AD活动目录攻略(全)

活动目录（Active Directory）系列之一：为什么我们需要域对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出 Active Directory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器 Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

AD DC服务器的搭建
1AD活动目录安装步骤一如图片步骤-1 （这个是打开AD活动目录安装向导的命令）；
如图片步骤-1
2AD活动目录安装步骤二如图片步骤-2 （这个界面已经进入到了AD的安装向导）；
3AD活动目录安装步骤三如图片步骤-3（这个是 AD的一些兼容性提示）；
4AD活动目录安装步骤四如图片步骤-4（这个是你的网络环境搭建的第一个AD服务器的选择项、如果是有了AD在加个备份AD就是选择下面那个）；
5AD活动目录安装步骤五如图片步骤-5（这个是搭建个DNS的域的域名我叫黄鑫我就做个我的名字的域名了）；
6AD活动目录安装步骤六如图片步骤-6 （这个是电脑自己生成的兼容早期版本的）
7AD活动目录安装步骤七如图片步骤-7（这个是DC安装的目录）
8AD活动目录安装步骤八如图片步骤-8（这个是DC服务器相互共享和复制资料的文件夹）；
9AD活动目录安装步骤九如图片步骤-9（这个是安装的DNS的检测）
10AD活动目录安装步骤十如图片步骤-10 （选择兼容性）
11AD活动目录安装步骤11 如图片步骤-11（这个密码是还原密码就是DC出线问题的时候还原的密码）
12AD活动目录安装步骤12 如图片步骤-12（开始安装了）
13AD活动目录安装步骤13 如图片步骤-13（开始安装了）
14重启电脑在测试你的DC服务器搭建成功没有（如果可以ping 到就是DNS 搭建成功了）；呵呵里目标不远了。

一、安装条件∙∙安装者必须具‎有本地管理员‎权限∙操作系统版本‎必须满足条件‎（window‎s server‎2003 除WEB版外‎都满足）∙本地磁盘至少‎有一个NTF‎S文件系统∙有TCP/IP设置（IP地址、子网掩码等）∙有相应的DN‎S服务器支持‎∙有足够的可用‎空间二、安装安装活动目录‎：1、插入系统光盘‎。

2、打开【开始】菜单，单击【运行】命令，键入“Dcprom‎o”后单击【确定】按钮。

3、在出现的AD‎安装向导窗口‎中，单击【下一步】按钮。

4、出现操作系统‎兼容窗口，单击【下一步】按钮。

5、出现域控制器‎类型窗口，选中【新域的域控制‎器】，单击【下一步】按钮。

6、出现选择创建‎域的类型窗口‎，选中【在新林中的域‎】，单击【下一步】按钮。

7、出现新建域名‎窗口，键入要创建的‎域的域名，单击【下一步】按钮。

8、出现域Net‎B IOS名窗‎口，键入域的Ne‎t BIOS名‎，单击【下一步】按钮，向导会自动创‎建。

9、出现数据库和‎日志文件窗口‎，保持默认位置‎即可，单击【下一步】按钮。

10、出现共享的系‎统卷窗口，注意，文件夹所在分‎区必须是NT‎F S分区，保持默认位置‎即可，单击【下一步】按钮。

11、如果当前设置‎的DNS无法‎解析的话，会出现一个D‎N S注册诊断‎的窗口，可以选择第二‎项，把本机装成D‎N S服务器，单击【下一步】按钮。

12、在弹出的权限‎窗口中，保持默认选项‎即可，单击【下一步】按钮。

13、出现要输入目‎录还原模式的‎管理员密码，此密码用于【目录服务还原‎模式】下，单击【下一步】按钮。

14、向导会显示摘‎要，单击【下一步】按钮。

15、向导开始安装‎活动目录。

16、出现安装完成‎窗口，单击【完成】按钮，重新启动计算‎机即可。

卸载活动目录‎：1、打开【开始】菜单，单击【运行】命令，键入“Dcprom‎o”后单击【确定】按钮。

2、在出现的AD‎安装向导窗口‎中，单击【下一步】按钮。

AD域控及组策略管理目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。

1、工作组与域的区别...................... 错误!未指定书签。

2、公司采用域管理的好处.................. 错误!未指定书签。

3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。

二、AD域控（DC）基本操作 .............. 错误!未指定书签。

1、登陆AD域控........................... 错误!未指定书签。

2、新建组织单位（OU）.................... 错误!未指定书签。

3、新建用户.............................. 错误!未指定书签。

4、调整用户.............................. 错误!未指定书签。

5、调整计算机............................ 错误!未指定书签。

三、AD域控常用命令.................... 错误!未指定书签。

1、创建组织单位：(dsadd)................. 错误!未指定书签。

2、创建域用户帐户(dsadd)................. 错误!未指定书签。

3、创建计算机帐户(dsadd)................. 错误!未指定书签。

4、创建联系人(dsadd)..................... 错误!未指定书签。

5、修改活动目录对象（dsmod）............. 错误!未指定书签。

6、其他命令（dsquery、dsmove、dsrm）..... 错误!未指定书签。

四、组策略管理......................... 错误!未指定书签。

1、打开组策略管理器...................... 错误!未指定书签。

活动目录管理指导手册活动目录管理指导手册活动目录是什么？这是一项微软技术，设计用在Windows环境中来展示多种服务，包括基于Kerberos的认证、政策分派、软件部署和目录服务。

这个活动目录专题页为您提供活动目录操作、脚本信息、域名系统、群组策略、灾难恢复、LDAP和其它方面的技巧。

我们的内容专为帮助Windows管理员更加了解Windows Server 2003、2008和2008 R2的活动目录，更详细地了解更多新功能。

Windows Server 2008 R2活动目录全面解析调查显示，在Windows Server 2008 R2的各项热门功能的评选中，活动目录以傲人姿态轻松夺冠。

那么，我们不得不疑问，它的魅力来自哪里呢？又是哪些过人之处吸引了各层级用户的目光？对于这些问题，本专题将一一为您解答。

Windows Server 2008 R2热门功能：活动目录最受青睐Windows Server 2008 R2的新款活动目录管理中心好在哪里？Windows Server 2008 R2新款活动目录管理中心的重要功能Windows Server 2008 R2活动目录新特征Windows Server 2008 R2活动目录新功能Windows Server 2008 R2里的活动目录网络服务新特色活动目录中的域控制问题域控制是活动目录管理中很重要的一个部分，在域控制过程中，我们不可避免地用到各种辅助工具，也会遇到各种复杂的问题，那么，有哪些工具是我们常见到的呢？又有哪些棘手的问题其实可以化繁为简呢？请您听我一一道来。

常见的域控制准备工具链接标识符错误解决方案：如何应对域控制准备工具错误？紧跟潮流您虚拟域控制器了吗？七步正确虚拟域控制器活动目录技巧汇总活动目录的操作运用过程中，会不断出现各种问题中断我们的操作或是让操作过程更为复杂艰难。

专家们在实践过程中，整理了令人困扰的几个问题，并针对这些问题，给出了实用的应对技巧和措施，或许您想了解的就在其中。

AD活动目录
实验一
虚拟机1（AD服务器）：
1.设置AD服务器的IP，操作如图：
2.开始----管理工具----配置您的服务器向导。

安装AD活动目录，并配置域控名称为
，操作如图：
3.
工
3.安装过程中，同时系统会自动安装DNS，安装成功后重启计算机。

注：没有打印下来的页面设置，使用默认即可。

虚拟机2
1.设置客户机的IP，操作如图：
2.加入域：我的电脑->属性->计算机名->更改->域，域输入：, 输入虚拟机1
管理员用户名和密码，添加成功，欢迎加入域，，操作如图：
实验二
1. 在虚拟机1中添加AD活动目录用户：cssp39,登录名为cssp39@，其中**为学号，操作如图：
.
2.虚拟机2登录界面，选择域，使用域用户cssp39登入到域中，操作如图：
实验三
1.虚拟机1中，开始菜单->管理工具->管理您的服务器，选择管理AD域中的用户和计
算机，操作如图：
2.选择域中的计算机->属性->管理,进行相关管理，操作如图：
总结：
在实验过程中注意以下几点：
1.若已经安装了DNS服务器，先将其卸载，因为在AD活动目录安装过程中会自动安装并
进行相关的设置，另外，先将系统光盘放入虚拟机。

2.在AD目录中密码的设置比较复杂（开始------管理工具-----域安全设置），修改密码的设
置（设置后使用“gpupdate”命令更新）操作如图：
3.AD服务器的虚拟机和客户机的虚拟机的备份能来子同一台计算机，否则它不能识别。

4.
这两个登陆后的界面都是：。

实验五活动目录服务（AD的安装、加入和退出域、域用户的管理和配置）【实验目的】1、理解域的概念，掌握AD的安装方法。

2、掌握加入和退出域的方法。

3、掌握域用户的管理和配置，组的规划和建立。

4、了解Windows Server 2003域用户和本地用户的区别。

5、理解组的概念和作用，认识组的类型。

【实验内容】1、练习AD的安装方法，2、练习加入和退出域的方法。

3、练习域用户的管理和配置，组的规划和建立【实验步骤】一、安装活动目录1）新建DC的角色。

在开始菜单中点击“管理您的服务器”，在打开的画面中点击“添加或删除角色”。

2）在“预备步骤”对话框中，单击[下一步]按钮，出现“服务器角色”对话框后，选择“域控制器”，按[下一步]继续。

3）在“选择总结”对话框中，单击[下一步]按钮，随后会进入AD安装向导过程，（如果直接执行“dcpromo”命令也可以启动AD安装向导，则可以省略前三个步骤），单击[下一步]按钮。

4）出现“操作系统兼容性”对话框，单击[下一步]按钮，在“域控制器类型”对话框中，我们将在这个向导中建立一个新域的DC和林，所以我们选择“新域的域控制器”，按[下一步]按钮继续。

5）选择“在新林中的域”，按[下一步]按钮继续，。

6）出现如下图所示，在“新域的DNS全名”文本框中输入新建域的DNS全名，例如: 或者或者之类的DNS全名。

按[下一步]按钮继续。

7）在“NetBIOS域名”对话框中，在“域NetBIOS名”文本框中输入NetBIOS域名，或者接受显示的名称。

NetBIOS域名是供早期的Windows用户用来识别新域的, 按[下一步]按钮继续。

8）在出现“数据库和日志文件夹”的对话框中（如下图），这些文件夹必须放在NTFS分区上，注意，基于最佳性和可恢复性的考虑，最好将活动目录的数据库和日志保存在不同的硬盘上。

按[下一步]按钮继续。

9）在出现“共享的系统卷”对话框中，该文件夹必须放在NTFS分区上，在Windows Server 2003中，Sysvol文件夹存放域的公用文件的服务器副本，它的内容将被复制到域中的所有域控制器上。

利用微软的活动目录（AD）复制，你能够更好地控制网络流量，减轻站点的负担。

请认真阅读这套由两部分组成的教程，它们介绍了如何为你自己的域配置AD目录复制系统。

在Windows 2000 活动目录（AD）环境里，你可以使用站点（Site）把网络物理地划分开，从而优化AD复制。

通过理解微软是如何在你的域里实现AD复制，你能够更有效地对把你的网络划分成AD站点，从而减少通过低速网络连接的网络流。

这篇文章是关于活动目录站点的两篇系列文章的第一部分，在这篇文章里，我们要研究缺省的AD站点内（intra-site）复制的配置,以及信息如何被复制。

在系列的第二部分，我们要研究如何对自己的站点进行安装设置，对通过网络进行的AD复制流进行优化。

活动目录复制在活动目录(AD) 域控制器(DC)安装到域里时，活动目录会建立缺省的复制模板，并且在活动目录之间自动建立起一个环形的复制拓扑，建立的依据是确保复制流量沿着最有效的路径进行。

你可以沿着环的任意方向把变化复制到AD。

因为在AD里所有的DC的地位都相等，都包含可以写入的AD数据库备份，因此在实现多主机复制系统时，有一些潜在的挑战面对着微软。

在你可能考虑到的问题里，有些是：DC如何把复制流量控制在最小？DC如何保持所有的数据库拷贝同步？如果DC从两个复制伙伴得到相同的修改，会怎么样？如果两个修改同时发生，会怎么样？那么就让我们按顺序来看看这些问题。

DC如何把复制流量控制在最小？为了把网络流保持在最小，AD的复制在每－属性（per-attribute ）的基础上进行。

简单地说，这就是指如果一个属性发生了变化（比如，用户的电话号码），那么只有这个小小的变化被复制到你的域里的其它DC上。

你可以想象，AD 的每属性复制，和把整个数据库拷贝都通过网络传递比起来，更加有效率，需要网络带宽也更少。

DC如何保持所有的数据库拷贝同步？AD DC 使用一套更新顺序数字（USN）系统对彼此间流动的AD数据库的不同版本进行校验和同步。

常见活动目录AD故障解决集锦A1、客户机无法加入到域？一、权限问题。

要想把一台计算机加入到域，必须得以这台计算机上的本地管理员（默认为administrator）身份登录，保证对这台计算机有管理控制权限。

普通用户登录进来，更改按钮为灰色不可用。

并按照提示输入一个域用户帐号或域管理员帐号，保证能在域内为这台计算机创建一个计算机帐号。

二、不是说“在2000/03域中，默认一个普通的域用户（Authenticated Users）即可加10台计算机到域。

”吗？这时如何在这台计算机上登录到域呀！显然这位网管误解了这名话的意思，此时计算机尚未加入到域，当然无法登录到域。

也有人有办法，在本地上建了一个与域用户同名同口令的用户，结果可想而知。

这句话的意思是普通的域用户就有能力在域中创建10个新的计算机帐号，但你想把一台计算机加入到域，首先你得对这台计算机的管理权限才行。

再有就是当你加第11台新计算机帐号时，会有出错提示，此时可在组策略中，将帐号复位，或干脆删了再新建一个域用户帐号，如joindomain。

注意：域管理员不受10台的限制。

三、用同一个普通域帐户加计算机到域，有时没问题，有时却出现“拒绝访问”提示。

这个问题的产生是由于AD已有同名计算机帐户，这通常是由于非正常脱离域，计算机帐户没有被自动禁用或手动删除，而普通域帐户无权覆盖而产生的。

解决办法：1、手动在AD中删除该计算机帐户；2、改用管理员帐户将计算机加入到域；3、在最初预建帐户时就指明可加入域的用户。

四、域xxx不是AD域，或用于域的AD域控制器无法联系上。

在2000/03域中，2000及以上客户机主要靠DNS来查找域控制器，获得DC的IP 地址，然后开始进行网络身份验证。

DNS不可用时，也可以利用浏览服务，但会比较慢。

2000以前老版本计算机，不能利用DNS来定位DC，只能利用浏览服务、WINS、lmhosts文件来定位DC。

所以加入域时，为了能找到DC，应首先将客户机TCP/IP配置中所配的DNS服务器，指向DC所用的DNS服务器。

AD域服务器活动目录经典图文教程八（站点管理）
相关搜索:服务器, 教程, 站点, 目录, 经典
活动目录里的站点代表网络的物理结构，站点可以优化域控制器的复制，使得数据传输量为原来的15%左右，减轻了网络压力。

下面是我们网络拓扑图。

接下来我们建立站点，并把相应的服务器移动到站点内。

新建站点，我这里建立了三个站点 ShangHai BeiJing GuangZhou
为每个站点设置IP子网移动服务器到相应的站点
为保证安全使得我们授权相应的服务器管理站点。

（一般授权为域控制器）
为保证各个站点之间的连接，可以进行正常的复制，我们这里建立相应的站点链接。

在这里可以设置开销，复制的频率，开销越低优先级越高。

在更改计划中，我们可以设置站点之间的数据复制发生在什么时间。

我们可以有一个工具直观的看网络中的拓扑结构，也可以用它进行站点的管理。

首先要安装support tools
连接到域林
选择其中的一台域控制器
现在我们可以看到51cto服务器上所有的数据。

用此时这个选项我们可以检查各个站点是否复制链接正常。

用这个选项我们可以显示整个林拓扑结构
由于我此时只开启了两台服务器，所以在我的拓扑结构图上只显示了两台。

windowsserver2012ad活动目录部署系列（五）备份和还原域控制器在前篇博文中，我们介绍了用户资源的权限分配，用户只要在登录时输入一次口令，就能访问基于该域所分配给他的所有资源。

但是我们需要考虑一个问题：万一域控制器坏了怎么办？！如果这个域控制器损坏了，那用户登录时可就无法获得令牌了，没有了这个令牌，用户就不能访问域中的资源，那么整个域的资源分配趋于崩溃。

那我们应该如何预防这种灾难性的后果呢？我们可以考虑对活动目录进行备份以及部署额外域控制器，本篇博文我们先看如何利用对Active Directory 的备份来实现域控制器的灾难重建。

如果只有一个域控制器，那么我们可以利用Windows 自带的备份工具对Active directory 进行完全备份，这样万一这个域控制器有个三长两短，备份可以帮助我们从困境中解脱出来。

备份域控制器：1、在Florence上的服务器管理器中添加“WindowsServer Backup”功能此步骤与“添加角色”类似，此外不再重复，如有需要请参考/ronsarah/article/details/94237592、利用Windows Server Backup，进行系统状态的备份打开Windows Server Backup，右键点击“本地备份”，选择“一次性备份”，如下图所示：选择“添加项目”，选择“系统状态”，选择“远程共享文件夹”，备份最好放在别的计算机磁盘上，指定远程文件夹路径，这里放在Berlin 的共享文件夹“ADBackup”上，点击“备份”，开始备份，总容量7G多，大概需要10~20分钟时间，请稍等...备份完成！备份完成后，我们假设域控制器Florence 发生了物理故障，现在我们用另外一台计算机来接替Florence。

我们把这台新计算机也命名为Florence，IP 设置和原域控制器也保持一致，尤其是一定要把DNS 指向为 提供解析支持的那个DNS 服务器，在此例中就是192.168.11.1。