AD域配置详解方案
AD域服务器配置使用手册
AD域服务器配置使用手册目录•简介•安装AD域服务器•配置AD域服务器•使用AD域服务器•常见问题与解决方案简介Active Directory(简称AD)是由微软公司开发的一种目录服务,用于管理和组织网络中的用户、计算机、应用程序等资源。
AD域服务器是一个核心组件,用于集中管理和分发资源,提供统一的身份验证和访问控制。
本文档将指导您进行AD域服务器的安装、配置和使用,以便在企业网络中实现集中管理和统一认证。
在安装AD域服务器之前,您需要确保以下条件已满足:•一台运行Windows Server操作系统的服务器•具有管理员权限的帐户•确保网络连接正常按照以下步骤进行AD域服务器的安装:1.在服务器上运行Windows Server安装程序。
2.选择“自定义安装”选项,并选择“域控制器”角色。
3.指定域的名称,并设置管理员密码。
4.安装必要的依赖项和组件。
5.完成安装过程。
安装完成后,您需要进行AD域服务器的配置,以满足特定的网络需求。
以下是一些常见的AD域服务器配置任务:•添加组织单位(OU)和用户组:用于组织和管理用户和计算机资源。
•配置组策略:通过组策略设置实施安全和配置要求。
•创建用户账户和共享文件夹:用于授权和权限管理。
•配置安全认证和访问控制:用于保护网络资源免受未经授权的访问。
•配置域名服务器(DNS)和动态主机配置协议(DHCP):用于自动分配IP地址和解析域名。
您可以通过Windows Server管理工具如Active Directory用户和计算机、组策略管理等进行以上配置任务。
使用AD域服务器一旦AD域服务器配置完成,您可以开始使用其提供的功能:•用户身份验证和访问控制:用户可以使用域帐户登录到域中的任何计算机,并访问授权的资源。
•统一管理:通过AD域服务器,您可以集中管理用户、计算机和应用程序的配置和访问权限。
•自动化管理:通过组策略和脚本,可以自动化管理和配置群组策略、软件安装等。
AD配置说明
AD配置说明1. LDAP管理1.1打开:基础设置访问控制LDAP管理1.2属性说明属性名 描述 备注名称 用户自定义类型 AD服务器类型服务器 服务器连接地址 例:ldap://192.168.1.100端口 服务器连接端口 默认:389登录帐号 AD域帐号 AD域真实存在AD域用户密码 AD域帐号的密码BaseDN 基位置(dc:域名,ou:组织,cn:部门) 例:CN=Users,DC=domainname,DC=com搜索过滤器 过滤条件 例:(objectClass=user) 允许定期同步更新 是否允许本系统与Ad域同步更新YES或NO1.3配置示例1.3.1 AD服务器1.3.2配置如图所示1.3.3连接测试1.3.4保存即可2、域用户管理2.1 打开:基础设置访问控制域用户列表2.2 查看 域的所有用户(下拉列表数据是LDAP管理数据)2.3 对AD用户手动导入选中要导入的用户:点击导入:设置导入到指派的机构和用户角色点击导入:弹出导入结果查看导入的用户:基础设置‐访问控制‐用户管理2.4注:导入的密码与登录帐号一样3、AD同步更新设置3.1 前提条件基础设置‐访问控制‐LDAP管理,列状态=”Success”和允许定期同步更新=”是”,如图示:3.2【状态=”Success”】配置选中某行数据,点击”连接测试”按钮,显示”连接测试成功”后,状态会变成” Success”3.3【允许定期同步更新=”是”】配置:编辑‐允许定期同步更新 勾上—保存3.4 设置AD同步更新日程(周期)3.4.1 打开:基础设置—系统工具—定期任务管理3.4.2 新增同步日程任务3.4.3 选择【活动目录(AD)同步更新】‐‐【确认选择】3.4.4 保存即可3.4.5 备注说明AD用户更新信息,同步更新后,用户相关信息会自动更新。
AD用户添加,同步更新后,自动添加到本系统。
AD域配置详解方案
Active Directory配置详解一为什么需要域?对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录…,很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出Active Director y系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器F lorence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
AD域部署方案
AD域部署方案一、综述:活动目录(AD)为网络的用户、管理员和应用程序提供了一套分布式网络环境设计的目录服务。
活动目录使得组织机构可以有效地对有关网络资源和用户的信息进行共享和管理。
另外,目录服务在网络安全方面也扮演着中心授权机构的角色,从而使操作系统可以轻松地验证用户身份并控制其对网络资源的。
同等重要的是,活动目录还担当着系统集成和巩固管理任务的集合点。
总的来说,活动目录的这些功能使组织机构可以将标准化的商业规则贯彻于分布式应用和网络资源当中,同时,无需管理员来维护各种不同的专用目录。
二、客户题:客户方随着企业规模扩大,办公电脑数量增多,员工数量增加,随之而来就是管理题的突显;各种软件的安装,网上冲浪,聊天工具的使用;都对公司的正常业务带来影响;三、解决方案的架构:1、公司采用单域单站点管理模式,建设AD与BAD,即主域控器与备份域控制器,在其下面采用U(组织单元)的模式进行集中管理各部门人员与电脑。
此种管理模式,成本降低,且减少管理复杂度和维护量。
2、AD(主域控制器):公司所有权限管理,用户建立以及各种策略、软件等的管理及实施到每台电脑。
3、BAD(备份域控制器):采用与AD完全相同的设置,继承AD上的所有管理资料,防止AD出现故障后,公司电脑无法登陆AD和使用网络资源,在BAD服务器上,建立资源共享件夹,即Fileserver,进行公司种件的共享和使用,将BAD 服务器做成WSUS服务器(indos补丁服务器),管理公司所有电脑的补丁的下载与提供安装的服务,如有需要还可集成SASERVER服务器,进行公司网络的管控(上外网的的控制)。
四、解决方案的优势:1、方便管理,权限管理比较集中,管理人员可以较好的管理计算机资源。
n域控制器集中管理用户对网络的,如登录、验证、目录和共享资源。
为了简化管理,所有域中的域控制器都是平等的,你可以在任何域控制器上进行修改,这种更新可以复制到域中所有的其他域控制器上。
ad域方案
ad域方案AD域方案1. 引言Active Directory(AD)是一种用于管理用户、计算机和其他资源的目录服务。
AD域方案是指在企业网络中实施AD域服务的计划和部署方案。
本文将介绍AD域的基本概念、架构和实施步骤,以及一些最佳实践。
2. AD域的基本概念AD域是一种层次化的目录服务架构。
它使用树状结构来组织和管理对象,其中最上层是域(Domain),其下可以有一个或多个组织单位(Organizational Unit,OU)。
域是逻辑上的边界,用于划分、隔离和管理网络中的资源和对象。
AD域中的对象包括用户(User)、计算机(Computer)、组(Group)等。
每个对象都有一个唯一的标识符(GUID),用于在全局范围内标识该对象。
3. AD域的架构AD域的架构由以下几个核心组件组成:3.1 域控制器(Domain Controller)域控制器是AD域的关键组件,它包含了存储了AD域的目录数据库(Directory Database)。
域控制器负责处理用户验证、访问控制、安全策略等功能。
AD域中可以有一个或多个域控制器,它们之间通过复制(Replication)实现数据的同步和冗余。
多个域控制器可以提高域的可用性和性能。
3.2 域名系统(Domain Name System,DNS)DNS在AD域中起到至关重要的作用。
它负责将域控制器和其他网络资源的名称解析为相应的IP地址,以实现网络通信。
在部署AD域时,需要正确配置DNS服务器,并将域控制器的名称和IP地址注册到DNS中。
3.3 组策略(Group Policy)组策略是AD域中的一项重要功能,它允许管理员通过集中管理的方式来配置用户和计算机的操作系统和应用程序设置。
组策略可以用于实施安全策略、应用程序部署、桌面设置等。
4. AD域的实施步骤要实施AD域方案,需要按照以下步骤进行:4.1 设计域架构在设计域架构时,需要考虑域的数量、域控制器的位置、OU的组织结构等因素。
AD域权限控制案例配置解析
一、实验环境AD域控制器和DNS服务器ip:13.200.1.100Windows7主机一:13.200.1.104Windows7主机二:13.200.1.105二.AD域控制器和DNS的安装这一步不是必须的,在安装Active Directory 域服务时可以同时装上DNS服务器。
Active Directory 域服务安装向导-->其它域控制服务器,勾上DNS服务器也有同样效果,鉴于服务器配置容易出现一些未知小错误,还是提前安装上比较省心。
•开始菜单-->管理工具-->服务器管理器•选择左侧树形菜单“角色”节点,右键“添加角色”点击“下一步按钮”勾选“DNS 服务器”点击“下一步”按钮点击“下一步”按钮点击“安装”按钮点击“关闭”按钮,重启服务器!二、AD域控制的配置开始菜单-->运行-->输入命令“dcpromo”à点击“确定” 按钮进入安装界面弹出Active Directory 域服务安装向导,并点击“下一步”按钮点击“下一步”按钮选择“在新林中新建域”并点击“下一步”按钮输入域名并点击“下一步”按钮我们这里的域为:林功能级别选择“Windows Server 2008 R2” 并点击“下一步”按钮点击“下一步”按钮,如果最初没有安装DNS服务器,此处可以勾选并安装点击“下一步”按钮弹出DNS提示框,点击“是“按钮,继续安装点击“下一步”按钮输入Administrator密码和确认密码,点击“下一步”按钮点击“下一步”按钮点击“完成”按钮,重启服务器四、权限分配设置共享文件夹用户权限Test1为只读Test2为可读可写六、加入域Test1用户加入域Test2用户加入域七、验证文件夹权限Test1上面的文件操作可以下载文件不能上传文件Test2可以上传也可以下载。
AD域服务器配置使用手册
Windows Terminal Service 终端服务器安装配置文档一:将服务器提升为域服务器如果你的Win2003高级服务器版,没有升级到域控制器,就是nt 下常说的dc。
在开始菜单的管理工具中选择“配置服务器”。
next选择“active directory”。
下一步选择“启动active directory向导”。
nextnext默认即可。
nextnextnext这里指定一个dns名机子会去搜寻dns服务器,next我的输入"kelaode",你们自定。
默认得,nextnext确定。
这里我不配置dns,根据自己的情况配置。
next默认即可。
nextnextnext这个需要一些时间。
完成。
重起。
二:用户登录1:设置策略组添加受策略控制组时注意画圈位置,必须使用“应用组策略”,否则策略不能生效右面,可以继续“添加”受此策略控制的组,该组现可管理“政治处”和“指挥处”两个组2:编辑策略组交互登录设置(1)编辑本地策略(如在“管理策略”),添加“通过终端服务容许登录”和“允许本地登录“(2)打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“(下图)(3)打开“默认域安全策略”,在下图中添加远程登录的组此时,即可已完成交互登录的设定!受策略控制组的权限设定1:Netmeeting 禁止文件发送设定2:在“管理模板—资源管理器”中做磁盘访问权限设定,网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定“系统”中如图设定在“用户配置---管理模板---桌面”中如下配置1、完全禁用控制面板设定,将“禁止访问控制面板“起用”即可!2、控制面板部分禁用设定,不起用“禁止访问控制面板”,然后在起用“直显示指定控制面板程序”,并添加相应的程序名,只显示“键盘、鼠标和字体”等设定如下设置后效果如下图:控制面板程序对照表(见最后附加表)禁止添加删除程序设定,如下图:打印机添加设定在“控制面板——打印机”中,可进行禁止用户添加、删除打印机设定,如下图使用Ctrl+Alt+Del时,只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定,将“注销“添加到开始菜单的设定,开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定,如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令!网络设定禁止普通用户访问Tcp/IP高级设置,禁用新建连接,禁止访问LAN连接属性等的设置1. 网络设定:注意DNS设定!2. 重定向文件夹权限设定此处注意,最好加入Domain User的共享权限(默认为Everyone)为完全控制,否则会发生不能重定向的现象。
AD域管理解决方案
AD域管理解决方案一、架构设计1. 域控制器(DC):在企业网络中配置多个域控制器,确保高可用性,并减少单点故障的风险。
每个域控制器都要运行Active Directory服务,并拥有复制和故障转移功能。
2.组织单位(OU):根据企业的组织架构和业务需求,创建适当的OU来对各个部门、组织单元进行管理。
OU可以根据需要进行重命名、合并或删除。
3.安全组和分发组:根据不同的权限需求,创建安全组来管理用户的访问权限。
分发组用于将软件包、策略等分发给特定的用户组。
4.策略管理:使用组策略管理(GPO)来对用户和计算机进行集中管理和配置,例如设置密码策略、桌面背景、软件安装等。
可以根据业务需求创建不同的GPO,并将其应用到不同的OU或安全组上。
5.用户管理:使用AD提供的用户管理功能,对用户进行创建、删除、禁用、启用、密码重置等操作。
同时,使用单一登录(SSO)技术,可以实现用户在任何一个域控制器上登录的能力。
6.计算机管理:通过AD可以对计算机进行集中管理,包括加入域、远程管理、软件分发等。
可以使用域管理员账户对计算机进行管理,并通过组策略对其配置进行统一管理。
7.安全审计和监控:使用AD提供的安全审计功能,对域内的活动进行监控和记录。
可以设置审计策略,并将审计日志发送到集中的日志服务器进行分析。
8.备份和恢复:定期备份AD数据库和系统状态,以防发生丢失或故障。
同时,进行灾难恢复演练,以确保在紧急情况下能够快速恢复AD服务。
二、操作流程1.设计和规划:根据企业的组织结构和业务需求,设计适合的域控制器架构和管理策略。
确定OU结构和安全组设置,制定相应的操作规范和权限策略。
2.部署域控制器:根据设计方案,在企业网络中配置域控制器,确保其高可用性和故障转移能力。
进行域控制器的加入和复制配置,并进行适当的测试和验证。
3.创建组织单位和安全组:根据设计方案,在AD中创建组织单位和安全组,并进行相应的配置和权限分配。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Active Directory配置详解一为什么需要域?对很多刚开始钻研微软技术的朋友来说,域是一个让他们感到很头疼的对象。
域的重要性毋庸置疑,微软的重量级服务产品基本上都需要域的支持,很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。
但域对初学者来说显得复杂了一些,众多的技术术语,例如Active Directory,站点,组策略,复制拓扑,操作主机角色,全局编录…,很多初学者容易陷入这些技术细节而缺少了对全局的把握。
从今天开始,我们将推出Active Director y系列博文,希望对广大学习AD的朋友有所帮助。
今天我们谈论的第一个问题就是为什么需要域这个管理模型?众所周知,微软管理计算机可以使用域和工作组两个模型,默认情况下计算机安装完操作系统后是隶属于工作组的。
我们从很多书里可以看到对工作组特点的描述,例如工作组属于分散管理,适合小型网络等等。
我们这时要考虑一个问题,为什么工作组就不适合中大型网络呢,难道每台计算机分散管理不好吗?下面我们通过一个例子来讨论这个问题。
假设现在工作组内有两台计算机,一台是服务器Florence,一台是客户机Perth。
服务器的职能大家都知道,无非是提供资源和分配资源。
服务器提供的资源有多种形式,可以是共享文件夹,可以是共享打印机,可以是电子邮箱,也可以是数据库等等。
现在服务器F lorence提供一个简单的共享文件夹作为服务资源,我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国,注意,这个文件夹只有张建国一个人可以访问!那我们就要考虑一下如何才能实现这个任务,一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号,如果访问者能回答出张建国账号的用户名和密码,我们就认可这个访问者就是张建国。
基于这个朴素的管理思路,我们来在服务器上进行具体的实施操作。
首先,如下图所示,我们在服务器上为张建国创建了用户账号。
然后在共享文件夹中进行权限分配,如下图所示,我们只把共享文件夹的读权限授予了用户张建国。
好,接下来张建国就在客户机Perth上准备访问服务器上的共享文件夹了,张建国准备访问资源\\Florence\人事档案,服务器对访问者提出了身份验证请求,如下图所示,张建国输入了自己的用户名和口令。
如下图所示,张建国成功地通过了身份验证,访问到了目标资源。
看完了这个实例之后,很多朋友可能会想,在工作组模式下这个问题解决得很好啊,我们不是成功地实现了预期目标嘛!没错,在这个小型网络中,确实工作组模型没有暴露出什么问题。
但是我们要把问题扩展一下!现在假设公司不是一台服务器,而是500台服务器,这大致是一个中型公司的规模,那么我们的麻烦就来了。
如果这500台服务器上都有资源要分配给张建国,那会有什么样的后果呢?由于工作组的特点是分散管理,那么意味着每台服务器都要给张建国创建一个用户账号!张建国这个用户就必须痛不欲生地记住自己在每个服务器上的用户名和密码。
而服务器管理员也好不到哪儿去,每个用户账号都重新创建500次!如果公司内有1000人呢?我们难以想象这么管理网络资源的后果,这一切的根源都是由于工作组的分散管理!现在大家明白为什么工作组不适合在大型的网络环境下工作了吧,工作组这种散漫的管理方式和大型网络所要求的高效率是背道而驰的。
既然工作组不适合大型网络的管理要求,那我们就要重新审视一下其他的管理模型了。
域模型就是针对大型网络的管理需求而设计的,域就是共享用户账号,计算机账号和安全策略的计算机集合。
从域的基本定义中我们可以看到,域模型的设计中考虑到了用户账号等资源的共享问题,这样域中只要有一台计算机为公司员工创建了用户账号,其他计算机就可以共享账号了。
这样就很好地解决刚才我们提到的账号重复创建的问题。
域中的这台集中存储用户账号的计算机就是域控制器,用户账号,计算机账号和安全策略被存储在域控制器上一个名为Active Directory的数据库中。
上述这个简单的例子说明的只是域强大功能的冰山一角,其实域的功能远远不止这些。
从下篇博文我们将开始介绍域的部署以及管理,希望大家在使用过程中逐步增加感性认识,对域有更加深入及全面的了解,能够掌握好Active Directory这个微软工程师必备的重要知识点。
二部署第一个域在上篇博文中我们介绍了部署域的意义,今天我们来部署第一个域。
一般情况下,域中有三种计算机,一种是域控制器,域控制器上存储着Active Directory;一种是成员服务器,负责提供邮件,数据库,DHCP等服务;还有一种是工作站,是用户使用的客户机。
我们准备搭建一个基本的域环境,拓扑如下图所示,Florence是域控制器,Berlin是成员服务器,Perth是工作站。
部署一个域大致要做下列工作:1 DNS前期准备2 创建域控制器3 创建计算机账号4 创建用户账号一 DNS前期准备DNS服务器对域来说是不可或缺的,一方面,域中的计算机使用DNS 域名,DNS需要为域中的计算机提供域名解析服务;另外一个重要的原因是域中的计算机需要利用DNS提供的SRV记录来定位域控制器,因此我们在创建域之前需要先做好DNS的准备工作。
那么究竟由哪台计算机来负责做DNS服务器呢?一般工程师有两种选择,要么使用域控制器来做DNS服务器,要么使用一台单独的DNS服务器。
我一般使用一台独立的计算机来充当DNS服务器,这台DNS服务器不但为域提供解析服务,也为公司其他的业务提供DNS解析支持,大家可以根据具体的网络环境来选择DNS服务器。
在创建域之前,DNS服务器需要做好哪些准备工作呢?1、创建区域并允许动态更新首先我们要在DNS服务器上创建出一个区域,区域的名称和域名相同,域内计算机的DNS记录都创建在这个区域中。
我们在DNS服务器上打开DNS管理器,如下图所示,右键单击正向查找区域,选择新建一个区域。
出现新建区域向导后,点击下一步继续。
区域类型选择“主要区域”。
区域名称和域名相同,是。
区域一定要允许动态更新,因为在创建域的过程中需要向DNS区域中写入A记录,SRV记录和Cname记录。
区域创建完毕,点击完成结束创建。
2、检查NS和SOA记录区域创建完成后,一定要检查一下区域的NS记录和SOA记录。
在前面的DNS课程中,我们已经介绍了NS记录和SOA记录的意义,NS记录描述了有多少个DNS服务器可以解析这个区域,SOA记录描述了哪个DNS服务器是区域的主服务器。
如果NS记录和SOA记录出错,域的创建过程中就无法向DNS区域中写入应有的记录。
在DNS服务器上打开DNS管理器,在区域中检查ns记录,如下图所示,我们发现ns 记录不是一个有效的完全合格域名,我们需要对它进行修改。
如下图所示,我们把ns记录改为,解析出的IP地址和DNS服务器的IP是吻合的,这样我们就完成了ns记录的修改。
如下图所示,我们把区域的SOA记录也同样进行修改,现在区域的主服务器是,这样SOA记录也修改完毕了。
至此,DNS准备工作完成,我们接下来可以部署域了。
二创建域控制器有了DNS的支持,我们现在可以开始创建域控制器了,域控制器是域中的第一台服务器,域控制器上存储着Active Directory,可以说,域控制器就是域的灵魂。
我们准备在Florence上创建域控制器,首先检查Florence网卡的TCP/IP属性,注意,Florence应该使用作为自己的DNS服务器。
因为我们刚刚在上创建了区域。
如下图所示,在Florence上运行Dcpromo,开始域控制器的创建。
如下图所示,出现Active Directory安装向导,创建域控制器其实就是在Florence上安装一个Active Directory数据库,点击下一步继续。
是一个新创建的域,因此我们选择创建“新域的域控制器”。
如下图所示,我们选择创建一个“在新林中的域”,这个选项是什么意思呢?我们虽然只是简单地创建了一个域,但其实从逻辑上讲是创建了一个域林。
因为域一定要隶属于域树,域树一定要隶属于域林。
因为我们实际上是创建了一个域林,虽然这个域林内只有一棵域树,域树内只有一个树根。
输入域的DNS名称,。
域的NETBIOS名称是ADTEST,由于.在NETBIOS名称中是非法字符,因此基本上域的NETBIOS名称就是域名中.之前的部分。
Active Directory数据库的路径我们使用了默认值,如果在生产环境,可以考虑把数据库和日志部分分开存储。
Sysvol文件夹的路径我们也使用默认值,至于Sysvol文件夹是干嘛的,我们后续会有介绍。
接下来Active Directory的安装向导会对DNS服务器进行检测,检查是否在DNS服务器上已经创建了和域名相同的区域,而且区域是否允许动态更新。
如下图所示,DNS检测通过。
注意,如果DNS检测有问题,我们应该及时排除故障,而不应该继续向下进行。
接下来要选择用户和组的默认权限,我们选择了不允许匿名用户查询域中的信息。
设置一下目录服务还原模式的管理员口令,我们从备份中恢复Activ e Directory时需要用到。
好,如下图所示仔细检查一下创建域的各项设置是否正确,如果没有问题我们就开工了!如下图所示,Active Directory安装向导开始在Florence上安装A ctive Directory。
如下图所示,重启计算机后即可完成Active Directory的安装。
重启Florence后我们发现已经可以用域管理员的身份登录了,域已经被成功创建了。
检查DNS服务器,我们发现DNS区域中已经自动创建了很多记录,这些记录的作用以后我们再来分析,现在大家只要注意检查一下创建域时有没有把这些记录创建出来,如果没有那就有问题了。
至此,我们完成了域控制器的创建,域诞生了!三创建计算机账号创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在Active Directory中创建计算机账号。
创建计算机账号从操作上看非常简单,但其实背后涉及的东西很多,例如域控制器和加入域的计算机要共享一个密钥等等,这些内容我们在后期会为大家介绍。
以Berlin为例为大家介绍如何把计算机加入域,首先要确保Berlin 已经使用了作为自己的DNS服务器,否则Berlin无法利用DNS定位域控制器。
如下图所示,在Berlin的计算机属性中切换到“计算机名”标签,点击“更改”。
我们选择让Berlin隶属于域,域名是。
这时系统需要我们输入一个有权限在Active Directory中创建计算机账号的用户名和口令,我们输入了域管理员的用户名和密码。
系统弹出一个窗口欢迎Berlin加入域,这时在Florence上打开Act ive Directory用户和计算机,如下图所示,我们发现Berlin的计算机账号已经被创建出来了。