Win2008 R2管理一：创建和加入域

部署企业中第一台Windows Server 2008 R2域控制器已经完成了企业中Windows网络域森林的建立。

但是，在企业中对于AD来讲，为了保证安全稳定运行，至少需要两台以上的物理域控制器。

在早期的Windows中可以部署备份域控制器（BDC）；到WIN2K后，AD使用额外域控制器和操作主机角色来解决域控制器备份的问题；到了WIN08后，为了增加在分支机构的应用，引入了只读域控制器（RODC）概念，其和读写域控制器同时一同部署从而提高Windows AD的可用性。

在此，主要讨论关于部署当前域的额外域控制器，即读写额外域控制器。

额外域控制器由于不是企业中的第一台域控制器，所以在其部署之前，亦即在创建域森林的时候就应该将其规划妥当。

由此，虽然其没有首台DC部署那样需要注意的事项多，但是对于WIN08R2来讲还是有很多地方值得提及，也与早期的版本不同。

一、DC网络属性的基本配置其配置情况主要应该参考当前网络规划和首台DC的配置而定，在此就延续前一篇文章所述内容来描述。

由于首台DC被规划为同时充当DNS服务器，因此该台额外域控制器首选DNS 服务器配置项中的值应该指向首台DC的IP地址（如图1）。

但是，在规划时这台额外域控制器同时还要作为域中的DNS服务器，并已经安装配置好DNS服务了，而且还从首台DC同步的DNS区域数据，那么可以将首选的DNS服务器选项设置为其自身IP地址。

图1注意：如果企业中有专门的DNS服务器存在，则需要指向这些服务器，而不能指向首台DC。

此外，同样需要将“网络和共享中心”窗口中的“公用网络”更改为“专用网络”。

这样才能保证额外域控制在配置和运行中能够正常与其他服务器和客户通信。

二、准备安装AD服务WIN08R2安装额外域控制器，依然是通过“服务器管理器”的角色添加来完成初始化的准备工作的。

在角色选择过程中勾选“Active Directory域服务”（如图2），并根据向导完成初始化操作。

win 2008 R2域控管理工具+Exchange管理工具安装手册
一、安装域控管理工具
首先使用自己的域用户登录管理服务器
登陆后进入“服务器管理器”---“功能”----“添加功能”
选中下图中红色方框中的内容
然后点击“添加必需的功能”
然后点击“下一步”----“安装”。

即可完成管理工具的安装，安装完成后重启服务器。

重启服务器之后打开“运行”框输入“MMC”打开控制台
在控制台中选择“文件”----“添加删除管理单元”
选中“Active Directory 用户和计算机”然后点击“添加”
单击“确定”即可创建、删除域用户等操作来对域控进行管理
二、Exchange服务器管理工具
安装Exchange管理工具之前需要检查.net Framework 3.5和IIS6是否已经安装，如果没有安装则需要安装。

安装方式以安装IIS为例：
进入“服务器管理器”----功能-----添加功能
选中图片中红色框内容，点击“下一步”进行安装即可
下面开始安装Exchange服务器管理工具
双击“Exchange安装程序中的Setup”出现如下对话框
点击“安装Microsoft Exchange”
点击“下一步”
点击“安装”如图
点击“完成”完成安装。

启动管理控制台
通过控制台就可以管理用户邮箱。

Windows Server 2008 R2 域控制器部署手册
一、域控制器安装步骤：
1、装Windows Server 2008 R2并配置计算机名称和IP地址。

2、点击“开始”，在“搜索程序和文件”中输入Dcpromo.exe后按回车键。

3、如下图进入域控制器安装的准备；
4、进入AD DS安装向导，点击“下一步”；
5、在操作系统兼容性，点击“下一步”；
6、选择“在新林中创建域”后点击“下一步”；
7、输入域名“”后点击“下一步”；
8、选择合适的林功能级别级别（建议使用Windows Server 2008 R2），之后点击“下一步”；
9、在其他域控制器选项，点击“下一步”；
10、点击“是”，继续安装；
11、在指定数据库、日志文件及SYSVOL位置，点击“下一步”；
12、输入目录服务还原模式密码后，点击“下一步”；
13、回顾AD DS相关配置，点击“下一步”后进入活动目录安装进程；
14、安装完成后，点击“确定”后点击“立即重新启动”，如下图；
15、重新启动后，使用域管理员帐号登陆域控制器。

Windows域的创建与加⼊教程⼀、说明以前看书的时候时常看到“域”这个词，后来听⼀些渗透的演讲通常会说进⼊内⽹后⾸先要找域控。

在认知中“域控”应该是域管理服务器⼀类的东西，但毕竟没有实现过所以还是不太懂长什么样。

前段时间朋友电脑打不开，说是被设置了要在⼀段时间内向域控保持⼼跳，不然要重新输⽤户名密码登录；然后⼜讨论了⼀下域控这东西，感觉还是不太清楚，趁着有时间来研究⼀下。

以下我使⽤vmware安装了两台Windows，⼀台是Windows Server 2008 R2，做域控，IP为192.168.220.149；⼀台是Windows，⽤于演⽰加⼊域，IP为192.168.220.131。

⼆、Windows Server 2008 R2创建域控家庭版和旗舰版都是不能创建域控的，需要服务器版才有该功能。

这⾥以Windows Server 2008 R2作为演⽰，2012等版本操作可能有点区别，但本质应该⼀样的，这⾥只是想了解本质上是怎么⼀个过程所以就不在意2008是否版本过⽼了。

输⼊要创建的域名称，我这⾥以为例如果是DHCP 那可能每次IP 都会变所以最好配置为固定IP ，但vmware 虽然是DHCP 但⼀般分配的IP 都不会变，所以我这就不管了。

域⽂件存放⽬录，我这⾥使⽤默认设置域Admonistrator的密码，这只是在还原时使⽤。

确认等待安装完成确保⽹络与域控相通选中当前使⽤的⽹卡，右键，属性前⾯说过vmware通过DHCP分配的IP其实是固定的，所以IP就不⽤管了，主要是把DNS改成域控IP。

（很明显，不使⽤域控做DNS，就不能正确解析我们创建的“”）计算机名随便设，主要是填对域名这个⽤户密码是域控主机的⽤户名密码，⽽不是前⾯设的⽤于还原的⽤户名密码加⼊域前电脑是不需要⽤户名密码的开机直接⾃动进⼊桌⾯，加⼊域后开机如下注意，使⽤未加⼊域前的本地⽤户名密码还是可以登录的。

⽐如我这⾥未加⼊域前⽤户名为Administrator密码为空，所以我这⾥不输密码直接登录即可。

项目一基于Windows Server 2008 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2008 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

三、项目学时本项目预计学时24学时，包含评讲。

任务1 应用组策略管理用户工作环境（6学时）组策略是一个能够让系统管理员充分管理用户工作环境的技术，通过它来确保用户拥有与权限相符的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

[安全管理需求]用户使用统一的方式上网，在登录、注销时使用统一脚本，普通用户在离开时可以关闭本地服务器。

为便于备份和管理，要实现文件夹的重定向，将文件目录统一放至文件服务器上。

用户登录后环境要求统一，如桌面、磁盘配额等。

为了安全起见，不允许用户私自使用移动存储介质，如USB、光盘设备。

[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器（Proxy Server）上网，代理服务器的网址为，端口号为8080，同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用，以免用户私自通过此处更改这些设置值。

将windows计算机加入或脱离域将windows计算机加入域
1.没加入域的计算机
2.点击更改IP,DNS那里一定要填写域控服务器的IP
3.右击我的电脑，属性，点击更改
4.按照上面填好后，点击确定
5.验证用户名和密码，确定
6.成功加入重启电脑（下图特征都表示成功加入）
登陆中有TEST域选择
7.域控服务器上
打开Active Directory 用户和计算机
可以看到，这台计算机已经成功加入与控服务器
将windows计算机退出域控
退出域控的方法是【右击计算机，属性，计算机名，更改】
输入上图工作组，点击确定
验证用户名和密码
成功退出，重启后，计算机又还原成原来的样子了。

windows Server2008 R2 如何脱机加入域可以使用脱机加入域将计算机加入某个域，而不需要通过网络连接域控制器。

安装操作系统之后，可以在计算机首次启动时将其加入域。

不需要另外重新启动，即可实现加入域。

在诸如数据中心之类的场所中完成大规模计算机部署时，此功能有助于节省所需的时间和精力。

例如，组织可能需要在数据中心部署大量虚拟机。

脱机加入域使虚拟机能够在安装操作系统之后的初始启动过程中加入域。

不需要另外重新启动，即可实现加入域。

这样可以显著减少大规模部署虚拟机所需的总时间。

加入域会在运行Windows 操作系统的计算机与Active Directory 域之间建立信任关系。

此操作需要更改AD DS 和加入域的计算机的状态。

在过去，若要使用以前版本的Windows 操作系统完成加入域，加入域的计算机必须正在运行，并且拥有网络连接以连接域控制器。

脱机加入域相对于以前的要求提供了以下优势：a.计算机不需要进行任何网络通信，即可完成Active Directory 状态更改。

b.与域控制器之间不需要任何网络通信，即可完成计算机状态更改。

c.每个更改集可在不同的时间完成。

离线加域提供的优点：降低数据中心的总拥有成本改进了使用RODC 执行加入域的体验快速企业部署(Windows 7 和Windows Server 2008 R2 的Unattend.xml 文件包含一个新节以支持脱机加入域)步骤1：DC端操作,生成计算机帐号，客户端文件djoin.exe /provision /domain /machine /savefile步骤2：把服务器生成的文件导入到客户端，客户端操作请求本地计算机执行脱机加入域:djoin.exe /requestodj /loadfile /windowspath /localos连网，验证。

使用DC创建用户a登录客户端补充一图：djoin命令用法：。

域服务搭建（首次搭建的新手）- Server 2008 R2版本一、准备工作
（1）Server 2008 R2 一台；设置静态IP，如图1
图1
（2）Windows 7 一台；设置静态IP，如图2；
图2
二、操作方法
1.打开“开始”-“运行”-“cmd”中，输入dcpromo安装；如
图3，如果报错，出现图4问题，或出现“安装ActiveDirectory 域服务二进制文件失败”，可以到服务中查看RemoteRegistry服务是否开启，如图5；
图3
图4
图5
2.开启服务后，在运行dcpromo命令，会出现图6安装向导，一次
按照图片进行安装；
图6
图7
图8
3.如图9，出现警告提示，本地计算机的管理员账号没有密码，到
用户管理中给管理员账号设置复杂密码即可；
图9
图10
图11
图12
图13
4.已经设置了静态IP地址后，可忽略图14
图14
图15
图16
图17
图18
图19
图20
图21
5.重启后，域安装完毕
三、将Windows 7 加入到域中
1.如图22，打开属性面板
图22 2.点击更改设置
图23
图24 3.如图25，输入域的地址，点击确定
图25
4.如果报错如图26，则检查网络或查看本机的DNS服务器填写的是
否为域服务器的IP地址，如图27
图26
图27
5.没有报错，会提示填写域的账号名称和密码，如图28
图28
图29
图30 6.重启电脑，加入域成功。

1.如何创建域: 安装dns，创建一条记录。

然后如上图设置,DNS指向自己.
在没有没有配置过域控制器的电脑上，新建域的过程：
一般现在装好一些基础程序之后,再创建域控制器,否则可能会出错.
(如果出错:那就进入添加删除程序的添加删除组件里,把一些”√”去掉,进行反安装,系统会删除已经装好的组件,然后重新装一次.)
用来添加独立服务器(容差提高用户登陆速度等功能)
刚才dns创建的记录里的域名.
如果确定dns创建成功的,则选择这项:
如果失败:1.检查dns记录是否创建
2.ip设置是否指向自己.
一般如图选择,如果域里有别的域控制器,并且是2000以下的操作系统,则选第一个.
还原密码在启动时按F8回出现一个还原模式,此密码在这时起到作用.
完成.
2.如果加入域:
Dns一定要指向域控制器的IP.否则无法加入域.
加入域:
这个需要输入域控制器上的帐户密码.
在此可以创建帐户.
如果要求创建帐户密码安全性,则可以在此取消安全长度,复杂度.
登陆到域:。

Windows Server2008R2 Active directory实操作参考第一章安装活动目录服务器简介：提升Windows Server 服务器为活动目录服务器，那么管理员需要将DNS服务器指向本机，并且使用dcpromo 向导完成提升操作1：添加AD域服务2、运行dcpromo3、以下的步骤就和Windows server 2003一样了4、安装完成后，重启计算机5、活动目录服务器安装完成第二章客户端加域简介：将客户端加入到域，需要将客户端的DNS 设置指向DC，同时，需要以本地管理员组的成员登录来完成操作第三章创建组织单位简介：组织单位(OU)能够有效的组织活动目录中的用户、计算机等对象，并且从Windows Server 2008开始，对于组织单位，可以启用防删除特性，防止组织单位被意外误删除。

如需删除启用防止容器被意外删除功能的容器，需进行以下操作取消该功能第四章创建用户简介：在活动目录当中，管理员可以使用Active Directory 用户和计算机这一个管理工具来创建用户对象，同时对于属性相同的用户，还可以使用复制的方式创建。

第五章委派控制简介：在活动目录当中，可以在组织单位之上启用委派，允许普通用户对于组织单位中的对象有相应的权限，同时，可以创建任务板视图为用户自定义管理工具。

第六章活动目录管理工具活动目录提供了各种类型的管理工具，管理员可以灵活的使用相应的管理工具来完成活动目录中的各项管理任务，同时管理员可以在Windows 7 中安装RSAT 的远程管理工具实现远程管理活动目录服务器。

1、安装Windows 7 Service Pack 1 (SP1) 远程服务器管理工具2、在控制面中添加要管理的对象第七章命令行管理域7-1：dsadd 添加用户7-2：CSVDE 批量导入导出用户7-3：LDIFDE 批量导入导出用户7-4：批量修改用户属性7-5：命令行工具管理组7-6：导入导出组7-7：命令行加域第八章设置用户加域配额简介：默认情况下，普通域用户能够添加10台计算机到域中，作为安全设置，管理员可以将配额设置为0，不允许普通用户将计算机加入到域中打开ADSI编辑器：开始---管理工具---ADSI编辑器，然后如图操作第九章发布共享简介：管理员可以集中的在活动目录当中发布文件共享，打印机共享，统一管理，同时客户端也能够轻松地搜索到所需要的共享资源。

windows server2008 r2网站搭建教程分三大步，准备工作：一个域名（），ftp密码（abcdefg）1、win+R快捷键打开运行。

输入mstsc2、输入服务器ip地址。

点击连接，输入服务器用户名和密码3、打开服务器管理器切换界面win+tab第一步：创建用户1．“计算机”-> 右键点击-> “管理”-> “配置”-> “本地用户和组”-> “用户” -> 右键点击-> “新用户”；2．输入用户名和密码，也就是准备的域名和ftp密码；勾销第一个选项，勾选第二和第三个选项，确定，关闭。

图：远程设置图：隶属于设置删除后添加用户组，然后一路确定回去。

至此创建用户完成。

第二步：创建网站目录及权限设置在你要部署的目录下新建域名文件夹，右击选择“属性”->”编辑”->”添加”，选择刚才新建的域名用户和IIS_IUSERS组，确定返回。

至此，网站目录创建完毕。

第三步：创建网站服务器打开“开始”-> “Internet 信息服务（IIS）管理器”-> “网站”-> 右击“新建网站”；在这里添加虚拟目录ftp授权添加特定用户填写域名信息和路径指向，连接为设置，测试设置。

立即启动。

点击新建的网站，需要分别设置“身份验证”和“日志”图：身份验证图：日志设置，主要是选择合理的日志生成目录。

绑定域名，额外的域名都是在这里添加的至此，解析域名后，网站就可以访问了。

Php网站一般还要有ftp和数据库操作，设置请看【ftp教程】和【数据库搭建教程】。

文档信息：目录1背景描述 (3)2功能描述 (3)3配置环境 (3)4配置前的准备 (3)5配置流程 (4)6配置步骤 (4)安装环境准备 (4)安装操作系统 (4)安装Active Directory域服务 (4)安装第一台域服务器 (9)安装第二台域服务器 (16)1 背景描述在很多大洋公司的典型业务应用中，域控制器作为基础网络的基本功能与配置，扮演着重要的角色，因此，做好域控制器的部署工作尤为重要，本文基于Windows 2008 R2 X64操作系统，介绍了该系统下安装部署域控制器的主要方法。

2 功能描述域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

3 配置环境4 配置前的准备a) 硬件准备：服务器上架并上电，连线，部署网络环境。

b) 软件准备：Windows Server2008 R2 X64 Enterprise5 配置流程6 配置步骤6.1安装环境准备部署服务器、交换机等设备，部署网络环境并检查物理连接，确保无误。

6.2安装操作系统此步骤本文不再赘述，请参考大洋技术研究院系统整合实验室相关文档和手册。

注意：请严格按照密码复杂度要求设置administrator账户的密码！6.3安装Active Directory域服务开始菜单，点击“服务器管理器”，进入Windows Sever 2008 R2 X64服务器管理器界面左侧栏点击角色，进入角色管理界面。

点击添加角色，进入添加角色向导。

加必要的功能”，再点击下一步点击下一步点击安装，安装AD域服务和Framework功能待AD域服务安装成功后，点击关闭。

Windows2008 R2安装域控制使得2012 R2加入该域
众说周知，windows2008 R2的域控制器的级别只是到2008 R2罢了，那么2012 R2怎么加入2008 R2所建立的域呢？
教程如下：
2008 R2安装域控制器服务
点击AD域服务后就会弹出下一个选择框，直接点击即可。

开始安装AD域服务
AD域服务安装完成
下面开始配置AD域
下面开始设置NetBIOS
重头戏来了，小编之前做的时候把林功能级别设置成Windwos Server 2008，而不是Windwos Server 2008 R2，所以2012 R2导致无法加入域了，后来在官网查了查，发现“Windwos Server 2008 R2”是代表Windwos Server 2008 或者更高的版本。

选择“是”即可
至此2008 R2的AD域服务器配置完成，即将重启……
好了，下面就把2012 R2加入到该域当中
1.IP必须同一网段，2012 R2要ping通2008 R2 的域名
2.双方关闭所有防火墙
3.2012 R2的DNS地址设置为2008 R2的IP地址
域服务器ping通对方IP，测试OK
加域服务器ping通域服务器IP，测试OK
加域服务器的主机ping通域名，测试OK（注意区分大小写）
开始进行加域
输入用户名和密码即可完成
加域成功！
重启……
至此，2012 R2加入2008 R2创建的域成功！。

如何在Win Server 2008R2环境下，把域帐户加到本地管理员组我们在大型企业中，经常不会用域管理员登陆，而是将某个OU下特定用户加入到全局组，或者将某个用户加入到本地管理员组中，但是局域网庞大，不可能一个个加入吧。

我大概总结了两种方法。

（1）通过MDT部署的方法，将镜像做好，就把域某个全局组或者域某个用户加入到本地管理员中，这种情况使用于公司系统升级。

（2）通过组策略实现： 1．使用域管理员登陆到DC。

2．打开记事本创建一个批处理文件，输入以下内容，并以*.bat保存： net localgroup administrators domain\user /add 其中，USER为你当前需要提升权限的用户名。

3, 运行gpmc.msc 4, 打开Group Policy Management -> Forest -> Domains ->点击到你当前的域 5, 右键新建组策略对象 6, 为组策略取名后单击下一步完成。

7, 在GPMC控制台上找到你刚刚新建的组策略后，右键单击edit。

8．打开“计算机配置→windows设置→脚本→启动→添加*.bat文件。

9．在客户机的命令提示符下输入gpupdate /force，重启计算机。

通过以上方法就能达到我们需要的目的。

write by龙卷风 2012年4月6日。