创建一个完整的域

前言

我们按照下图来创建第一个林中的第一个域。创建方法为先安装一台Windows服务器，然后将其升级为域控制器。然后创建第二台域控制器，一台成员服务器与一台加入域的Win8计算机。

一般说主和备，主要是指担任PDC放置的角色的这台DC，所有修改密码的操作必须由这台DC应答。

除了修改密码、域管理、林管理，其他操作（主要是身份验证）都可以随便抓一台DC来完成。

DNS是一个列表，在整个林里面同步，除了PDC放置有单独的列表，其它DC一般没有权重。

也就是PDC故障，如果不需要修改用户的密码，可以不用管

环境

网络192.168.100.0/24  网关192.168.100.2

域名 contoso.com

配置ip，去掉ipv6，禁用TCP/IP上的NetBIOS

DC1：192.168.100.11/24

DC2：192.168.100.12/24

Server：192.168.100.13/24

PC1：192.168.100.14/24

创建域的必备条件

• DNS域名：先要想好一个符合dns格式的域名，如 contoso.com
• DNS服务器：域中需要将自己注册到DNS服务器内，瓤其他计算机通过DNS服务器来找到这台机器，因此需要一台可支持AD的DNS服务器，并且支持动态更新（如果现在没有DNS服务器，则可以在创建域的过程中，选择这台域控上安装DNS服务器）

注：AD需要一个SYSVOL文件夹来存储域共享文件（例如域组策略有关的文件），该文件夹必须位于NTFS磁盘，系统默认创建在系统盘，为了性能建议按照到其他分区。

创建网络中的第一台域控制器

http://www.cnblogs.com/airoot/p/7774977.html

创建更多的域控制器

如果一个域内有多个域控制器，可以有如下好处.

• 提高用户登录的效率：如果同时有多台域控制器对客户提供服务，可以分担审核用户登录身份（账户与密码）的负担，让用户登录效率更佳。
• 排错功能：如果有域控制器发生故障，此时依然能有其他正常的域控制器继续提供域服务器。

我们将 DC2 升级为域控制器

首先改名，改ip，主DNS填写自己的IP，备DNS填写主域控的IP（因为要发现当前环境中的域，那么DNS就要指向主域控的IP地址）

后面都和前面一样安装功能，然后提升为域控

需要注意的是，这里不同，将域控添加到现有域，输入域名contoso.com，并且输入现有权限添加域控的账户contosoadministrator的密码。

（只有Enterprise Admins和Domain Admins 组内 的用户有权限创建其他域控制器）

输入目录服务还原模式DSRM密码

下一步

直接下一步，“复制自”这里保持默认即可，也就是“任何域控制器”

根据需求可以修改路径，然后下一步

开始安装，安装过程中会突然断网，大概需要等5分钟，重新远程服务器即可

修改dns指向

修改dc1和dc2的dns互相将各自的首选dns指向对方域控

打开DNS管理器，可以看到机器名和IP信息都已经同步过来了，同步间隔默认是15分钟

将windows计算机加入域

Windows加入域后，就可以访问ad数据库和其他域资源。可以被加域的计算机：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

将Server加入域

我们要将server.contoso.com机器加入域。

先将机器改名改ip。

输入域名和域账户密码

 

如果报错，请检查dns是否指向域控。

完成后我们可以使用域账户登录此台服务器

计算机名后已自动加上域名

成员计算机内的ad管理工具

我们有时管理员管理不过来是可以将开账户的权限委派改其他各个部门的行政，委派给他们后，他们当然是不能登陆域控的，这时就要在他们的计算机上安装ad管理工具

Windows server 2012

添加功能中，添加远程服务器管理工具

Windows8 和Windows7

去官网下载Remote Server Administration Tools for Windows8/7

创建组织单位与域用户账户

点击 Active Directory管理中心

创建一个组织单位(OU)：业务部

创建一个用户

• 用户UPN登录：用户可以利用这个域电子邮箱格式相同的名称（wang@contoso.com）来登录域，此名称被称为User Principal Name（UPN）。此名在林中是唯一的。
• 用户名SamAccountName登录：用户也可以利用此名称（contosowang）来登录。其中wang是NetBios名。同一个域中此名称必须是唯一的。Windows NT Windows 98等旧版系统不支持UPN，因此在这些计算机上登录时，只能使用此登录名。

使用新账户登录域

我们使用2种方法来登录域

或者

利用新用户账户登录域控

除了域Administrators等少数组内的成员外，其他一般域账户默认无法登陆到域控上，除非另外开放。

赋予用户在域控登录权限

一般用户必须在域控上拥有允许本地登录的权限，才能在域控上登录。此权限可以用过组策略来开放。

系统管理工具-组策略管理

计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录，然后将用户或组加入到列表内

组策略配置完成需要应用到域控才有效，应用方法有三种：

• 将域控制器重启
• 等域控制器自动应用此策略，可能需要等待5分钟或更久
• 手动应用：到域控制器上运行gpupdate或gpupdateforce

多台域控制器的情况

如果域内有多台域控制器，则设置的安全设置值，先被存储到PDC操作主机角色的域控制器内，默认由第一台域控制器扮演。

Active Directory用户和计算机-选择contoso.com右键操作主机

需要等待设置值从PDC操作主机复制到其他域控制器后，他们才会应用这些设置值。什么时候应用分两种情况：

• 自动复制：PDC操作主机默认15秒后悔自动将其复制出去，因此其他域控制器可能需要等15秒或更久才能接受到此设置值。
• 手动复制：到任何一台域控制器上选择Active Directory站点和服务-Sites-Default-First-Name Servers单击要接收设置的域控制器-NTDS Settings-立即复制。如下图DC1是操作主机，DC2是需要接收的域控

如果是组策略设置，则他先辈存储在PDC操作主机内，但如果Active Directory用户账户或其他对象有改动，则这些改动会先被存储在所连接的域控制器，同时系统默认会在15秒后自动将此改动数据复制到其他域控制器。

如果要查询目前连接的域控制器，可以如下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso，他就会显示所连接的域控制器。如果要更改连接其他控制器，单击更改域控制器。

域用户个人数据的设置

每个域用户账户内部都有一些相关的属性数据，例如地址 电话等，域用户可以通过这些属性来查找Active Directory内的用户，因此这些数据越完整越好。

限制登录时间与登录计算机

我们可以限制用户的登录时间已经能用使用某些计算机来登录域。

默认用户可以登录所有非域控制器的成员计算机，不过可以限制他们只能利用某些特定计算机来登录域。如下图限制只能登录server计算机。

Active Directory轻型目录服务

为了让支持目录访问的应用程序，可以在没有域的环境内享有目录服务的好处，Windows Server 2012内提供了Active Directory轻型目录服务 AD LDS,它可以让你在计算机内创建多个目录服务器的环境，每个环节被称为一个AD LDS实例，每个实例拥有独立的目录设置，架构，数据库。

Active Directory回收站

在旧版的操作系统中，如果系统管理员误将ad对象删除，就需要进入目录服务还原模式。还原麻烦，并且在还原好重启时，域无法提供服务。

虽然windows server 2008 R2新增了ad回收站，让系统管理员不需要进入目录服务还原模式，就可以救回被删除的对象，但是却不是很好用，例如需要通过复杂的命令与步骤。

Windows server 2012 的ad回收站又有了进一步的改良，他提供容易使用的图像界面管理工具。

要启用ad回收站，林与域功能级别必须是Windows Server 2008 R2（含）以上的级别。注意，一旦启用回收站，就无法在禁用，因此域与林功能基本也无法在被降级。

启用Active Directory回收站

打开Active Directory管理中心，单击左侧的域名contoso，单击右侧的启用回收站

报错了

因为域内有多个域控制器，需要等设置值被复制到所有的域控制器后，ad回收站功能才会完全正常。（我做实验，节约性能还有一台辅助域控没有打开）

开启辅助域控并复制设置值后再次开启回收站。

删除组织单位

试着将业务部删除，但是先将防止删除的选项删除

取消勾选防止意外删除。

接着删除业务部

还原组织单位

接下来，要通过回收站来救回组织单位，双击deleted objects。

选择要救回的组织单位，单击还原

删除域控制器与域

可以通过降级的方式来删除域控制器，也就是将Actice Directory从域控制器删除。在降级前先注意以下事项：

如果域内还有其他域控制器存在，则它会被降级为该域的成员服务器。

如果这台域控制器是此域内的最后一台域控制器，域内也没有其他的域控制器存在了，因此域将被删除，而域控制器也将会被降级为独立的服务器。

注：建议先将成员服务器server.contoso.com脱离域，因为在域删除后，这台服务器的账户就无法登陆域了（域删除后，也可以再将成员服务器脱离域）。

必须是Enterprise Admins组的成员，才能有权限删除域内的最后一台域控制器。如果此域之下还有子域，请先删除子域。

• 如果此域控制器是全局编录服务器，请检查其所在站点内是否还有其他全局编录服务器，如果没有，请先指定另一台域控制器来扮演全局编录服务器，否则将影响用户登录。Active Directory站点和服务-Site- Defalut-First-Site-Name – Server-NTDS Setting并单击鼠标右键-属性-勾选全局编录

如果删除的域控制器是林内最后一台域控制器，则林辉被一起删除。Enterprise Admins组的成员才有权限删除这台域控制器与林。

删除域控制器步骤：

取消勾选

先降级

选择拥有权限的账户

如因为故障无法删除此域控制器(如，在删除时，需要能够连接企图域控制器，但是一直无法连接)此时可以勾选强制删除此域控制器。

输入降级后的本地administrator密码

降级后服务器会重启，并重新登陆

虽然这台服务器已经不再是域控了，不过此时域服务组件依然存在还是要继续去删除。

删除最后一台域控

当域中已经没有其他域控制器时，最后一台删除时会多此选项。

删除dns区域和应用程序分区

完成后将管理工具删除

原文：http://www.cnblogs.com/wanggege/p/4605678.html