Windows搭建域环境

1. 域的作用：
                   便于对用户和计算机集中管理，统一管理。  （将所有的员工和计算机加入到一个域里面）
2. 安装域服务器（安装部署活动目录）：    
   
         方式一：（先配置静态IP地址）     计算机——>右键 管理——>角色——>选择Active Directory域服务——>  软后依次跟着向导安装即可
         方式二：（先配置静态IP地址）     开始 ——>运行  ,输入dcpromo  ——> 然后根据向导安装即可   ，记得最后勾选 “安装后自动重启” 。    (安装和卸载都可以用dcpromo命令)
   1.        
   2. 安装时注意事项：
   3.                  （1）安装过程中记得勾选 “通过在此计算机上安装DNS服务器……”  ，将同时安装DNS服务器。   （在前面配置静态IP时不要指定DNS才会出现此提示）
   4.                  （2）勾选 “在新林中新建域”
   5.                  （3）自定义FQDN，及自己命名该域的名称叫啥，如 xxx.com 。
   6.                  （4）设置林功能级别：选择服务器版本，如：Windows Server 2003   /    Windows Server 2008  ，
   7.                           此选项会限制后面在该林中如果再建一台域控制器，它的版本不得低于此版本
   8.                  （5）设置域功能级别：选择服务器版本，如：Windows Server 2003   /    Windows Server 2008  ，
   9.                          此选项会限制后面再该域中如果再加一台域控制器，它的版本不得低于此版本。
   10.                  （6）若出现  “无法创建该DNS服务器委派，……  是否要继续？” ， 点击 “是” ，然后继续安装即可。
   11.                  （7）安装过程中出现 三个路径，切记不能修改，默认点击下一步即可。
   12.                  （8）设置活动目录密码。此密码是活动目录独有的密码，如果将来某一天，这个域出现了错误或问题时，想要对这个域控制器整个系统进行还原操作时用到该密码（也叫活动目录的还原密码）。
   13.             安装成功重启后进行验证：  
   14.                          域账号Administrator登录  、
   15.                          计算机右键属性查看之前的“工作组”变成了“域”，并且显示xxx.com  、
   16.                          查看安装了DNS服务器，及DNS里的 正向查找区域 自动创建了 xxx.com  的域 、
   17.                          开始-->管理工具-->Active Directory用户和计算机（进入活动目录）
   18.                                                
   19.  
3. 客户机(成员机)加入域：
   1. 配置IP，并指DNS；
   2.  计算机 ——> 右键属性 ——> 更改 ——>加入域  (xxx.com域)  ——> 输入管理员账号密码；   （备注：最好用管理员账号加域，这样的成员机不能随便退出。）
   3. 加入域后重启（有提示），用域用户账号成功登录成员机。
       
4. 创建域用户：
   1. Active Directory用户和计算机（进入活动目录）后对活动目录中的 Users目录 右键点击“新建”--->“用户”，
      
   2. 然后输入用户姓、名（一般是中文）、用户登录名（必须是英文）、密码  完成即创建成功。  创建成功后可在Users目录中查看。
      
    
5. 常见问题：
   1. 加入域不成功   解决方法：
      1. 查看是否桥接到同一网段；
      2. 是否正确配置IP地址；
      3. 是否正确设置了DNS；
      4. DNS解析是否成功；
      5.  查看DNS中是否自动创建了DC的解析（DC的域名——>DC的IP），若没有则手动创建（   （与父文件夹相同）——>CD的IP     ）；
      6. 自动创建了DC的解析是否正确，（ipv4 对，ipv6错）；
      7. 清空本地客户机的DNS缓存（命令：ipconfig  /flushdns）；
      8. 重启计算机；
      9. 创新部署域服务器。
   2. 登入域不成功   解决方法：
      1. 选择域身份登录；
      2. 手动输入用户名：  域用户名     如：xxx.comLiuHaiZhu。
   3. 域用户的权限：
      1. 将域用户提升为本地管理员（对本电脑有完全控制权，可以安装或卸载软件等操作），即加入本地管理员组。
          操作：需要用域管理员登录域用户的客户机，然后将该域用户加入本地管理员组（注意：是登录域）。
6. 创建 组织单位(OU)：
   1. 创建组织单位：对域名xxx.com右键-->新建-->组织单位。     然后同样的操作方式可依次在该 OU 下建立各级OU。  
   2. 将Users里的域成员及其计算机按分组移入对应的OU中：对某域成员  右键-->所有任务-->移动  到对应的部门分组OU，然后同样对计算机右键移动到相同的OU中即可。
       
7. 组策略(GPO)：
         打开方式： 开始 --> 管理工具 --> 组策略管理   ，   打开后展开 域  选项，即可看到上面创建的各层OU组织架构，每个OU下创建各自的组策略。
    
         编辑组策略：对计算机配置，即对计算机下发相应的组策略。
         编辑组策略：对计用户配置，即对域用户下发相应的组策略。

 

                  • 组策略下发后，用户的应用顺序是：LSDOU   （Local、Site、Domain、OU）

                  •  组策略的    (上级OU组策略的)强制 > (下级OU组策略的)阻止