域控制器的安装步骤

ActiveDirectory域控制器安装⼿册Active Directory域控制器安装指南1.1Active Directory介绍1.1.1功能介绍Active Directory提供了⼀种⽅式，⽤于管理组成组织⽹络的标识和关系。

Active Directory与Windows Server 2008 R2的集成，为我们带来了开箱即⽤的功能，通过这些功能我们可以集中配置和管理系统、⽤户和应⽤程序设置。

Active Directory域服务（AD DS，Active Directory Domain Services）存储⽬录数据，管理⽤户和域之间的通信，包括⽤户登录过程、⾝份验证，以及⽬录搜索。

此外还集成其它⾓⾊，为我们带来了标识和访问控制特性和技术，这些特性提供了⼀种集中管理⾝份信息的⽅式，以及只允许合法⽤户访问设备、程序和数据的技术。

1.1.2Active Directory域服务AD DS是配置信息、⾝份验证请求和森林中所有对象信息的集中存储位置。

利⽤Active Directory，我们可以在⼀个安全集中的位置中，⾼效地管理⽤户、计算机、组、打印机、应⽤程序以及其它⽀持⽬录的对象。

*审查。

对Active Directory对象的修改可以记录下来，这样我们就可以知道这个对象做了哪些修改，以及被修改属性的历史值和当前值。

*粒度更细的密码。

密码策略可以针对域中单独的组进⾏配置。

不需要每个帐户都使⽤域中相同的密码策略了。

*只读的域控制器。

当域控制器的安全⽆法得到保障时，我们可以部署⼀台只有只读版本Active Directory数据库的域控制器，例如在分⽀办公室，这种环境下域控制器的物理安全都是个问题，⼜如承载了其他⾓⾊的域控制器，其他⽤户也需要登录和管理这台服务器。

只读域控制器（RODC，Read-Only Domain Controllers）的使⽤，可以防⽌在分⽀机构对它潜在的意外修改，然后通过复制导致AD森林数据的损坏。

AD域安装详细步骤1.首先打开“开始”中“所有程序”，在其“管理工具”中找到“配置您的服务器向导”，向导中不仅仅可以配置AD域，还有其他服务可以在此安装（见图5），接下来便可以按照向导一步步安装AD域了。

图12.安装向导会提示您安装服务前所必须满足的一些要求，和需要做的准备。

图22.服务的安装需要有连接着的网络环境，请保证您的网络环境通畅。

图33.扫描完毕之后，会弹出配置选项，如果您不是很熟悉服务自定义安装，您可以选择“第一台服务器的典型配置”，如果您想定制安装请选择“自定义配置”或者点击“上一步”，再“下一步”。

图45.这里您会看到一台服务器可以安装的所有服务，我们这里需要安装AD域服务，所以点击“域控制器（Active Directory）”，然后下一步图56.然后向导会提示您所选择的安装对象，并进入预安装向导，下一步图6 7.进入AD安装向导，下一步图7 8.这里会提示你操作系统的兼容性问题图8 9.默认选择“新域的域控制器”，下一步图910.接下来依旧默认“在新林中的域”，下一步图1011.新的域名，你可以自定义，一般针对公司或者企业，填上其（名称.com）即可，名称要使用英文，下一步图1112.这时系统会显示上述域名对应的域NetBIOS名，默认就可以，当然你也可以自己修改填入新的名称图1213.接下来，想到会提示您存放数据库和日志文件夹的位置，通常为了让服务器获得最佳性能，这里最好要将这两个文件放到不同的物理磁盘上，如果系统目前只有一块硬盘，这时我需要新加一块硬盘，由于我在虚拟机做的实验，可以热添加，所以建议您在做AD域安装之前先添加一块硬盘，加入新硬盘后，使用新硬盘的步骤请看下一步图1314.安装好一块新的硬盘后，若是没被建立过分区，在使用系统内置的“磁盘管理”工具管理新磁盘时会提示“磁盘初始化和转换向导”，点击下一步图1415.这时向导会提示你选择初始化的磁盘，因为只添加了一块硬盘，故只有一个磁盘选项，如果您添加了多个磁盘，可以挑选，也可以多选。

安装域控制器更新日期： 01/21/2005安装域控制器域控制器为网络用户和计算机提供了 Active Directory 目录服务，它存储并复制目录数据，并管理用户与域的交互，包括用户登录进程、身份验证和目录搜索。

每个域至少必须包含一个域控制器。

可以通过在任何成员服务器或独立服务器（除了那些具有限制性许可协议的服务器）上安装 Active Directory 来安装域控制器。

当您将第一个域控制器安装到组织中时，您就创建了第一个域（也称根域）和第一个林。

可以在现有的域中添加附加的域控制器来提供容错功能、提高服务的可用性以及平衡现有域控制器的负载。

还可以安装域控制器来创建一个新的子域或新的域树。

当您想要与一个或多个域共享连续的名称空间的域时，请创建新的子域。

意思是，新域的名称中包含父域的完整名称。

例如， 可以是 的一个子域。

仅当您想要的域的域名系统 (DNS) 名称空间与该林中的其他域无关时，才创建一个新的域树。

也就是说，新域树的根域（及其所有子域）的名称不包含父域的完整名称。

一个林中可以包含一个或多个域树。

在安装域控制器之前，需要考虑与 Windows 2000 以前版本兼容的安全级别，并标识域的 DNS 名称。

有关详细信息，请参阅清单：在现有的域中创建其他域控制器。

安装域控制器时，最常执行的任务是在新的林中创建新域、在现有的域树中创建新的子域、在现有的林中创建新的域树和在现有的域中安装域控制器。

有关安装域控制器时需要做的重要决策的信息，请参阅使用 Active Directory 安装向导。

在新的林中创建新域1.打开 Active Directory 安装向导。

2.单击“域控制器类型”页面上的“新域的域控制器”，然后单击“下一步”。

3.在“创建一个新域”页面上，单击“在新林中的域”，然后单击“下一步”。

4.在“新的域名”页面上，键入新域的 DNS 全名，然后单击“下一步”。

5.验证“NetBIOS域名”页面上的 NetBIOS 名称，然后单击“下一步”。

Win2003配置域服务器服务器升级成域控制器后，还需要为企业的计算机使用者建立相应的域用户帐号，共享目录，权限等等。

笔者在这里以建立一个域控制帐号为“andy.wang”，并设置隐藏共享、对于公共目录根据用户组统一设置好网络访问权限安全。

对于网络用户私有文件夹，把它设为隐藏共享，避免服务器出现太多的共享文件夹。

在安全方面：把该文件设为该用户完全控制权限。

域用户建立步骤：通过单击“开始”按钮，指向“所有程序”，指向“管理工具”，然后单击“Active Directory用户和计算机”。

在出现的窗口就可以为每个使用者建立一个域用户帐号。

详细的操作步骤如下：1、右键单击窗口左栏“Users”，指向“新建”，然后单击“用户”。

2、键入“andy”作为“名”;键入“wang”作为“姓”。

(注意，在“姓名”框中将自动显示全名。

)3、键入“andy.wang”作为“用户登录名”。

窗口应与图7相似。

然后单击“下一步”。

4、在“密码”和“确认密码”中，键入“pass#word1”，然后单击“下一步”继续。

注意：默认情况下，Windows Server2003要求所有新创建的用户使用复杂密码。

可通过组策略禁用密码复杂性要求。

5、单击“完成”。

此时，andy.wang的域帐号用户就建立完成了。

设置共享目录与安全：在系统的数据盘建立共享目录。

在这里，笔者在d:User_Data目录下为所有的域用户建立相应的共享目录。

如下图所示，建立d:User_Dataandy.wang共享目录，并右键单击该文件夹，指向“共享与安全”单击打开文件共享设置。

第一步：在文件属性对话窗口选择“共享该文件夹”单选框，在下面共享名文本框输入对应域用户帐号+“$”，将共享名设为“andy.wang$”的隐藏共享。

第二步：点击“权限”按钮，进入共享目录权限设置对话框。

删除原有的everyone组，添加该域用户帐号权限，并勾选“完全控制”、“更改”、“读取”三个选项卡，设置完成后如下图所示：点击“确定”按钮回到文件属性窗口，再次点击“确定”按钮完成文件共享与网络访问权限设置。

实训三安装域控制器和DNS
实训目的
熟悉域的基本工作原理和工作模式，设置主域和子域，安装域控制器。

实训环境
虚拟机（VMWare或Microsoft Virtual PC）。

实训学时
2学时，必做实验。

实训内容
1．安装域控制器和DNS服务器
2．配置DNS服务器
3．安装子域
实训步骤
1．启动虚拟机，在PDC Computer Name上安装主域控制器和主DNS服务器。

2．设置Administrator密码：P@ssw0d。

设置Administrator密码：h123456.
3．在主DNS服务器反向搜索区域。

4．测试。

5．将Child PDC Computer Name加入主域，
6．以域管理员身份登录到域：。

并安装子域控制器：。

7．测试。

8．将一台Windows 2003服务器加入域：，将一台Windows XP客户机加入域
注：安装域控制器之前，一定确保修改过系统的SID。

分析与思考。

WindowsServer2016部署AD域控制器及添加AD域控制器AD域控制器⼀台往往都是不够的，⼀般都是需要两台或者两台以上，这样不⾄于⼀台AD域控制器瘫痪，导致整个架构⽆法运⾏，AD域是整个架构的核⼼；接下来我们看看如何部署AD域控制器和在现有的AD域中添加域控制器。

部署环境前准备：AD1服务器部署AD域控制器：1.设置IP地址，DNS指向⾃⼰，备⽤DNS指向AD2服务器，具体IP地址如图所⽰。

2.设置计算机名，将原来的计算机名称改为AD1，确认即可。

3.⾸先打开服务器管理器，点击添加⾓⾊和功能。

4.选择默认“基于⾓⾊或基于功能的安装”设置即可，下⼀步。

5.这⾥选择默认“从服务器池中选择服务器”即可，选择AD1,下⼀步。

6.选择AD域服务器，如图所⽰。

7.直接下⼀步。

8.确认安装所选内容，点击安装。

9.如图所⽰安装完成。

关闭即可10.点击如图所⽰，点击将此服务器提升为域控制器。

11.选择添加新林。

这⾥为测试使⽤所以为 。

12.这⾥默认选择Windows Server 2016，也可以选择⽐2016版本低的。

输⼊DSRM密码，点击下⼀步。

13.默认下⼀步。

14.默认下⼀步。

15.我这⾥默认路径，按个⼈环境需求可改变。

下⼀步。

16.检查你的选择，下⼀步。

17.先决条件检查通过直接点击安装。

如果出现报错问题查看报错信息进⾏修改即可。

18.安装完成⾃动重启。

出现下图为AD域控制器登录。

输⼊密码登录。

19.点击服务器管理器，⼯具----AD⽤户和计算机。

20.出现如下图所⽰安装成功。

AD2服务器加⼊AD1域控制器：已经有⼀台AD域控制器，具体创建请看上⾯“AD1服务器部署AD域控制器”，下⾯的部分操作与部署AD1中相同，所以部分没那么详细。

1.设置IP地址，DNS指向第⼀台域控制器，备⽤为⾃⼰。

2.设置计算机名为AD2。

3.在需要添加为域控制器的服务器上打开“服务器管理器”，点击“添加⾓⾊和功能”4.前⾯⼏步为默认，服务器选择“从服务器池中选择服务器”，选中“AD2”，点击“下⼀步”，服务器⾓⾊选择“Active Directory域服务”，会弹出“添加Active Directory域服务所需的功能？”，点击“添加功能”。