据库默认在window\system32\dhcp文件夹中，其中dhcp.mdb 为存储数据库文件其他为辅助文件，还有一个backup文件夹用来备份dhcp数据库。

在Windows Server 2008 R2环境中，域控制器（Domain Controller, DC）是Active Directory（AD）服务的核心组件，负责存储目录数据、执行身份验证和授权操作。

以下是一个基于该环境的域控服务器管理案例分析，涵盖从安装配置到日常管理与故障排查。

案例背景：假设某公司计划升级其IT基础设施，决定部署一台新的Windows Server 2008 R2 Enterprise版服务器作为主域控制器来管理整个企业的用户账户、组策略、文件服务以及网络资源访问权限。

案例步骤与分析：1.安装与配置域控服务器：o准备硬件：确保服务器满足系统要求，有足够的内存、磁盘空间以及冗余电源等。

o安装操作系统：安装Windows Server 2008 R2并完成基本配置。

o安装AD DS（Active Directory Domain Services）角色：通过服务器管理器添加角色和功能，选择“Active Directory 域服务”进行安装，并运行dcpromo.exe工具启动AD安装向导，根据企业需求配置森林根域名、域功能级别等参数。

o DNS配置：在安装过程中将域控制器配置为DNS服务器，或者事先安装DNS角色并将新域控制器配置为自身的首选DNS服务器。

2.日常管理与维护：o用户账户管理：使用Active Directory用户和计算机管理工具创建、修改和删除用户账户、组织单位（OU）结构，以及分配权限和组成员资格。

o组策略应用：通过组策略管理控制台编辑和链接GPO（组策略对象），实施桌面配置、软件分发、安全设置等策略。

o系统健康检查：定期运行dcdiag和netdiag工具进行系统健康性检查，确保域控制器状态良好，同步正常。

o备份与恢复：制定并执行域控制器的备份计划，包括系统状态备份，以防意外情况下的快速恢复。

3.故障排查与扩展：o域账户故障：当出现域账户登录问题时，可能需要检查账户状态、密码策略、域信任关系或Kerberos 协议问题等。

Windows域的创建与加⼊教程⼀、说明以前看书的时候时常看到“域”这个词，后来听⼀些渗透的演讲通常会说进⼊内⽹后⾸先要找域控。

在认知中“域控”应该是域管理服务器⼀类的东西，但毕竟没有实现过所以还是不太懂长什么样。

前段时间朋友电脑打不开，说是被设置了要在⼀段时间内向域控保持⼼跳，不然要重新输⽤户名密码登录；然后⼜讨论了⼀下域控这东西，感觉还是不太清楚，趁着有时间来研究⼀下。

以下我使⽤vmware安装了两台Windows，⼀台是Windows Server 2008 R2，做域控，IP为192.168.220.149；⼀台是Windows，⽤于演⽰加⼊域，IP为192.168.220.131。

⼆、Windows Server 2008 R2创建域控家庭版和旗舰版都是不能创建域控的，需要服务器版才有该功能。

这⾥以Windows Server 2008 R2作为演⽰，2012等版本操作可能有点区别，但本质应该⼀样的，这⾥只是想了解本质上是怎么⼀个过程所以就不在意2008是否版本过⽼了。

输⼊要创建的域名称，我这⾥以为例如果是DHCP 那可能每次IP 都会变所以最好配置为固定IP ，但vmware 虽然是DHCP 但⼀般分配的IP 都不会变，所以我这就不管了。

域⽂件存放⽬录，我这⾥使⽤默认设置域Admonistrator的密码，这只是在还原时使⽤。

确认等待安装完成确保⽹络与域控相通选中当前使⽤的⽹卡，右键，属性前⾯说过vmware通过DHCP分配的IP其实是固定的，所以IP就不⽤管了，主要是把DNS改成域控IP。

（很明显，不使⽤域控做DNS，就不能正确解析我们创建的“”）计算机名随便设，主要是填对域名这个⽤户密码是域控主机的⽤户名密码，⽽不是前⾯设的⽤于还原的⽤户名密码加⼊域前电脑是不需要⽤户名密码的开机直接⾃动进⼊桌⾯，加⼊域后开机如下注意，使⽤未加⼊域前的本地⽤户名密码还是可以登录的。

⽐如我这⾥未加⼊域前⽤户名为Administrator密码为空，所以我这⾥不输密码直接登录即可。

图解WINDOWS SERVER 2008 R2 域控制器安装过程有人将是从第一台DC开始的。

的确，AD的起点是从安装第一台DC开始的。

但是，可能很少有人会意识到在安装第一台DC 时，实际上是在部署AD的第一个域——根域，第一棵域树，乃至实现一个单域的域林。

只不过这个林中只有一棵域树，这棵域树中只有一个域，而且域中就只有这一台计算机——第一个DC。

由此可见，在企业中即使是在部署安装第一台DC之前，所考虑的并不仅仅是怎样去安装一台域控制器那么简单，而是要考虑好整个域林、域树的规划，以及相关服务，如：DNS服务等的规划的部署。

并且要考虑清楚，每一个服务实现的位置，每一个步骤实现的做法。

只有这样走下来，所部属的AD才能更大的满足现在和以后的需要。

在此，由安装域林中第一台DC的过程，可以了解到在部署前需要考虑的一系列基本问题。

一、DC网络属性的基本配置对于将要安装成为DC的服务器来讲，其系统配置以及基本的磁盘规划在此就不在累述了，但是关键的网络连接属性是必须要注意的。

可以通过打开本地连接的属性来进行配置其IP属性。

作为服务器DC的IP地址一定要是静态的IP地址，虽然不一定需要配置默认网关，但是DNS服务器指向一定要配置正确，因为AD的工作是紧密依赖于DNS服务的。

本实例中整个微软网络环境都是白手起家的，考虑让这第一台DC同时充当企业网络中的DNS服务器，故需要将其首选DNS服务器地址配置为本台计算机的IP地址（如图1）。

图1由于WIN08R2默认防火墙配置是根据连接网络类型来实施过滤的，所以，最好通过“网络和共享中心”将其网络类型有默认识别为的“公用网络”更改为“专用网络”（如图2）。

图2当然，除此之外，当前计算机的NetBIOS名，也就是计算机需要设置好，因为安装完DC后，再去进行修改操作是不明智的。

二、准备安装AD服务WIN08R2对于AD服务的安装与早期版本略有不同，可以通过“服务器管理”的角色添加来完成初始化的准备工作（如图3），打开“服务器管理”工具，展开“角色”节点，在右边窗口中点击“添加角色”。

一、加入辅助域控win2008-2 主域控：服务器2008-1，IP：192.168.1.30服务器win2008-2，IP：192.168.1.31，DNS配成win2008-1的IP，先将win2008-2加入域，加入后以域管理员登入win2008-2服务器，运行dcpromo,勾选高级模式安装，选下一步，继续下一步，选现有林--向现有域添加域控制器，下一步，默认已填入域名，设置里填入域管理员账户密码，下一步，默认不变，继续下一步，选是，继续，正在提升域，从父域复制相关的信息，经过几分钟后，提升完成，点击“完成”退出安装向导，重启生效，重启后以域管理员登入win2008-2，查看是否成为辅助域控，打开用户和计算机，看到已有两个域控，右键域名选操作主机，发现主域控是win2008-1,或输入netdom query fsmo,（2003需要安装系统盘Support目录下的support tools工具）五个角色都在win2008-1上，二、当主域控掉线时，辅助域控升级为主域控以域管理员登入主域控win2008-1,在user里建立用户111，win7客户端以用户111登入域，配置“隐藏和禁用桌面所有项目”的组策略，运行中输入gpmc.msc,组策略右键选编辑，用户配置--策略--管理模板--桌面--隐藏和禁用桌面上所有项目，选启用，进入辅助域控2008-2，发现组策略以自动同步，win7注销仍然以用户111登陆，发现组策略已生效，现在将主域控win2008-1关机，发现win7不能跟新组策略，一直停留在下面的界面，再把辅助域控win2008-2的IP改为原主域控的192.168.1.30，发现win7仍不能更新组策略，并报错，在win2008-2中输入netdom query fsmo,发现五个角色还是win2008-1，现在用命令行强制将主机和角色切过来：在命令提示符下输入ntdsutil回车，再输入roles回车，再输入connections回车，再输入connect to server ,提示绑定成功后，输入q推出，如图，输入问号可以看到一些帮助信息，现在用seize来进行强制夺取，分别输入：Seize infrastructure masterSeize naming masterSeize PDCSeize RID masterSeize schema master以上的命令在输入完成一条后都会确认要占用角色，选择是，选择是后，如图会看到报错，这是正常的，因为主域控win2008-1不在线，所以在夺取时会有这个出错信息，接下来的各个角色的夺取也会有这个出错信息，以上命令全部完成后，按q推出，再看下五个角色的所有者已经是win2008-2服务器了，现在win7客户端还不能从win2008-2更新策略,进入站点和服务，删除原win2008-1的NTDS Setting,再进入用户和计算机，删除原域控win2008-1,现在客户端win7已经能从win2008-2更新策略了，三、把修好的win2008-1再恢复成主域控现在把恢复后装完系统的win2008-1重新加入域，重启后先把win2008-1按照之前的步骤升成辅助域控，此时主域控win2008-2,辅助域控win2008-1同时在线状态，如需要将win2008-1恢复成主域控要进行以下操作：将五个角色从win2008-2迁移到win2008-1,进入主域控win2008-2的命令提示符输入：ntdsutil回车，再输入：roles 回车，再输入connections回车，再输入connect to server win2008-1,提示绑定成功后，输入q退出，如图：输入？可以看到提示，然后分别输入：Transfer infrastructure masterTransfer naming masterTransfer PDCTransfer RID masterTransfer schema master以上的命令在输入完成一条后都会有提示是否传送角色到新的服务器，选择”是“，如图：然后接着一条一条完成即可，完成以上按q退出界面，差点win2008-1是否已升级成主域控，在主辅域控命令提示符中都输入：netdom query fsmo,发现五个角色已经都在win2008-1上了，选用户和计算机--域名右键--操作主机，发现主域控已是win2008-1,最后再把两个域控的ip换回来，win2008-1,win2008-2,进入win2008-1的站点和服务--右键辅助域控win2008-2的NTDS Settings--去掉全局编录前面的钩，这时客户端命令提示符输入：gpupdate/force,然后ping ,发现默认域控是win2008-1的ip否则会是win2008-2，。

基于Windows 2008 server 搭建域控、域认证、智能卡登录部署说明北京天威诚信电子商务服务有限公司2011年6月文档属性目录一、安装DNS服务和安装IIS服务 (1)二、配置活动目录 (3)三、安装证书服务 (14)四、配置证书服务 (22)五、申请注册代理证书 (26)六、在iTrusCA2.4下配置、申请智能卡域用户证书到USBKey (35)七、配置活动目录信任iTrusCA2.4集成项说明 (36)八、添加第三方CA到活动目录的NTAuth store (37)九、配置组策略，分发根证书到所有域成员 (40)十、控制台本地计算机证书管理中导入信任根CA和中级CA (44)一、安装DNS服务和安装IIS服务点击“开始”->“所有程序”->“管理工具”->“服务器管理器”，在“服务器管理器”里面选择“角色”，并在右边点击“添加角色”。

选择“DNS服务器”和Web服务器（IIS）点击“下一步”，所有选项默认选择直至到达“安装页面”；安装完成，查看“DNS服务器”和“IIS服务”是否安装成功，点击“关闭”按钮二、配置活动目录返回“服务器管理”的“角色”页面点击“添加角色”，选择“Active Directory域服务”。

点击“安装”！安装完成，查看安装是否成功，点击“关闭”按钮！返回“服务器管理”页面，选择“Active Directory域服务”点击“运行Active Diretory域服务安装向导（dcpromo.exe）”不选择“使用高级模式安装”，点击“下一步”！选择“在新林中新建域”，点击“下一步”！在“目录林根级域的FQDN”处添加域名（可自定义填写），点击“下一步”在“林功能级别”处选择“Windows Server 2003”，点击“下一步”！在“域功能级别”处选择“Windows Server 2003”点击“下一步”点击“下一步”！在“Active Directory域服务安装向导”对话框点击“是”继续！默认路径无需更改点击“下一步”输入密码：Ab123456（可自定义，但要按照域的对密码的规格：大小写字母加数字！！）点击“下一步”！选择本服务器上安装配置DNS服务器，并设为本机首选DNS服务器，点击“下一步”；AD域服务安装完成，选择“完成后重新启动”选项，重启计算机；三、安装证书服务开机自动显示“初始配置任务”窗口，或是在“运行”里面输入“oobe”开启该窗口点击“添加角色”！点击“下一步”按钮！选择“Active Directory 证书服务”点击“下一步”！点击“下一步”！选择“证书颁发机构”和“证书颁发机构Web注册”两项，点击“下一步”！在弹出的“添加角色向导”对话框里面，点击“添加必需的角色服务”！选择“企业”，点击“下一步”选择“根CA”，点击“下一步”！选择“新建私钥”，点击“下一步”！此页面的选项默认选择。

目录一、搭建域控制器步骤 (2)二、搭建额外域控制器步骤（可搭建多个额外域控制器） (1)三、创建计算机账号和用户账号 (16)四、将员工电脑加入域 (22)五、将员工电脑退出域 (24)六、组策略--设置员工登录域后加入本地管理员组（这样员工自己可以安装卸载软件） (28)七、组策略—员工电脑禁用可移动磁盘 (31)八、组策略—密码复杂性 (32)九、组策略—域控制器不可用时客户机仍可以继续登录 (32)十、域共享文件夹和备份到额外域控制器 (33)一、 搭建域控制器步骤FERT 公司拓扑如下所示：1. DNS 前期准备DNS 服务器对域来说是不可或缺的，一方面，域中的计算机使用DNS 域名，DNS 需要为域中的计算机提供域名解析服务；另外一个重要的原因是域中的计算机需要利用DNS 提供的SRV 记录来定位域控制器，因此我们在创建域之前需要先做好DNS 的准备工作。

那么究竟由哪台计算机来负责做DNS 服务器呢？一般工程师有两种选择，要么使用域控制器来做DNS 服务器，要么使用一台单独的DNS 服务器。

这里直接使用域控制器来做DNS 服务器。

2.设置域控制器的TCP/IP 属性IP 地址设为静态，首选DNS 设为127.0.0.13.Win 键+R 输入dcpromo ，开始域控制器的创建主域控制器（也是DNS 服务器） 额外域控制器（也用DNS 服务器）员工电脑员工电脑 员工电脑 员工电脑交换机阅读操作兼容性说明，单击下一步按钮；在“选择某一部署配置”页面中，选择“在新林中新建域”；在“命名林根域”页面输入目录林根域的FQDN名，这里命名为;在“选择林功能级别”页面中选择林功能级别；注，以下是各种级别的支持度。

在“其他域控制器选项”页面中选择“DNS服务器”；设置数据库、日志文件和SYSVOL的存储位置；这里选择默认；在“目录还原模式的Administrator密码“页中，输入密码；在“摘要“页，检查所有的选择，单击下一步；开始安装和配置活动目录服务；安装完成后单击“完成”，如下图所示，服务器需要重启；二、搭建额外域控制器步骤（可搭建多个额外域控制器）设置TCP/IP属性为静态IP地址，DNS设为第一台域控制器的IP地址。

珠海长信网络科技有限公司WUSU部署手順書文書名:技術部手順黄錦濤（コウキントウ）制定・改定日:2013/07/12技術部Revision: 1.0目录一实验环境概述及要求 ..................................................................................................... - 1 -1.WUSU简介 .............................................................................................................. - 1 -2.WSUS安装要求........................................................................................................ - 1 -2.1要硬件要求.......................................................................................................... - 1 -2.2软件最低要求...................................................................................................... - 2 -2.3磁盘求................................................................................................................. - 2 -2.4自动更新要求...................................................................................................... - 2 -3. 本机配置.................................................................................................................. - 2 -二安装Windows Server Update Services ................................................................... - 4 -三配置Windows Server Update Services ................................................................. - 10 -四客户端Windows Server Update Services配置 ..................................................... - 15 -1.客户端配置：........................................................................................................... - 15 -2.添加WSUS 管理模板以及配置.............................................................................. - 15 -五注意事项..................................................................................................................... - 18 -六更新验证..................................................................................................................... - 19 -1.服务端： .............................................................................................................. - 19 -2.客户端.................................................................................................................. - 21 -一实验环境概述及要求在Hyper-V虚拟机中安装windows server 2008 R2 standard系统，安装Windows Server Update Services服务。

Windows server 2008域管理第一章Windows server 2008域的安装与管理指定林根域的名称：如密码要指定为强密码，就是复杂一点，如p@sswOrd这里指定为 p@sswOrd.Ip地址子网掩码网关地址 Dns服务器地址最好为静态地址，以防客户端加入域时遇到故障。

服务器的ip地址要和客户端的ip地址在同一个网段内，DNS服务器地址统一。

一：首先我们先安装活动目录， active directory（1）单机“开始”打开“运行”输入 dcpromo 单击确定按钮。

（2）弹出“active directory 域服务安装向导”选择“使用高级模式安装”下一步(3)选择“在新林中新建域”单击下一步（4）为域控制器指定名称“”（5）单击“下一步”“下一步”即可。

（6）弹出“设置林功能级别”在这里我们选着 windows server 2003，以防万一我们所在的域里面有其它的域控制器而导致不能正常通信的问题。

下面介绍一下这三种的林功能级别。

Windows xpWindows 2000 林功能级别提供在 Windows 2000 Server 中可用的所有 Active Directory 域服务功能。

如果您的域控制器运行的是更高版本的 Windows Server，则当该林位于 Windows 2000 功能级别时，某些高级功能将在这些域控制器上不可用。

Windows Server 2003Windows Server 2003 林功能级别提供在 Windows 2000 林功能级别中可用的所有功能，以及下列其他功能:- 链接值复制，它可以改善对组成员身份更改的复制。

- 由 KCC 更有效地生成复杂复制拓扑。

- 林信任，它允许机构轻松在多个林之间共享内部资源。

在该林中创建的任何新域将在 Windows Server 2003 域功能级别自动运行。

Windows Server 2008此林功能级别不提供 Windows 2003 林功能级别之上的任何新功能。

•部署windows域之2008 R2域控制器服务1、具有管理员权限2、windows server2008 R2(除WEB版外)3、本地磁盘至少有一个分区是NTFS文件系统4、配置静态的IP地址和子网掩码5、足够的磁盘空间查看操作系统版本查看TCP/IP参数信息Administrator管理员登录后，运行“dcpromo”命令打开“Active Directory”域服务安装向导阅读操作系统兼容性选择“下一步”在选择某一部署配置选择在新林中新建域命名根林域键入FQDN (完全合格域名)设置林功能级别选择“Windows Server 2008 R2”其他域控制器选项选择“DNS服务器”数据库、日志文件和SYSVOL的位置接受默认位置“下一步”目录服务还原模式密码输入并确认一个强密码“下一步”摘要阅读摘要如各项配置不正确选择“上一步”修改没有问题“下一步”开始安装和配置活动目录服务完成域服务安装向导“完成”重启计算机生效重启后的登录界面：将Win7加入 域条件1、确保该计算机和域控制器互相联通。

条件2、配置正确的DNS 地址。

查看TCP/IP参数配置协议用客户机ping 域控制器服务器的IP地址 192.168.9.1系统属性计算机名选项卡“更改”计算机名\域更改输入 “确定”“Windows 安全”对话框提示“确认”重启计算机开始——管理工具——Active Directory 用户和计算机查看加入域“”的NASH-PC。

如何在Win Server 2008R2环境下，把域帐户加到本地管理员组我们在大型企业中，经常不会用域管理员登陆，而是将某个OU下特定用户加入到全局组，或者将某个用户加入到本地管理员组中，但是局域网庞大，不可能一个个加入吧。

我大概总结了两种方法。

（1）通过MDT部署的方法，将镜像做好，就把域某个全局组或者域某个用户加入到本地管理员中，这种情况使用于公司系统升级。

（2）通过组策略实现： 1．使用域管理员登陆到DC。

2．打开记事本创建一个批处理文件，输入以下内容，并以*.bat保存： net localgroup administrators domain\user /add 其中，USER为你当前需要提升权限的用户名。

3, 运行gpmc.msc 4, 打开Group Policy Management -> Forest -> Domains ->点击到你当前的域 5, 右键新建组策略对象 6, 为组策略取名后单击下一步完成。

7, 在GPMC控制台上找到你刚刚新建的组策略后，右键单击edit。

8．打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。

9．在客户机的命令提示符下输入gpupdate /force，重启计算机。

通过以上方法就能达到我们需要的目的。

write by龙卷风 2012年4月6日。