部署活动目录将客户机加入域

一、安装条件∙∙安装者必须具有本地管理员权限∙操作系统版本必须满足条件（windows server 2003 除WEB版外都满足）∙本地磁盘至少有一个NTFS文件系统∙有TCP/IP设置（IP地址、子网掩码等）∙有相应的DNS服务器支持∙有足够的可用空间二、安装安装活动目录：1、插入系统光盘。

2、打开【开始】菜单，单击【运行】命令，键入“Dcpromo”后单击【确定】按钮。

3、在出现的AD安装向导窗口中，单击【下一步】按钮。

4、出现操作系统兼容窗口，单击【下一步】按钮。

5、出现域控制器类型窗口，选中【新域的域控制器】，单击【下一步】按钮。

6、出现选择创建域的类型窗口，选中【在新林中的域】，单击【下一步】按钮。

7、出现新建域名窗口，键入要创建的域的域名，单击【下一步】按钮。

8、出现域NetBIOS名窗口，键入域的NetBIOS名，单击【下一步】按钮，向导会自动创建。

9、出现数据库和日志文件窗口，保持默认位置即可，单击【下一步】按钮。

10、出现共享的系统卷窗口，注意，文件夹所在分区必须是NTFS分区，保持默认位置即可，单击【下一步】按钮。

11、如果当前设置的DNS无法解析的话，会出现一个DNS注册诊断的窗口，可以选择第二项，把本机装成DNS服务器，单击【下一步】按钮。

12、在弹出的权限窗口中，保持默认选项即可，单击【下一步】按钮。

13、出现要输入目录还原模式的管理员密码，此密码用于【目录服务还原模式】下，单击【下一步】按钮。

14、向导会显示摘要，单击【下一步】按钮。

15、向导开始安装活动目录。

16、出现安装完成窗口，单击【完成】按钮，重新启动计算机即可。

卸载活动目录：1、打开【开始】菜单，单击【运行】命令，键入“Dcpromo”后单击【确定】按钮。

2、在出现的AD安装向导窗口中，单击【下一步】按钮。

3、向导会询问此服务器是否是域中最后一个域控制器。

如果域中没有其他的域控制器，选中它，单击【下一步】按钮。

DNS服务器的部署与配置实验背景：在Internet网络发展的早期，由于IP地址不便于记忆，网络互联的方式主要通过购买hosts 文件进行域名的解析，当时，进行网络互联的计算机并不是很多。

随后，随着计算机网络的不断发展和普及，越来越多的计算机使用了域名，然而强大的hosts文件再也不能满足于现代的网络需求，DNS（Domain Name System，域名系统）便应运而生。

DNS相对应hosts文件而言，进行了强大的改进，主要采用分层结构进行部署，包括：根域、顶级域（包括组织域、国家域或地区域、反向域）、二级域和主机名称。

域名空间的层次结构类似一个倒置的树，其中根为最高级别，大树枝处于下一级别，树叶则处于最低级别。

这样可以将巨大的信息量按层次结构划分成许多较小的部分，将每一部分存储在不同的计算机上，形成层次性、分布式的特点。

这样一方面解决了信息的统一性，另一方面信息数据分布面广，不会形成瓶颈，有利于提高访问效率。

实验目的：1、学会安装DNS服务器2、会在DNS服务器上新建正反查找区域3、新建资源记录（包括主机、别名以及SRV记录）4、会对转发器和根提示进行配置5、掌握DNS的区域传输6、配置客户机的DNS设置7、理解DNS服务器和AD之间的关系实验网络拓扑：实验步骤1. 安装DNS服务（通过管理您的服务器进行安装，也可以通过添加/删除程序进行安装）DNS服务器要为客户机提供域名解析服务，必须具备以下条件：a、有固定的IP地址b、安装并启动DNS服务c、有区域文件，或者配置转发器，或者配置根提示1.1、在Service 2（操作系统为windows server 2003）单击“开始”菜单，选择“管理工具”---“管理您的服务器”，然后选择“添加或删除角色”等服务器检测完所有的网络参数之后，选择“DNS 服务器”，系统开始安装DNS服务。

安装过程中，需要windows server 2003系统安装光盘里的两个文件，都在I386下，可以通过物理光驱添加购买的光盘进行安装，也可以通过虚拟光驱，添加对应的ISO镜像文件进行安装，安装过程中需要两次添加DNSMGR.DL_文件。

域控制服务器2003服务器架设和加入域图解教程一、（域控制服务器）2003服务器架设1.首先安装2003企业版原版，真正的微软2003企业版（（（原版））！我给出2003企业版原版的下载地址： cd1迅雷下载地址：thunder://QUFodHRwOi8vZG93bi54bHlsdy5jb20vRG93bmxvYWQuYXNwP0lEPTIyNiZ zSUQ9MFpa (我不喜欢回复才可以下载愿意冒个泡的就回复下）Disc 1光盘镜像文件名：cn_win_srv_2003_r2_enterprise_with_sp2_vl_cd1_x13-46432.iso文件大小：608 MB (637,917,184 字节)发布日期 (UTC)：4/27/2007 11:06:15 PM上次更新日期 (UTC)：3/28/2008 2:37:04 AMSHA1：D0DD2782E9387328EBFA45D8804B6850ACABF520MD5：1017479075166BA7DD762392F8274FE3至于安装过程我就不详细解释了自己百度百度是我们最好的老师、。

这里服务器域管理 IP 192.168.0.254 子网掩码255.255.0.0 DNS首选服务器192.168.0.254因为是域控制是首选DNS指向服务器客服端也是一样！还有一点我们在域控制上新建一个用户（admin) 然后加入域管理员组里把所有电脑远程控制设置成被连接不准主动连接这样一个公司就你一个人可以用3389端口用你的域管理员账号很爽的你试试就知道了2.架设2003域控制器（1）开始-管理工具-管理我的服务器-添加或删除角色-先安装DNS服务器-再先安装DNS服务器完成重启电脑选择新域控制器额外控制器是备份和主控制器是同步更新的这里不讲了选择新林中的域输入一个域名比如默认就可以了这里提示DNS诊断错误是正常的选择安装DNS服务器此处的密码请牢记以后会用到！这里域控制器就OK了完成后请重启电脑。

Active Directory部署之完全手册本篇文章中所有的成员服务器均采用微软的Windows Server 2003，客户端则采用Windows XP。

首先，当然是在成员服务器上安装上Windows Server 2003，安装成功后进入系统，我们要做的第一件事就是给这台成员服务器指定一个固定的IP，在这里指定情况如下: 机器名:AmericanIP:192.168.0.253子网掩码:255.255.255.0DNS: 192.168.0.253 (因为我要把这台机器配置成DNS服务器)点开始—运行输入dcpromo:待活动目录安装向导启动:点击下一步:这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

然后点击“下一步”：在这里由于这是第一台域控制器，所以选择第一项:“新域的域控制器”，然后点“下一步”:既然是第一台域控，那么当然也是选择“在新林中的域”, 然后点“下一步”:我们把DNS Server与域控制器集成是有很多好处：1、基于Active Directory 功能的多主机更新和增强的安全性。

2、只要将新的区域添加到Active Directory 域，区域就会自动复制并同步至新的域控制器。

3、通过将DNS 区域数据库的存储集成到Active Directory 中，可以针对网络简化数据库复制规划。

4、与标准DNS 复制相比，目录复制更快捷、更有效。

5、该目录中只能存储主要区域。

DNS 服务器不能在目录中存储辅助区域。

因此，它必须在标准文本文件中存储这些数据。

如果将所有的区域都存储在Active Directory 中，Active Directory 的多主机复制模式将不再需要辅助区域。

OK，我们默认然后点“下一步”：在这里我们输入我们预先想好的域名：然后点“下一步”：这里是指定NetBIOS名，注意千万别和下面的客户端冲突，也就是说整个网络里不能再有一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采用默认的好，省得以后麻烦。

AD如何委派权限可以让域用户有加入域的权限|突破10AD如何委派权限可以让域用户有加入域的权限|突破10次限制。

我们知道windows2003活动目录域AD默认系统只允许域管理员，对一台机器可以进行加入和退出域的操作。

我如何能创建一个非管理员的域用户，让他有权限对下面客户机进行加入域和退出域的操作。

回答：默认时，普通用户也可以加入域，不过这有次数限制，不能超过10次。

此外，我们还可以通过委派权限的方式赋予普通用户加入域的权限。

通过委派方式获得的权限，没有次数限制。

委派AD管理权限的步骤如下：1. 打开Active Directory用户和计算机管理。

2. 在需要委派的域或者OU上，点击右键，选择委派控制。

3. 根据向导，选择委派权限的帐号，单击下一步。

4. 选择委派以下常见任务，选择“将计算机加入域”，单击下一步。

5. 点击完成即可。

这个策略只要在DC上应用即可，因为在域中添加工作站，实际是在域中创建计算机帐户，所以只要在DC上应用该策略即可。

这个策略，在Windows Server 2003的域中，默认就已经启用。

罗俊华在线合作伙伴支持工程师-------------------------------博主PS：这里给大家介绍一个普通用户突破加入域10次的限制!就是在adsiedit.msc里对ms-ds-machineaccountquota这个限制项的次数做更改。

注意需要安装support tools工具！步骤如下图：不过，你在做这次改动之前要将普通用户的账号加入authentication users组里去!才可以达到目的！否则也是徒劳无功的！。

AD活动目录
实验一
虚拟机1（AD服务器）：
1.设置AD服务器的IP，操作如图：
2.开始----管理工具----配置您的服务器向导。

安装AD活动目录，并配置域控名称为
，操作如图：
3.
工
3.安装过程中，同时系统会自动安装DNS，安装成功后重启计算机。

注：没有打印下来的页面设置，使用默认即可。

虚拟机2
1.设置客户机的IP，操作如图：
2.加入域：我的电脑->属性->计算机名->更改->域，域输入：, 输入虚拟机1
管理员用户名和密码，添加成功，欢迎加入域，，操作如图：
实验二
1. 在虚拟机1中添加AD活动目录用户：cssp39,登录名为cssp39@，其中**为学号，操作如图：
.
2.虚拟机2登录界面，选择域，使用域用户cssp39登入到域中，操作如图：
实验三
1.虚拟机1中，开始菜单->管理工具->管理您的服务器，选择管理AD域中的用户和计
算机，操作如图：
2.选择域中的计算机->属性->管理,进行相关管理，操作如图：
总结：
在实验过程中注意以下几点：
1.若已经安装了DNS服务器，先将其卸载，因为在AD活动目录安装过程中会自动安装并
进行相关的设置，另外，先将系统光盘放入虚拟机。

2.在AD目录中密码的设置比较复杂（开始------管理工具-----域安全设置），修改密码的设
置（设置后使用“gpupdate”命令更新）操作如图：
3.AD服务器的虚拟机和客户机的虚拟机的备份能来子同一台计算机，否则它不能识别。

4.
这两个登陆后的界面都是：。

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置）【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验步骤】一、安装活动目录1）新建DC的角色。

在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如: 或者或者之类的DNS全名。

按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。

NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。

网络操作系统管理课程实训报告学生姓名学号一、实训目标理解域用户帐户与组帐户的特点、用途，掌握管理域用户帐户与组帐户的方法与步骤。

二、实训环境2台Windows Server 2022服务器和1台Windows 10客户端。

三、实训内容1. 创建如下域并部署额外域控制器，如下图所示。

2. 在域test中有三个部门：销售部、培训部和技术支持部，现在需要为这三个部门分别建立组织单位，并把每个部门的计算机加入各自的组织单位中。

3. 在域test中，为公司员工创建域用户帐户，并设置域用户帐户的个人信息。

4. 对某些用户（如临时员工），设置这些域用户帐户的登录时间以及限制登录地点。

5. 如果用户alice由于生病而在一段时间内无法上班，请禁用她的域用户帐户。

6. 如果一个用户忘记了自己的帐户密码，为其重设帐户密码。

7. 一个用户辞职后离开了公司，请删除该用户的用户帐户。

8. 创建组帐户，并把一些用户帐户加入这个组帐户中。

9. 委派用户emma对销售部OU的管理权（创建、删除和管理用户帐户）。

三、实训成果在计算机server1上安装活动目录域服务，将其变为域test内的第一台控制器。

添加角色和功能安装“Active Directory域服务” 将此服务器提升为域控制器配置“新林的根域名”创建额外域控制器，配置计算机server2，同server1配置“添加到现有域”部署配置新建域用户帐户设置域用户帐户的个人信息限制域用户帐户的登录时间限制登录地点禁用账户或重置密码删除用户帐户新建本地域组把用户帐户加入组中配置委派控制添加委派用户委派常见任务四、实训体会通过本单元的学习，掌握了管理本地用户与组帐户、域活动目录域服务的方法，主要包括：本地帐户概述、管理本地用户帐户和组帐户、安装活动目录域服务、管理域用户帐户、组帐户和组织单位和组策略概述。

通过本次实训，了解了常用的系统内置帐户、组策略概念，理解本地帐户的概念和用途，域及其相关组件的概念、域内常用帐户的概念。

活动目录与用户管理
一.创建活动目录
1.开始→程序→管理工具→管理您的服务器→（单击）添加删除角色→配置您的服务器向导→（选择）域控制器→安装
在新域的界面输入新的完整的域名
在NetBIOS域名窗口确认NetBIOS
在“数据库日志文件文件夹”窗口接收数据库和日志文件的默认位置，或者浏览另一个位置
在共享系统卷窗口中设置SYSYOL文件的位置必须在NTFS分区
在权限窗口中选择一个权限选项（取决于客户端的WINDOW版本）若网络中有NT系统控制器选择第一项，若网络中全部是DNS服务器选择第二项
在“目录服务还原模式的管理员密码”窗口中，设置一个密码。

这个密码用于文件损坏后的
恢复
单击下一步后，完成服务器配置。

2.安装完毕重启windows server2003
二.安装后检查
1.查看windows server2003计算机名
2.查看活动目录对象
三．创建域用户管理
在下图窗口中，可以看到企业的域名，单击域。

查看详细的信息，右侧显示全部的域中的各个容器。

四．将Windows XP加入域中。

1.2.6 将计算机加入到域默认将普通域用户能够向域中添加10个计算机，域管理员没有这个限制。

也可以更改组策略允许普通用户将计算机加入到域且没有数量限制。

将计算机加入到域其实就是和域控制器建立信任的过程，计算机通过和域控制器共享了一个信任密钥建立信任，信任丢失，需要将计算机退出域，再次加入域，重新建立信任。

将计算机加入域时会自动在活动目录中创建计算机帐号，每台加入域并运行Windows NT、Windows 2000、Windows XP 或Windows Vista 的计算机或者运行Windows Server 2003 或Windows Server 2008 的服务器都具有一个计算机帐户。

与用户帐户类似，计算机帐户对访问网络和域资源提供了一种身份验证和审核方式。

每个计算机帐户都必须是唯一的。

默认计算机帐号存储在域中computers中。

可以根据需要将计算机帐户移动到别的组织单元。

也可以先在域中特定的组织单元中创建计算机帐号，然后再把计算机加入到域。

您也可以使用脚本将计算机加入域。

@echo offNetdom join %computername% /domain: /UserD:administrator /PasswordD:a1！/REBoot:5如图1-38所示，将以上内容放到记事本文件中，记事本文件扩展名更改成.bat，在客户端执行该批处理文件就能将客户端自动加入到域。

图 1-38 脚本内容以下脚本将会将计算机加入到域中“服务器组”组织单元中。

@echo offNetdom join %computername% /Domain: /ou:ou=服务器组,dc=ess,dc=com /UserD:administrator /PasswordD:a1！/REBoot:5任务：◆将Windows XP加入到域◆将Windows Server Core加入到域◆查看计算机帐号的默认位置步骤：1.如图1-39所示，在marketPC1上，更改使用的DNS服务器。

1、安装dc,首先把系统光盘放入，在“运行”中输入dcpromo2、按照安装向导，进行安装。

下一步3、在这里，因为我是安装的第一个域，所以选择新域的域控制器。

现有域的额外域控制器是指辅助域控制器，如果要给一个域创建辅助域控制器时，选择此项。

4、同样，这里是一个新林，所以选择“新林中的域”。

如果创建子域，则选择“在现有域中的子域”，创建林中的新域时，选择“现在林中的子域”。

5、输入所创建域的域名。

域名的解析，DNS在域中的作用有两个，一是定位DC，一是作域名解析。

7、选择操作系统的兼容版本。

8、为活动目录设置还原密码，还原密码在后面备份、还原活动目录时，需要输入还原密码，在这里先不多说。

9、下面等待自动安装。

10、安装完成，需要重启计算机。

11、将客户机加入域，我的电脑-属性-计算机名-更改-域，输入要加入的域名12、输入域管理员的用户名和密码，进行身份验证。

13、加入域完成，要重启客户机。

命令打开方式，dsa.msc.15、创建用户在右边的窗口空白处，右击-新建，可以看到新建的所有选项。

16、新建用户择。

18、创建用户组。

19、将用户加入组。

20、还可以设置某个用户可以用哪些计算机登录。

21、设置用户在哪些时间可以登录域22、创建OU23、输入OU的名称24、作OU的委派控制。

25、添加要委派有用户。

26、选择要委派哪些权限。

27、取消委派。

查看-高级功能28、选择OU,29、右击OU-属性30、安全-高级-权限31、删除已委派有用户。

总结：域：将网络中多台计算机逻辑上组织到一起，进行集中管理，这个网络环境叫做和域。

活动目录：首先活动目录是一个大型数据库，存储网络的用户账号及目录数据库。

其次，活动目录也是一种服务，提供管理和控制网络的服务。

如果在工作组环境中，计算机上已经创建了用户和组，这时安装完DC后，这些用户将变成域用户账户。

活动目录存储账户的路径：C：\windows\NTDS\NTDS.DAT本地域组：使用范围是本域，通常是针对本域的资源创建本地域组。

活动目录的安装与windows 2000 server不同，为了安全起见，windows server 200 3初始安装时几乎不提供任何的服务。

因此，安装活动目录与其他服务器一样，也需要有系统管理员手工安装，从而将普通的服务器升级到域控制器。

2.1.1 记录与设置服务器的相关的参数将windows server 2003升级到域控制器时候，首先应对计算机的相关的参数的设置。

以administration登陆到windows server 2003计算机，显示网络连接属性，查看当前的TCP/IP地址,如下图所示：注意：对于要升级到active directory服务器的计算机来说，首选DNS服务器必须设置为本机的IP地址。

2.1.2 升级到活动目录所谓域控制器，其实就是安装了活动目录的windows server 2003的计算机。

第一步：用administration登陆到windows server 2003计算机上，在“开始”——“允许——“dcpromo”，开始进行活动目录的安装。

在“操作系统的兼容性”对话框中单击“下一步”按钮。

显示“域控制器类型”对话框。

如下图：第二步：选择“新域的控制器”单击“下一步“按钮，弹出“创建一个新域“对话框。

第三步：选择“在新林中的域“单击”下一步“，显示”新的域名“对话框。

第四步：输入““，单击”下一步“，显示“NETBIOS域名”对话框，在此选择默认即可。

第五步：单击“下一步“按钮，显示”数据库日志文件夹“对话框，选择默认即可。

第六步：单击“下一步”按钮，显示”共享系统卷“设置对话框，选择默认即可。

第七布：单击“下一步”按钮，选择“在这台计算机上安装并配置DNS服务器，并将这台DNS服务器设置为这台计算机的首选DNS服务器。

”第八步：单击“下一步”按钮，显示权限设置对话框，在此选择“只与windows 2003或windows server 2003操作系统兼兼容的权限”如果网络中有以前的网络操作系统，选择“与windows 2000之前的操作系统兼容的权限”。