AD域安装配置

AD域服务器实现软件安装部署
一、发布应用程序建立安装WINDOWS安装程序包的文件夹 1、请在任何一台服务器上内建立一个文件夹，例如：Ｃ:\packages，这个文件夹是要用来存储应用程序的。

２、将此文件夹设置为共享，并给一个共享名。

因为网络上的用户必须ＵＮＣ路径来访问，所以要设置共
一、发布应用程序
４、“
——
５、“
\共享文件夹。

安装被发布的应用程序
１、利用域用户或组织单位用户来登录
２、开始——设置——控制面板——“添加／删除程序”。

精心整理
３、添加新程序——从网络添加程序（就会显示出已经发布的应用程序）。

４、选择要安装的应用程序——单击“添加”——就会安装此应用程序。

测试自动修复应用程序功能
１、请找到应用程序的安装位置。

２、删除此应用程序的安装文件夹。

——软1
2
3、设置当安装此应用程序时，是否出现完整的安装界面，或者只显示部分的界面。

在被部署应用程序上单击鼠标右键——属性——部署。

4、将应用程序升级：在被部署的应用程序单击鼠标右键——属性——升级——添加
精心整理
精心整理。

W i n d o w s S e r v e r2008安装A D部署一、AD安装说明：服务器上已安装LDAP后不能再安装AD域服务器;应为两者用的端口都是相同的在运行里输入”dcpromo”;启动AD域安装引导选择在“新林中新建域”输入你想要的域名选择域功能级别默认的2003即可选择“windowsserver2008”进行下一步安装在弹出的窗口中;系统会自动把DNS勾选;因为是域中的第一台域控制器;所以默认为全局录服务器..单击“下一步”这里我们选择“是”进行下一步安装选择数据库文件存放的位置;单击“下一步”这里要求软入还原模式密码;与2003不同;在2003中此步骤可跳过;不输入任务密码;但是在2008中这样是不可以的..这时系统会生成一个配置信息;我们可以选择导出;以用于在CORE模式的2008中部署DC..单机下一步;进行安装;安装完成后;会提示计算机进行重新启动..根据提示重启机器后;打开服务器管理-角色;给大家看看AD管理器吧：二、AD域证书安装可选说明：本步骤为可选项;如果在使用SSL加密连接AD域时必须在服务器上先安装AD域证书打开服务器管理界面;选中“角色”后;点击右侧界面中的“添加角色”在弹出的角色向导框中;将“ActiveDirectory证书服务”勾选上;并点击下一步继续点下一步继续点下一步默认只选择“证书颁发机构”即可继续点下一步默认选择“企业”在界面中选择“根证书”;继续点下一步继续点下一步默认选择“新建私钥”继续点下一步默认算法选择“SHA1”;长度为“2048”继续点下一步默认继续点下一步默认继续点下一步默认最后点击安装;开始安装证书安装完成后点击关闭;最后重启机器注意如果不重启机器证书不会生效;使用SSL 连接AD域时会连接失败重启后可以在服务器管理-角色下看到三、创建组织和用户并赋权限1.创建组织单位在服务器管理-角色-ActiveDirectory域服务下;选择域名test右键选择新建-组织单位；输入组织机构名称“111”点击确定后;创建组织机构名称2.在组织机构下创建用户组在弹出的组信息框中填写对应的组名称点确定后生成组3.在组织机构下创建用户在弹出的用户信息框中填写对应的用户名称点击下一步后;在弹出的密码框中输入用户密码点击下一步后再点击完成;创建用户成功4.给用户授权管理员权限选择中要授权的用户如：yuchen选择当前组织结构名称如：111右键选择“委派控制”在弹出的向导界面中点击下一步在弹出的用户或组中;将要赋予管理权限的用户添加进来;然后点击下一步在列表中勾选所有的管理员权限;点击下一步点击下一步后再点击完成;授权完成四、在控制台配置AD域在控制台中添加创建的AD域;具体配置如下：1.在系统配置-认证管理-LDAP认证源中添加配置的AD域说明：不加密端口为389加密端口为636需要AD证书管理用户和密码为之前创建并赋予权限的用户列如：yuchenAD域前要加@1.在系统配置-认证管理-LDAP认证源信息对应中配置AD域源的字段关系对应；注意：对应的名称大小写是区分的;必须按照图中的关系一一对应说明：配置好后同步用户试试;如果正常图0735李震16:12:26默认情况下：LDAP过滤条件中填写objectClass=user则只同步一级目录项目上使用基线版本进行域同步时;如果域的组织有多层;在LDAP过滤条件中增加：域用户同步如果同步一级用户：LDAP过滤条件为：objectClass=user域用户同步如果同步多级用户：。

AD域安装详细步骤1.首先打开“开始”中“所有程序”，在其“管理工具”中找到“配置您的服务器向导”，向导中不仅仅可以配置AD域，还有其他服务可以在此安装（见图5），接下来便可以按照向导一步步安装AD域了。

图12.安装向导会提示您安装服务前所必须满足的一些要求，和需要做的准备。

图22.服务的安装需要有连接着的网络环境，请保证您的网络环境通畅。

图33.扫描完毕之后，会弹出配置选项，如果您不是很熟悉服务自定义安装，您可以选择“第一台服务器的典型配置”，如果您想定制安装请选择“自定义配置”或者点击“上一步”，再“下一步”。

图45.这里您会看到一台服务器可以安装的所有服务，我们这里需要安装AD域服务，所以点击“域控制器（Active Directory）”，然后下一步图56.然后向导会提示您所选择的安装对象，并进入预安装向导，下一步图6 7.进入AD安装向导，下一步图7 8.这里会提示你操作系统的兼容性问题图8 9.默认选择“新域的域控制器”，下一步图910.接下来依旧默认“在新林中的域”，下一步图1011.新的域名，你可以自定义，一般针对公司或者企业，填上其（名称.com）即可，名称要使用英文，下一步图1112.这时系统会显示上述域名对应的域NetBIOS名，默认就可以，当然你也可以自己修改填入新的名称图1213.接下来，想到会提示您存放数据库和日志文件夹的位置，通常为了让服务器获得最佳性能，这里最好要将这两个文件放到不同的物理磁盘上，如果系统目前只有一块硬盘，这时我需要新加一块硬盘，由于我在虚拟机做的实验，可以热添加，所以建议您在做AD域安装之前先添加一块硬盘，加入新硬盘后，使用新硬盘的步骤请看下一步图1314.安装好一块新的硬盘后，若是没被建立过分区，在使用系统内置的“磁盘管理”工具管理新磁盘时会提示“磁盘初始化和转换向导”，点击下一步图1415.这时向导会提示你选择初始化的磁盘，因为只添加了一块硬盘，故只有一个磁盘选项，如果您添加了多个磁盘，可以挑选，也可以多选。

企业AD域的实施步骤主要包括以下部分，具体长度为500-800字：1. 安装和配置DNS服务：AD域控制器需要依赖于DNS服务来正确解析域和控制器的名称。

这一过程涉及到安装DNS服务器、配置DNS区域和记录，以及安装和配置反向查找等步骤。

2. 安装和配置Active Directory：这是实施AD域的核心步骤，需要安装Active Directory服务，创建域控制器，设置域控的属性，然后加入到域中。

3. 创建用户和计算机账户：在Active Directory中创建相应的用户和计算机账户，并对账户的属性进行必要的设置，如密码策略、安全策略等。

4. 安装并配置网络策略：这一步骤可以用来限制对网络资源的访问，增强网络安全，并确保网络设备的配置符合AD域的要求。

5. 实施备份策略：为了应对可能出现的系统故障或数据丢失，需要实施备份策略，以确保数据的安全。

6. 培训员工：为了让员工熟悉新的AD域环境，需要进行相应的培训，包括如何使用新的网络资源，如何访问网络资源等。

7. 监控和优化：在AD域实施后，需要持续监控网络性能，优化网络环境，确保AD域的稳定运行。

具体步骤如下：1. 安装和配置DNS服务：首先，需要安装DNS服务器，并设置正确的DNS区域和记录。

确保DNS服务能够正确解析域名。

在进行这些步骤时，需要遵循微软官方文档和资源，并参考相关的安全最佳实践。

2. 安装和配置Active Directory：这一步骤需要一定的技术知识，并需要参考微软官方文档和资源。

首先，需要创建一个新的域控制器，并设置正确的DNS和安全设置。

然后，将域控制器加入到现有的Active Directory森林中。

在此过程中，需要保证所有工作站的配置正确，并能够与域控制器正常通信。

3. 创建用户和计算机账户：在Active Directory中创建相应的用户和计算机账户，并设置相应的属性。

需要遵循微软的安全策略和最佳实践，并确保所有账户的安全性。

一、安装条件∙∙安装者必须具‎有本地管理员‎权限∙操作系统版本‎必须满足条件‎（window‎s server‎2003 除WEB版外‎都满足）∙本地磁盘至少‎有一个NTF‎S文件系统∙有TCP/IP设置（IP地址、子网掩码等）∙有相应的DN‎S服务器支持‎∙有足够的可用‎空间二、安装安装活动目录‎：1、插入系统光盘‎。

2、打开【开始】菜单，单击【运行】命令，键入“Dcprom‎o”后单击【确定】按钮。

3、在出现的AD‎安装向导窗口‎中，单击【下一步】按钮。

4、出现操作系统‎兼容窗口，单击【下一步】按钮。

5、出现域控制器‎类型窗口，选中【新域的域控制‎器】，单击【下一步】按钮。

6、出现选择创建‎域的类型窗口‎，选中【在新林中的域‎】，单击【下一步】按钮。

7、出现新建域名‎窗口，键入要创建的‎域的域名，单击【下一步】按钮。

8、出现域Net‎B IOS名窗‎口，键入域的Ne‎t BIOS名‎，单击【下一步】按钮，向导会自动创‎建。

9、出现数据库和‎日志文件窗口‎，保持默认位置‎即可，单击【下一步】按钮。

10、出现共享的系‎统卷窗口，注意，文件夹所在分‎区必须是NT‎F S分区，保持默认位置‎即可，单击【下一步】按钮。

11、如果当前设置‎的DNS无法‎解析的话，会出现一个D‎N S注册诊断‎的窗口，可以选择第二‎项，把本机装成D‎N S服务器，单击【下一步】按钮。

12、在弹出的权限‎窗口中，保持默认选项‎即可，单击【下一步】按钮。

13、出现要输入目‎录还原模式的‎管理员密码，此密码用于【目录服务还原‎模式】下，单击【下一步】按钮。

14、向导会显示摘‎要，单击【下一步】按钮。

15、向导开始安装‎活动目录。

16、出现安装完成‎窗口，单击【完成】按钮，重新启动计算‎机即可。

卸载活动目录‎：1、打开【开始】菜单，单击【运行】命令，键入“Dcprom‎o”后单击【确定】按钮。

2、在出现的AD‎安装向导窗口‎中，单击【下一步】按钮。

AD域服务简介（⼀）-基于LDAP的AD域服务器搭建及其使⽤博客地址：⼀、前⾔1.1 AD 域服务什么是⽬录（directory）呢？⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory（电话⽬录）；计算机中的⽂件系统（file system）内记录着⽂件的⽂件名、⼤⼩与⽇期等数据，它就是 file directory（⽂件⽬录）。

如果这些⽬录内的数据能够由系统加以整理，⽤户就能够容易且迅速地查找到所需的数据，⽽ directory service（⽬录服务）提供的服务，就是要达到此⽬的。

在现实⽣活中，查号台也是⼀种⽬录；在 Internet 上，百度和⾕歌提供的搜索功能也是⼀种⽬录服务。

Active Directory 域内的 directory database（⽬录数据库）被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象，⽽提供⽬录服务的组件就是 Active Directory （活动⽬录）域服务（Active Directory Domain Service，AD DS），它负责⽬录数据库的存储、添加、删除、修改与查询等操作。

⼀般适⽤于⼀个局域⽹内。

在 AD 域服务（AD DS）内，AD 就是⼀个命名空间（Namespace）。

利⽤ AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP ⽹络环境内利⽤ Domain Name System（DNS）来解析主机名与 IP 地址的对应关系，也就是利⽤ DNS 来解析来得到主机的 IP 地址。

除此之外，AD 域服务也与 DNS 紧密结合在⼀起，它的域命名空间也是采⽤ DNS 架构，因此域名采⽤ DNS 格式来命名，例如可以将 AD 域的域名命名为 。

1.2 AD域对象与属性AD 域内的资源以对象（Object）的形式存在，例如⽤户、计算机与打印机等都是对象，⽽对象则通过属性（Attriburte）来描述其特征，也就是说对象本⾝是⼀些属性的集合。

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。

通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。

当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。

此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前，必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数：添加运行Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令，您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外，请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次adprep /domainprep /gpprep。

Samba 集成AD域配置过程系统：rhel6.0主要就两个步骤：第一：把samba所在的那个linux系统加入到windows的AD域；第二：把samba共享服务配制成AD域认证访问模式；准备工作：1.IP和hostname：这里面IP当然要设置为静态的，同时跟AD域处于同一个网段内。

需要注意的是：hostname的设置，要规范，不能出现有悖域名规则的符号出现如：下划线“_”,特殊符号“！￥% #”等，就还是规规矩矩的字母+数字为最好2.配置DNS：修改：/etc/sysconfig/network-scripts/ifcfg-eth0文件，增加一项：DNS=”192.168.1.150”Windows域控的IP同样，也把linux用作域名解析分配置文件修改如下：/etc/resolv.confdomain search nameserver 192.168.1.1503.设置domain：修改：/etc/sysconfig/networkHOSTNAME=hubian-DEV 设置hostnameNETWORKING=yesNISDOMAIN= windowsDomain全域名4.设置FQDN：修改：/etc/hosts 增加如下内容：192.168.1.150 vancloud-DC192.168.1.33 hubian-DEV 5.确保时间同步：同一时区，时间相隔差小于5分钟，可用命令执行：ntpdate 192.168.1.1506.安装所需要的组件：yum install samba krb5*7.关掉selinux和Iptables！Linux 系统入域：1.修改/etc/nsswitch 文件~# vi etc/nsswitch.conf修改对应的地方成如下：增加蓝色字样的部分即可。

passwd: files winbindshadow:files winbindgroup:files winbindhosts: files dns wins2.修改/etc/krb5.conf 文件（入域关键部分）增加和修改对的蓝色部分~#vi /etc/krb5.conf[logging]default = FILE:/var/log/krb5libs.logkdc = FILE:/var/log/krb5kdc.logadmin_server = FILE:/var/log/kadmind.log[libdefaults]default_realm = dns_lookup_realm = falsedns_lookup_kdc = falseticket_lifetime = 24hrenew_lifetime = 7dforwardable = true[realms] = {kdc = 192.168.1.150:88default_domain = kdc = 192.168.1.150}[domain_realm] = = [kdc]profile = /var/kerberos/krb5kdc/kdc.conf[appdefaults]pam = {debug = falseticket_lifetime = 36000renew_lifetime = 36000forwardable = truekrb4_convert = false}3.入域操作：执行命令：~# kinit administrator@Password for administrator@:~#(输入正确密码后会直接返回即为正常情况)报错的原因，大都会是因为一些细节：时间没有同步、hostname不规范等等，可以在/var/log/message里面进行详细查看和解决。

AD域服务器设置AD域服务器设置文档范本：⒈介绍⑴本文档描述了如何设置和配置AD域服务器。

⑵ AD域服务器是用于管理网络中的用户、计算机和其他资源的中心化身份认证和访问控制解决方案。

⒉准备工作⑴确认系统要求和硬件要求，包括操作系统版本、处理器和内存要求。

⑵安装并配置适当的网络连接、电源和硬盘存储。

⑶确保网络连接稳定，并且可以与其他计算机通信。

⒊安装AD域服务器⑴ AD域服务器安装文件。

⑵运行安装程序。

⑶按照安装向导的指示进行安装。

⑷配置AD域服务器的名称和域名称。

⒋配置域控制器⑴登录到AD域服务器。

⑵打开“服务器管理器”。

⑶单击“角色和功能”。

⑷单击“添加角色和功能”。

⑸选择“Active Directory域服务”。

⑹按照向导的指示进行配置。

⑺设置域管理员和域用户的账户。

⒌配置DNS服务器⑴打开“服务器管理器”。

⑵单击“工具”。

⑶单击“DNS”。

⑷添加AD域服务器的DNS记录。

⑸配置适当的DNS转发。

⑹确保DNS服务器正常运行。

⒍管理AD域服务器⑴打开“Active Directory用户和计算机”控制台。

⑵管理用户和组。

⑶管理计算机和设备。

⑷配置组策略。

⑸监控AD域服务器的性能和状态。

⑹定期备份AD域服务器数据。

⒎故障排除和维护⑴检查系统日志和事件查看器以解决问题。

⑵更新和维护AD域服务器的操作系统和安全补丁。

⑶定期检查AD域服务器的健康状态。

⑷备份和恢复AD域服务器数据。

附件：本文档没有附件。

法律名词及注释：●AD: Active Directory的缩写，是一种目录服务，用于在Windows域网络中存储和组织网络资源和用户标识。

●域控制器（Domn Controller）: 运行Active Directory服务的服务器，用于认证和授权网络中的用户和计算机。

●DNS: 域名系统（Domn Name System）是一种分布式数据库，用于将域名转换为IP地址。

AD域控制服务器教程
AD域控制服务器教程
⒈介绍
本文档旨在向读者介绍如何设置和管理Active Directory（AD）域控制服务器。

AD域控制服务器是一种用于集中管理网络上所有计算机、用户和组的服务器，它提供了一种安全的身份验证和授权机制，为网络管理员带来了很大的便利和管理效率。

本文将详细介绍AD域控制服务器的安装、配置和管理过程。

⒉准备工作
在安装和配置AD域控制服务器之前，需要进行以下准备工作：
⑴确保服务器符合最低硬件要求
⑵确保服务器操作系统支持AD域控制
⑶确定域名和域控制器的名称
⑷确定网络设置，包括IP地质、子网掩码、默认网关等
⒊安装AD域控制服务器
⑴并安装Windows Server操作系统
⑵添加域控制器角色
⑶运行域控制器安装向导，进行域控制器的安装
⑷完成安装过程并重新启动服务器
⒋配置AD域控制服务器
⑴连接到AD域控制服务器
⑵配置域名系统 (DNS)
⑶配置动态主机配置协议 (DHCP)
⑷配置组策略
⑸配置安全性设置
⑹配置用户和组
⒌管理AD域控制服务器
⑴添加和删除AD域用户和组
⑵设置用户和组的权限
⑶配置域控制器的复制
⑷监视域控制器的性能
⑸进行域控制器备份和恢复
⒍故障排除和常见问题解决
⑴常见错误消息及其解决方案
⑵域控制器无法启动的解决方法
⑶用户无法登录的解决方法
⑷域控制器复制失败的解决方法
附件：<附件名称>
法律名词及注释：
⒈AD（Active Directory）：是由微软公司开发的一种用于集中管理计算机、用户和组的目录服务。

一为什么需要域？此文档转自网上，希望能对需要的朋友有所帮助！对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Directory 系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

Active Directory配置详解一为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录…，很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Director y系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器F lorence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

AD域的配置与管理
环境：windows server 2008 R2
软件：VMware一.创建域控制器
1.启动服务器管理器，选择操作，添加角色
2.选中AD域下一步
3.单击安装
4.安装完成后，在运行中输入Dcpromo点确定
5.弹出AD域安装向导点下一步
6.选择在新林中xx域
7.输入域名
8.选择林功能级别
这里选择2008 R2
9.没有配置dns服务的勾选dns服务器，点下一步
10.目录位置，无特殊需求的话都默认
11.为域下管理员创建密码
12.在完成后重新启动打勾
13.完成重启后输入域管理员密码，AD域就配置完成了二.客户端加入AD域
1.配置客户端IP和dns
将客户端的IP与AD域服务器的IP写在同一网段，并把客户端的dns指向AD域服务器的IP
2.在我的电脑右击鼠标，选择属性，单击更改设置，选择域并输入域名
1/ 2
3.按提示输入账户和密码
4.当显示欢迎加入域时，说明客户端已经加入AD域了
5.重启计算机
6.在登陆页面切换用户，输入AD域管理员账户密码，输入账户时，在账户名后面加@域名
7.再打开系统设置，就可以看到本机处于域模式了
2/ 2。

主备域服务器安装指南一、准备工作1.安装两台server2008R2虚拟机;这两台虚拟机需要在不同的存储、不同的物理机上运行;只有这样;两个虚拟机同时宕机的概率会比较小;才能实现互为主备;互相切换..2.两个server2008的用户名administrator密码unis123;关闭防火墙;关闭systemupdate;打开远程访问..3.配置密码策略gpedit.msc4.分别配置两个server的主机名AD-1\AD-2和IP地址注意DNS是互为DNS..二、安装主AD域1.在AD-1上;运行dcpromo2.进入AD域服务安装界面;点击下一步；操作系统兼容性;点击下一步；3.选择在新林中新建域；命名林根域：unissoft-nj4.选择林功能级别：server2008R2；勾选DNS；下一步；5.提示无法创建该DNS服务器的委派;因为这台server没有安装过DNS服务器;忽略警告;选择“是”..6.数据库、配置文件选择默认的C盘;下一步；7.配置AD域账户unissoft-nj/administrator的密码unis123；这个密码不同于之前的系统administrator的密码;之前的administrator及密码是本地密码不是域控用户和密码..8.域控制器信息摘要;下一步；等待DNS安装完成;勾选完成后重新启动..9.安装完成重启系统后;重新登录到AD-1;使用域管理员账户unissoft-nj/administrator和密码unis123登录..10.查看计算机信息;计算机全名AD-1.unissoft-nj;域：unissoft-nj11.查看网络配置;此时的DNS信息被更改为;重新配置DNS信息13.从AD-2服务器上pingunissoft-nj能解析到;证明unissoft-nj主域完成..三、安装备AD域1.将AD-2加入到unissoft-nj域控制器计算机属性—更改---隶属于域：unissoft-nj;确定；2.输入unissoft-nj的用户名administrator和密码unis123；提示加入unissoft-nj成功;需要重启系统后生效..3.完成重启系统后;重新登录到AD-2;使用域管理员账户unissoft-nj/administrator和密码unis123登录..4.查看计算机信息;加入unissoft-nj成功..5.关闭域控防火墙;默认域控安装完成后;域控防火墙是打开的..6.在AD-2上;运行dcpromo7.进入AD域服务安装界面;点击下一步；操作系统兼容性;点击下一步；8.选择现有林---向现有域添加域控制器;点击下一步；9.键入域名：unissoft-nj;下一步；选择域unissoft-nj下一步；10.选择站点默认;点击下一步；检查DNS配置；11.域控制器选项;选择DNS服务器;选择全局编录；下一步;对提示选择“是”12.选择默认的目录C盘13.目录服务还原模式的Administrator的密码;不同于域administrator..设置为Unis123U大写;下一步；14.配置信息摘要;完成后重新启动系统..15.重启后;登录AD-2系统unissoft-nj/administrator;查看服务器管理器；可以看到AD域服务和DNS服务器;说明备AD域安装完成..四、测试AD主备域1.测试：在AD-1上建立用户admin密码unis123开始—程序—管理工具—ActiveDirectory用户和计算机--Users结果：查看AD-2上用户信息;有admin用户..结论：新建用户可以从AD-1正常同步到AD-2..2.测试：在AD-2上建立用户user001user002user003结果：查看AD-1上用户信息;有用户user001user002user003；结论：新建用户可以从AD-2正常同步到AD-1..3.测试：在AD-1上删除用户user003结果：查看AD-2上用户信息;已经没有user003；结论：删除用户可以从AD-1正常同步到AD-2..4.测试：在AD-2上更改admin密码;更改为unis；结果：登录到AD-191使用旧密码unis123登录;无法登陆；使用新密码unis可以正常登陆..结论：更改用户密码可以从AD-2正常同步到AD-1..5.测试：AD-1和AD-2不同情况下;第三台主机设置DNS=unissoft-nj的情况；结果:。

AD域管理员手册v12AD域管理员手册v12版本号：1.2目录：1.介绍2.AD域的基本概念3.AD域管理员的职责和权限4.AD域的安装和配置5.AD域的管理工具6.用户和组管理7.计算机管理8.策略管理9.安全和权限管理10.备份和恢复11.常见问题和故障排除12.参考资料和学习资源1.介绍AD域（Active Directory Domain）是微软公司开发的一款用于管理和控制计算机网络的目录服务。

AD域管理员是负责管理和维护AD域的专业人员，他们需要具备一定的技术知识和技巧，以确保AD域的高效和安全运行。

本手册旨在向AD域管理员提供一份详尽的指南，帮助他们更好地理解和使用AD域，解决常见问题和故障，并提供最佳实践。

2.AD域的基本概念在开始使用AD域之前，AD域管理员需要了解AD域的基本概念，包括域、域控制器、组织单位、用户和组等概念。

本节将对这些概念进行详细介绍，以帮助管理员更好地理解AD域的结构和组织方式。

3.AD域管理员的职责和权限4.AD域的安装和配置AD域的安装和配置是AD域管理员的核心工作之一、本节将介绍AD 域的安装和配置步骤，包括域控制器的选择、域名的设置、安全策略的配置等。

5.AD域的管理工具AD域提供了一系列的管理工具，包括Active Directory用户和计算机、组策略管理等。

本节将介绍常用的AD域管理工具，并提供使用技巧和注意事项。

6.用户和组管理7.计算机管理8.策略管理AD域提供了组策略（Group Policy）功能，允许管理员集中管理和配置AD域中的计算机和用户。

本节将介绍组策略的基本概念、创建和配置策略的步骤，并提供最佳实践和注意事项。

9.安全和权限管理10.备份和恢复11.常见问题和故障排除本节将介绍AD域常见问题和故障排除方法，包括用户登录问题、计算机无法加入域等。

12.参考资料和学习资源最后一节提供一些有用的参考资料和学习资源，帮助AD域管理员进一步提升技术水平。