Windows Server 2008 R2 AD活动目录域控制器安装配置手册

ActiveDirectory域控制器安装⼿册Active Directory域控制器安装指南1.1Active Directory介绍1.1.1功能介绍Active Directory提供了⼀种⽅式，⽤于管理组成组织⽹络的标识和关系。

Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即⽤的功能，通过这些功能我们可以集中配置和管理系统、⽤户和应⽤程序设置。

Active Directory域服务（AD DS，Active Directory Domain Services）存储⽬录数据，管理⽤户和域之间的通信，包括⽤户登录过程、⾝份验证，以及⽬录搜索。

此外还集成其它⾓⾊，为我们带来了标识和访问控制特性和技术，这些特性提供了⼀种集中管理⾝份信息的⽅式，以及只允许合法⽤户访问设备、程序和数据的技术。

1.1.2Active Directory域服务AD DS是配置信息、⾝份验证请求和森林中所有对象信息的集中存储位置。

利⽤Active Directory，我们可以在⼀个安全集中的位置中，⾼效地管理⽤户、计算机、组、打印机、应⽤程序以及其它⽀持⽬录的对象。

*审查。

对Active Directory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。

*粒度更细的密码。

密码策略可以针对域中单独的组进⾏配置。

不需要每个帐户都使⽤域中相同的密码策略了。

*只读的域控制器。

当域控制器的安全⽆法得到保障时，我们可以部署⼀台只有只读版本Active Directory数据库的域控制器，例如在分⽀办公室，这种环境下域控制器的物理安全都是个问题，⼜如承载了其他⾓⾊的域控制器，其他⽤户也需要登录和管理这台服务器。

只读域控制器（RODC，Read-Only Domain Controllers）的使⽤，可以防⽌在分⽀机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。

win 2008 R2域控管理工具+Exchange管理工具安装手册
一、安装域控管理工具
首先使用自己的域用户登录管理服务器
登陆后进入“服务器管理器”---“功能”----“添加功能”
选中下图中红色方框中的内容
然后点击“添加必需的功能”
然后点击“下一步”----“安装”。

即可完成管理工具的安装，安装完成后重启服务器。

重启服务器之后打开“运行”框输入“MMC”打开控制台
在控制台中选择“文件”----“添加删除管理单元”
选中“Active Directory 用户和计算机”然后点击“添加”
单击“确定”即可创建、删除域用户等操作来对域控进行管理
二、Exchange服务器管理工具
安装Exchange管理工具之前需要检查.net Framework 3.5和IIS6是否已经安装，如果没有安装则需要安装。

安装方式以安装IIS为例：
进入“服务器管理器”----功能-----添加功能
选中图片中红色框内容，点击“下一步”进行安装即可
下面开始安装Exchange服务器管理工具
双击“Exchange安装程序中的Setup”出现如下对话框
点击“安装Microsoft Exchange”
点击“下一步”
点击“安装”如图
点击“完成”完成安装。

启动管理控制台
通过控制台就可以管理用户邮箱。

Windows Server 2008 R2 域控制器部署手册
一、域控制器安装步骤：
1、装Windows Server 2008 R2并配置计算机名称和IP地址。

2、点击“开始”，在“搜索程序和文件”中输入Dcpromo.exe后按回车键。

3、如下图进入域控制器安装的准备；
4、进入AD DS安装向导，点击“下一步”；
5、在操作系统兼容性，点击“下一步”；
6、选择“在新林中创建域”后点击“下一步”；
7、输入域名“”后点击“下一步”；
8、选择合适的林功能级别级别（建议使用Windows Server 2008 R2），之后点击“下一步”；
9、在其他域控制器选项，点击“下一步”；
10、点击“是”，继续安装；
11、在指定数据库、日志文件及SYSVOL位置，点击“下一步”；
12、输入目录服务还原模式密码后，点击“下一步”；
13、回顾AD DS相关配置，点击“下一步”后进入活动目录安装进程；
14、安装完成后，点击“确定”后点击“立即重新启动”，如下图；
15、重新启动后，使用域管理员帐号登陆域控制器。

WindowsServer2008搭建AD域控服务器AD域安装过程安装DNS服务器⼀路下⼀步这⾥选安装到这⾥DNS服务器安装成功，可以在主页⾯看到我们安装的⾓⾊安装DNS服务器后我们需要重启服务器安装AD域服务新增AD域服务⾓⾊⼀路下⼀步——安装即可两条安装成功提⽰，重启服务器⾓⾊中选择AD域服务，运⾏dcpromo.exe域服务安装向导这⾥系统默认选择的是2003版本，我们⼿动切换成2008 R2版本由于我们之前安装过DNS服务器所以这⾥直接下⼀步即可确认信息⽆误点选下⼀步这⾥我们勾选完成后重新启动重启之后完成AD域服务的安装校验可以看到DNS已经被设置为指向本机配置DNS服务器配置主DNS转发器，为域中所有PC解析WEB域名配置正向查找区域正向查找区域配置完成后加⼊域内的PC均可以通过AD域DNS服务器解析我们设定好的域名打开服务器管理器——DNS服务器——DNS——ServerID——正向查找区域——找到我们新建的那个域——新建主机配置反向查找区域相对于正向查找，反向查找区域⽤的相对较少，这个功能可以允许客户端通过查询IP地址得到对应的名称，反向查询的类型我们称之为PTR（Poniter）AD域配置新增域⽤户User组新建⽤户备份组策略对象GPO（Group Policy Object）默认应⽤策略模板为Default Domain Policy 我们将其备份⾄桌⾯新建⾃定义组策略 导⼊设置NTP服务器配置客户端配置更改PC名 加⼊ADtest域 输⼊我们之前创建好的⽤户名和密码重启客户端⽤域账号重新登录即可这⾥账号注意后缀需要@你创建的域名验证域控搭建效果验证DNS服务器可以看出加⼊域中的客户端成功通过域控服务器提供的DNS转发器解析了域名，实现了与外⽹的连通由于我们配置了正向查找区域 所以可以解析验证NTP时间服务器所有加⼊域控服务器的PC⽇期和时间默认是锁定的，与域控服务器的⽇期和时间同步由于我们之前设置了NTP服务器 所以域控服务器定期通过阿⾥云时间服务器获取最新时间 然后下发给域控内的所有其他PC验证组策略我们打开组策略管理启⽤防⽌⽤户启动任务管理器策略客户端尝试启动任务管理器不论是快捷键还是右键任务栏均⽆法启动 验证域控策略⽣效。

在Windows Server 2008 R2环境中，域控制器（Domain Controller, DC）是Active Directory（AD）服务的核心组件，负责存储目录数据、执行身份验证和授权操作。

以下是一个基于该环境的域控服务器管理案例分析，涵盖从安装配置到日常管理与故障排查。

案例背景：假设某公司计划升级其IT基础设施，决定部署一台新的Windows Server 2008 R2 Enterprise版服务器作为主域控制器来管理整个企业的用户账户、组策略、文件服务以及网络资源访问权限。

案例步骤与分析：1.安装与配置域控服务器：o准备硬件：确保服务器满足系统要求，有足够的内存、磁盘空间以及冗余电源等。

o安装操作系统：安装Windows Server 2008 R2并完成基本配置。

o安装AD DS（Active Directory Domain Services）角色：通过服务器管理器添加角色和功能，选择“Active Directory 域服务”进行安装，并运行dcpromo.exe工具启动AD安装向导，根据企业需求配置森林根域名、域功能级别等参数。

o DNS配置：在安装过程中将域控制器配置为DNS服务器，或者事先安装DNS角色并将新域控制器配置为自身的首选DNS服务器。

2.日常管理与维护：o用户账户管理：使用Active Directory用户和计算机管理工具创建、修改和删除用户账户、组织单位（OU）结构，以及分配权限和组成员资格。

o组策略应用：通过组策略管理控制台编辑和链接GPO（组策略对象），实施桌面配置、软件分发、安全设置等策略。

o系统健康检查：定期运行dcdiag和netdiag工具进行系统健康性检查，确保域控制器状态良好，同步正常。

o备份与恢复：制定并执行域控制器的备份计划，包括系统状态备份，以防意外情况下的快速恢复。

3.故障排查与扩展：o域账户故障：当出现域账户登录问题时，可能需要检查账户状态、密码策略、域信任关系或Kerberos 协议问题等。

WindowsServer2008R2活动目录服务部署（一）测试环境：硬件环境：IBM X3250M3 软件环境：wmware esxi 5.1.0 客户端：VMware vSphere Client 5.1.0服务器：计算机名LMDC1,已安装Windows Server 2008 R2。

IPV4:172.168.88.2,255.255.0.0 网关地址172.168.88.1管理员：administrator实验要求：安装第一个企业根据域控制器域名为部署过程：方法一：手动部署1、首先进行系统诊断，确保安装前系统的状态正常.并使用事件查看器(EventVWR.MSC），查看日志情况。

2、打开网络连接，设置网卡的IP4地址为一静态地址，同时将DNS服务器地址设置为127.0.0.13、运行DCPROMO,出现设置向导。

检测系统是否安装AD域服务二进制文件，如果没有，系统会自动安装(也可以在运行命令之前，通过服务器管理器，添加活动目录域服务角色来安装）3、弹出活动目录域服务安装向导，选择高级模式（如果不选择此项，安装过程中将无法对有些设置进行更改，如域Netbios名的更改等）5、由于这是森林中的第一台服务器，所以选择在新林中新建域。

6、功能级别，所提供的功能不同。

如要使用R2新增的活动目录回收站功能，必须将功能级别提升到2008 R2功能级别。

要使用棵粒化密码策略，须将功能级别提升到2008。

R2新增了一种功能级别即2008 R2级别。

注意功能级别的操作是单向，即当提升到一个高功能级别后，它不能再降为低功能级别。

除非得新安装AD域服务7、此实验环境中，DC1也是一台DNS服务器，所以要勾选DNS 服务器。

同时，这是森林中的第一台DC，所以全局编录（GC），只读域控制器（RODC）不可操作。

森林中必须至少有一台GC，同时要安装RODC，域中必须首先有一台可写的DC。

12、指定活动目录数据库的存放位置。

活动目录及域控制器的安装与配置一、安装DC（域控制器）的必备条件1、本地管理权限（系统管理员权限）2、操作系统版本必须满足条件Windows Server 2005windows Derver 20082、有TCP/IP4、有足够的可用磁盘空间5、NTFS 分区（至少要有一个NTFS分区）6、需DNS的支持。

二、安装DC1,、打开方法：开始-运行-输入“dcpromo”，就会出现图1-1所示的AD域服务器安装向导。

一般默认安装就行，钩不勾选高级差别不大。

图1-1图1-22、选择在新林中新建域数据库和日志文件夹默认保存位置C:\windows\NTDS Sysvol文件夹的位置必须为NTFS分区图1-3在这里输入你要新建的域名，域名一般是按照或形式建立图1-4在这里选择要安装的域控制器的操作系统版本，一般先选择最低级别的windows 2000 server,这里的好处是以后可以根据需要升级到高版本的如server 2003,2008等，如果直接选择最高版本的以后低版本的某些功能可能不会实现。

图1-5图1-6因为我的电脑之前已经安装了一个与服务器了所以这里会出现这个提示。

图1-7这里可能会出现如下图所示的对话框，问你是否配置静态IP，最好先到IPv4的协议中配置好ip和dns，网关根据需要来，也可以先不用配置。

图1-84、输入目录服务还原模式的Administrator密码。

一定不要忘记此密码，此密码可用于卸载你已经安装的好的域控制器图1-9图1-10图1-11图1-12这里我们可以看到，我的管理员前面出现了一个TARENA的域名，说明已经成功了，如果你重启后也看到你自己添加的域名证明你成功了图1-13让我们登陆看一下吧，登录Administrator用户，打开开始菜单——管理工具——就能看到活动目录了，图1-14，很好继续。

图1-14下图是打开活动目录后，看到自己新建的域——，你的不一定是这个哦，看你自己输入的域名是什么它就显示什么。

Windows Server菜鸟宝典之一：Windows Server 2008 R2 AD服务器搭建一、Windows AD简介Active Directory® 目录服务可安装在运行Microsoft® Windows Server® 2003，Standard Edition、Windows Server 2003，Enterprise Edition 和Windows Server 2003，Datacenter Edition 的服务器上。

Active Directory 存储有关网络上的对象的信息，并使管理员和用户更方便地查找和使用这种信息。

Active Directory 使用结构化的数据存储作为目录信息的逻辑化、分层结构的基础。

这种数据存储，也称为目录，包含与Active Directory 对象有关的信息。

这些对象通常包括共享资源，如服务器、卷、打印机、网络用户和计算机帐户。

有关Active Directory 数据存储的详细信息，请参阅目录数据存储。

通过登录验证以及目录中对象的访问控制，将安全性集成到Active Directory 中。

通过一次网络登录，管理员可管理整个网络中的目录数据和单位，而且获得授权的网络用户可访问网络上任何地方的资源。

基于策略的管理减轻了即使是最复杂的网络的管理。

有关Active Directory 安全性的详细信息，请参阅安全概述。

Active Directory 还包括：•一套规则，即架构，定义了包含在目录中的对象类和属性、这些对象实例的约束和限制及其名称的格式。

有关架构的详细信息，请参阅架构。

•包含目录中每个对象信息的全局编录。

允许用户和管理员查找目录信息，而与目录中实际包含数据的域无关。

有关全局编录的详细信息，请参阅全局编录的角色。

•查询和索引机制的建立，可以使网络用户或应用程序发布并查找这些对象及其属性。

有关查询目录的详细信息，请参阅查找目录信息。

Windows Server2008R2 Active directory实操作参考第一章安装活动目录服务器简介：提升Windows Server 服务器为活动目录服务器，那么管理员需要将DNS服务器指向本机，并且使用dcpromo 向导完成提升操作1：添加AD域服务2、运行dcpromo3、以下的步骤就和Windows server 2003一样了4、安装完成后，重启计算机5、活动目录服务器安装完成第二章客户端加域简介：将客户端加入到域，需要将客户端的DNS 设置指向DC，同时，需要以本地管理员组的成员登录来完成操作第三章创建组织单位简介：组织单位(OU)能够有效的组织活动目录中的用户、计算机等对象，并且从Windows Server 2008开始，对于组织单位，可以启用防删除特性，防止组织单位被意外误删除。

如需删除启用防止容器被意外删除功能的容器，需进行以下操作取消该功能第四章创建用户简介：在活动目录当中，管理员可以使用Active Directory 用户和计算机这一个管理工具来创建用户对象，同时对于属性相同的用户，还可以使用复制的方式创建。

第五章委派控制简介：在活动目录当中，可以在组织单位之上启用委派，允许普通用户对于组织单位中的对象有相应的权限，同时，可以创建任务板视图为用户自定义管理工具。

第六章活动目录管理工具活动目录提供了各种类型的管理工具，管理员可以灵活的使用相应的管理工具来完成活动目录中的各项管理任务，同时管理员可以在Windows 7 中安装RSAT 的远程管理工具实现远程管理活动目录服务器。

1、安装Windows 7 Service Pack 1 (SP1) 远程服务器管理工具2、在控制面中添加要管理的对象第七章命令行管理域7-1：dsadd 添加用户7-2：CSVDE 批量导入导出用户7-3：LDIFDE 批量导入导出用户7-4：批量修改用户属性7-5：命令行工具管理组7-6：导入导出组7-7：命令行加域第八章设置用户加域配额简介：默认情况下，普通域用户能够添加10台计算机到域中，作为安全设置，管理员可以将配额设置为0，不允许普通用户将计算机加入到域中打开ADSI编辑器：开始---管理工具---ADSI编辑器，然后如图操作第九章发布共享简介：管理员可以集中的在活动目录当中发布文件共享，打印机共享，统一管理，同时客户端也能够轻松地搜索到所需要的共享资源。

文档信息：目录1背景描述 (3)2功能描述 (3)3配置环境 (3)4配置前的准备 (3)5配置流程 (4)6配置步骤 (4)安装环境准备 (4)安装操作系统 (4)安装Active Directory域服务 (4)安装第一台域服务器 (9)安装第二台域服务器 (16)1 背景描述在很多大洋公司的典型业务应用中，域控制器作为基础网络的基本功能与配置，扮演着重要的角色，因此，做好域控制器的部署工作尤为重要，本文基于Windows 2008 R2 X64操作系统，介绍了该系统下安装部署域控制器的主要方法。

2 功能描述域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不正确，那么域控制器就会拒绝这个用户从这台电脑登录。

不能登录，用户就不能访问服务器上有权限保护的资源，他只能以对等网用户的方式访问Windows共享出来的资源，这样就在一定程度上保护了网络上的资源。

3 配置环境4 配置前的准备a) 硬件准备：服务器上架并上电，连线，部署网络环境。

b) 软件准备：Windows Server2008 R2 X64 Enterprise5 配置流程6 配置步骤6.1安装环境准备部署服务器、交换机等设备，部署网络环境并检查物理连接，确保无误。

6.2安装操作系统此步骤本文不再赘述，请参考大洋技术研究院系统整合实验室相关文档和手册。

注意：请严格按照密码复杂度要求设置administrator账户的密码！6.3安装Active Directory域服务开始菜单，点击“服务器管理器”，进入Windows Sever 2008 R2 X64服务器管理器界面左侧栏点击角色，进入角色管理界面。

点击添加角色，进入添加角色向导。

加必要的功能”，再点击下一步点击下一步点击安装，安装AD域服务和Framework功能待AD域服务安装成功后，点击关闭。

WindowsServer2008ActiveDirectory配置指南-l...一、Active Directory Domain Services(AD DS)in the Windows Server 2008 network enviroment ,Active Directory Domain Services(AD DS),provide with organizing、managing、controlling network resources.1-1 active directory domain services overviewdirectory :telephone directory;file directory如果这些directory内的数据能够系统的加以整理的话，用户就能够容易且迅速的查找到所需文件。

Active Directory的组成是directory，域内的directory是用来存储用户帐户、计算机帐户、打印机与共享文件夹等对象，我们把这些对象的存储地点称为目录数据库（directory database）。

Active Directory 域内负责提供目录服务的组件就是active directory域服务，active directory domain services它负责目录数据库的存储、添加、删除、修改与查询操作。

1-1-1 active directory domain service scopeactive directory domain service 可以用在一台计算机、LAN或者数个WAN的联合，它包含此范围所有的对象，例如文件、打印机、应用程序、服务器、域控制器与用户帐户等。

1-1-2nameSpacebounded area ,一块界定好的区域，在此区域内，我们可以利用某个名称来找到与这个名称有关的信息。

active directory 域服务内，active directory就是一个名称空间，在active directory内我们可以通过对象名来找到与这个对象相关的所有的信息。

windowsserver2008活动⽬录的安装活动⽬录的安装⼀、步骤⼀：安装活动⽬录1、安装Active Directory域服务○1添加⾓⾊○2单击下⼀步，3选择⾓⾊，单击选择你要的⾓⾊，然后点击安装4单击下⼀步，打开域服务对话框，其中简要介绍了域服务作⽤和注意事项5、单击安装，正式进⾏安装域服务。

2、安装活动⽬录1、打开开始菜单，在开始搜索⽂本框输⼊dcpromo.exe命令，按回车启动安装向导。

2、单击下⼀步，打开操作“系统兼容性”对话框。

3、单击下⼀步按钮，打开“选择某⼀部部署配置”对话框，如果是第⼀台域控制器，就选择第⼆个选项“在新林中新建域”，如果不是，就选择“现有林”。

4、单击下⼀步按钮，打开“命名林根域”对话框，在“⽬录林根域的FQDN”⽂本框中输⼊你准备好的DNS 域名，如/doc/6e17995561.html。

5、单击下⼀步，开始检查该域名及其相应的NetBIOS 名是否在⽹络中使⽤，完成后打开“设置林功能级别”对话框。

安装向导提供3种模式，分别是windows server2000、2003、2008，根据⽹络中存在的最低windows版本的域控制器来选择。

6、设置域功能级别7、单击下⼀步按钮，开始检查DNS配置，并打开警告框，提⽰没有找到⽗域。

8、单击是，打开“数据库、⽇记⽂件和SYSVOL的位置”对话框，为了提⾼系统性能，并便于⽇后出现故障时恢复，建议将数据库和⽇记⽂件夹指定为⾮系统分区。

9、单击下⼀步按钮，打开“⽬录服务还原模式的Administrator 密码”对话框，⽤于设置在还原⽬录服务是的密码，这⼀步很重要，对于⽇后的维护还原时要⽤到，所以密码要牢记。

（在活动⽬录恢复是就需要⽤到了）10、单击下⼀步，打开“摘要”对话框，其中列出了前⾯所做的配置信息。

11、单击下⼀步，安装向导开始配置域服务。

过程需要⼏分钟或⼏⼩时，因此，如果你很忙，也可选中“完成后重新启动”复选框，完成后有系统⾃动重启。

win2008ad域控搭建⼀、前⾔1.1 AD 域服务什么是⽬录（directory）呢？⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory（电话⽬录）；计算机中的⽂件系统（file system）内记录着⽂件的⽂件名、⼤⼩与⽇期等数据，它就是 file directory（⽂件⽬录）。

如果这些⽬录内的数据能够由系统加以整理，⽤户就能够容易且迅速地查找到所需的数据，⽽ directory service（⽬录服务）提供的服务，就是要达到此⽬的。

在现实⽣活中，查号台也是⼀种⽬录；在 Internet 上，百度和⾕歌提供的搜索功能也是⼀种⽬录服务。

Active Directory 域内的 directory database（⽬录数据库）被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象，⽽提供⽬录服务的组件就是 Active Directory （活动⽬录）域服务（Active Directory Domain Service，AD DS），它负责⽬录数据库的存储、添加、删除、修改与查询等操作。

⼀般适⽤于⼀个局域⽹内。

在 AD 域服务（AD DS）内，AD 就是⼀个命名空间（Namespace）。

利⽤ AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP ⽹络环境内利⽤ Domain Name System（DNS）来解析主机名与 IP 地址的对应关系，也就是利⽤ DNS 来解析来得到主机的 IP 地址。

除此之外，AD 域服务也与 DNS 紧密结合在⼀起，它的域命名空间也是采⽤ DNS 架构，因此域名采⽤ DNS 格式来命名，例如可以将 AD 域的域名命名为 。

1.2 AD域对象与属性AD 域内的资源以对象（Object）的形式存在，例如⽤户、计算机与打印机等都是对象，⽽对象则通过属性（Attriburte）来描述其特征，也就是说对象本⾝是⼀些属性的集合。