前言

關(guān)于AD域管理及其權(quán)限劃分概論：

  1. AD域源于微軟，適用于windows，為企業(yè)集中化管理和信息安全提供強(qiáng)力保障。

  2. 提供域中文件夾共享，但同時(shí)又對(duì)不同用戶有不用的權(quán)限。

  3.通過(guò)對(duì)設(shè)備限制USB接口，網(wǎng)絡(luò)訪問(wèn)特定網(wǎng)站來(lái)實(shí)現(xiàn)對(duì)企業(yè)內(nèi)部信息的保護(hù)和防止流失。

  4.個(gè)人文件夾可以重定向到服務(wù)器文件夾上，實(shí)現(xiàn)真正的在同一個(gè)域中使用者數(shù)據(jù)不受固定PC限制既數(shù)據(jù)跟隨用走。

  5.用戶的權(quán)限不需要定制，只需要加入若干個(gè)帶有不同權(quán)限屬性的固定組就可以獲得相應(yīng)的權(quán)限功能。

我們按照下圖來(lái)創(chuàng)建第一個(gè)林中的第一個(gè)域。創(chuàng)建方法為先安裝一臺(tái)Windows服務(wù)器，然后將其升級(jí)為域控制器。然后創(chuàng)建第二臺(tái)域控制器，一臺(tái)成員服務(wù)器與一臺(tái)加入域的Win8計(jì)算機(jī)。

環(huán)境

網(wǎng)絡(luò)192.168.100.1 子網(wǎng)掩碼 255.255.255.0 網(wǎng)關(guān)192.168.100.2

域名 contoso.com

DC1 192.168.100.11/24

DC2 192.168.100.12/24

Server 192.168.100.13/24

PC1 192.168.100.14/24

創(chuàng)建域的必備條件

• DNS域名：先要想好一個(gè)符合dns格式的域名，如 contoso.com
• DNS服務(wù)器：域中需要將自己注冊(cè)到DNS服務(wù)器內(nèi)，瓤其他計(jì)算機(jī)通過(guò)DNS服務(wù)器來(lái)找到這臺(tái)機(jī)器，因此需要一臺(tái)可支持AD的DNS服務(wù)器，并且支持動(dòng)態(tài)更新（如果現(xiàn)在沒(méi)有DNS服務(wù)器，則可以在創(chuàng)建域的過(guò)程中，選擇這臺(tái)域控上安裝DNS服務(wù)器）

注：AD需要一個(gè)SYSVOL文件夾來(lái)存儲(chǔ)域共享文件（例如域組策略有關(guān)的文件），該文件夾必須位于NTFS磁盤，系統(tǒng)默認(rèn)創(chuàng)建在系統(tǒng)盤，為了性能建議按照到其他分區(qū)。

創(chuàng)建網(wǎng)絡(luò)中的第一臺(tái)域控制器

修改機(jī)器名和ip

先修改ip地址，并且將dns指向自己，并且修改計(jì)算機(jī)名為DC1，升級(jí)成域控后，機(jī)器名稱會(huì)自動(dòng)變成dc1.contoso.com

安裝域功能

選擇服務(wù)器

選擇域服務(wù)

提升為域控制器

添加新林

此林根域名不要與對(duì)外服務(wù)器的DNS名稱相同，如對(duì)外服務(wù)的DNS URL為http://www.contoso.com，則內(nèi)部的林根域名就不能是contoso.com，否則未來(lái)可能會(huì)有兼容問(wèn)題。

• 選擇林功能級(jí)別，域功能級(jí)別。、

  此處我們選擇的為win 2012 ，此時(shí)域功能級(jí)別只能是win 2012，如果選擇其他林功能級(jí)別，還可以選擇其他域功能級(jí)別

• 默認(rèn)會(huì)直接在此服務(wù)器上安裝DNS服務(wù)器
• 第一臺(tái)域控制器必須是全局編錄服務(wù)器的角色
• 第一臺(tái)域控制器不可以是只讀域控制器（RODC）這個(gè)角色是win 2008時(shí)新出來(lái)的功能
• 設(shè)置目錄還原密碼。

  目錄還原模式是一個(gè)安全模式，可以開(kāi)機(jī)進(jìn)入安全模式時(shí)修復(fù)AD數(shù)據(jù)庫(kù)，但是必須使用此密碼

  出現(xiàn)此警告無(wú)需理會(huì)

  

  系統(tǒng)會(huì)自動(dòng)創(chuàng)建一個(gè)netbios名稱，可以更改。

  不支持DNS域名的舊系統(tǒng)，如win98 winnt需要通過(guò)netbios名來(lái)進(jìn)行通信

  

• 數(shù)據(jù)庫(kù)文件夾：用了存儲(chǔ)AD數(shù)據(jù)庫(kù)
• 日志文件文件夾：用了存儲(chǔ)AD的更改記錄，此記錄可以用來(lái)修復(fù)AD數(shù)據(jù)庫(kù)
• SYSVOL文件夾：用了存儲(chǔ)域共享文件（例如組策略）
  

  如果計(jì)算機(jī)內(nèi)有多個(gè)硬盤，建議將數(shù)據(jù)庫(kù)與日志文件夾分別設(shè)置到不同的硬盤內(nèi)，分兩個(gè)硬盤可以提供運(yùn)行效率，而且分開(kāi)存儲(chǔ)可以避免兩份數(shù)據(jù)同時(shí)出現(xiàn)問(wèn)題，以提高修復(fù)AD的能力。（不過(guò)我認(rèn)為現(xiàn)在都是RAID模式了沒(méi)必要分開(kāi)，和操作系統(tǒng)分區(qū)分開(kāi)就可以了）

  順利通過(guò)檢查，直接安裝

  

  安裝完成重啟

  

檢查DNS服務(wù)器內(nèi)的記錄是否完備

域控會(huì)將自己扮演的角色注冊(cè)到DNS服務(wù)器內(nèi)，以便讓其他計(jì)算機(jī)能夠通過(guò)DNS服務(wù)器來(lái)找到域控。因此先檢查DNS服務(wù)器內(nèi)是否已經(jīng)存在這些記錄。需要用域管理員賬戶來(lái)登陸contoso\administrator.

檢查主機(jī)記錄

選擇管理工具-dns

默認(rèn)會(huì)有一個(gè)contoso.com的區(qū)域，主機(jī)記錄表示域控dc.contoso.com已經(jīng)正確的將其主機(jī)名與IP地址注冊(cè)到DNS服務(wù)器內(nèi)。

如果域控制器已經(jīng)正確的將家里注冊(cè)到dns服務(wù)器，應(yīng)該還會(huì)有_tcp _udp等文件夾。單擊_tcp文件夾后可以看到數(shù)據(jù)類型為服務(wù)位置(SRV)的_ldap記錄，表示dc1.contoso.com已經(jīng)正確的注冊(cè)為域控制器。還能看到_gc記錄全局編錄也是由dc1.contoso.com所扮演。

排除注冊(cè)失敗的問(wèn)題

如果域成員本身的設(shè)置或者網(wǎng)絡(luò)問(wèn)題，會(huì)造成無(wú)法將數(shù)據(jù)注冊(cè)到DNS服務(wù)器。

如果有成員計(jì)算機(jī)的主機(jī)與ip美元正確注冊(cè)到DNS服務(wù)器，可以到此機(jī)器上運(yùn)行ipconfig /registerdns來(lái)手動(dòng)注冊(cè)。完成后，到DNS服務(wù)器檢查是否已有正確記錄，例如server1.contoso.com，ip地址192.168.100.13則堅(jiān)持區(qū)域contoso.com是否有對(duì)應(yīng)的a記錄和ip。

如果發(fā)現(xiàn)域控制器沒(méi)有將其扮演的角色注冊(cè)到dns服務(wù)器，也就是沒(méi)有_tcp文件夾與記錄，到服務(wù)器中重啟netlogon服務(wù)

創(chuàng)建更多的域控制器

如果一個(gè)域內(nèi)有多個(gè)域控制器，可以有如下好處.

• 提高用戶登錄的效率：如果同時(shí)有多臺(tái)域控制器對(duì)客戶提供服務(wù)，可以分擔(dān)審核用戶登錄身份（賬戶與密碼）的負(fù)擔(dān)，讓用戶登錄效率更佳。
• 排錯(cuò)功能：如果有域控制器發(fā)生故障，此時(shí)依然能有其他正常的域控制器繼續(xù)提供域服務(wù)器。

我們將dc2.contoso.com升級(jí)為域控制器

首先改名，改ip

后面都和前面一樣安裝功能

這里不同，將域控添加到現(xiàn)有域，輸入域名contoso.com，并且輸入現(xiàn)有權(quán)限添加域控的賬戶contoso\administrator的密碼。

只有Enterprise Admins和Domain Admins內(nèi)的用戶有權(quán)限創(chuàng)建其他域控制器。

選擇從其他域控復(fù)制

安裝完成后機(jī)器會(huì)重啟，然后在檢查DNS記錄。

修改dns指向

修改dc1和dc2的dns互相將各自的首選dns指向?qū)Ψ接蚩?/p>

將windows計(jì)算機(jī)加入或脫離域

Windows加入域后，就可以訪問(wèn)ad數(shù)據(jù)庫(kù)和其他域資源?？梢员患佑虻挠?jì)算機(jī)：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

將windows計(jì)算機(jī)加入域

我們要將server.contoso.com機(jī)器加入域。

先將機(jī)器改名改ip。

輸入域名和域賬戶密碼

如果報(bào)錯(cuò)，請(qǐng)檢查dns是否指向域控。

完成后我們可以使用域賬戶登錄此臺(tái)服務(wù)器

計(jì)算機(jī)名后已自動(dòng)加上域名

脫離域

只要輸入工作組并點(diǎn)擊確定

成員計(jì)算機(jī)內(nèi)的ad管理工具

我們有時(shí)管理員管理不過(guò)來(lái)是可以將開(kāi)賬戶的權(quán)限委派改其他各個(gè)部門的行政，委派給他們后，他們當(dāng)然是不能登陸域控的，這時(shí)就要在他們的計(jì)算機(jī)上安裝ad管理工具

Windows server 2012

添加功能中，添加遠(yuǎn)程服務(wù)器管理工具

Windows8 和Windows7

都去官網(wǎng)下載Remote Server Administration Tools for Windows8/7

創(chuàng)建組織單位與域用戶賬戶

可以將用戶賬戶創(chuàng)建到任何一個(gè)容器或組織單位（OU）內(nèi)。先創(chuàng)建業(yè)務(wù)部的OU.然后再創(chuàng)建用戶。

創(chuàng)建組織單位

點(diǎn)擊 Active Directory管理中心

輸入名稱

創(chuàng)建用戶

業(yè)務(wù)部-新建用戶

• 用戶UPN登錄：用戶可以利用這個(gè)域電子郵箱格式相同的名稱（wang@contoso.com）來(lái)登錄域，此名稱被稱為User Principal Name（UPN）。此名在林中是唯一的。
• 用戶名SamAccountName登錄：用戶也可以利用此名稱（contoso\wang）來(lái)登錄。其中wang是NetBios名。同一個(gè)域中此名稱必須是唯一的。Windows NT Windows 98等舊版系統(tǒng)不支持UPN，因此在這些計(jì)算機(jī)上登錄時(shí)，只能使用此登錄名。

使用新賬戶登錄域

我們使用2種方法來(lái)登錄域

利用新用戶賬戶登錄域控

除了域Administrators等少數(shù)組內(nèi)的成員外，其他一般域賬戶默認(rèn)無(wú)法登陸到域控上，除非另外開(kāi)放。

賦予用戶在域控登錄權(quán)限

一般用戶必須在域控上擁有允許本地登錄的權(quán)限，才能在域控上登錄。此權(quán)限可以用過(guò)組策略來(lái)開(kāi)放。

系統(tǒng)管理工具-組策略管理

計(jì)算機(jī)配置-策略-windows設(shè)置-安全設(shè)置-本地策略-用戶權(quán)限分配-允許本地登錄，然后將用戶或組加入到列表內(nèi)

組策略配置完成需要應(yīng)用到域控才有效，應(yīng)用方法有三種：

• 將域控制器重啟
• 等域控制器自動(dòng)應(yīng)用此策略，可能需要等待5分鐘或更久
• 手動(dòng)應(yīng)用：到域控制器上運(yùn)行g(shù)pupdate或gpupdate\force

多臺(tái)域控制器的情況

如果域內(nèi)有多臺(tái)域控制器，則設(shè)置的安全設(shè)置值，先被存儲(chǔ)到PDC操作主機(jī)角色的域控制器內(nèi)，默認(rèn)由第一臺(tái)域控制器扮演。

Active Directory用戶和計(jì)算機(jī)-選擇contoso.com右鍵操作主機(jī)

需要等待設(shè)置值從PDC操作主機(jī)復(fù)制到其他域控制器后，他們才會(huì)應(yīng)用這些設(shè)置值。什么時(shí)候應(yīng)用分兩種情況：

• 自動(dòng)復(fù)制：PDC操作主機(jī)默認(rèn)15秒后悔自動(dòng)將其復(fù)制出去，因此其他域控制器可能需要等15秒或更久才能接受到此設(shè)置值。
• 手動(dòng)復(fù)制：到任何一臺(tái)域控制器上選擇Active Directory站點(diǎn)和服務(wù)-Sites-Default-First-Name Servers單擊要接收設(shè)置的域控制器-NTDS Settings-立即復(fù)制。如下圖DC1是操作主機(jī)，DC2是需要接收的域控

如果是組策略設(shè)置，則他先輩存儲(chǔ)在PDC操作主機(jī)內(nèi)，但如果Active Directory用戶賬戶或其他對(duì)象有改動(dòng)，則這些改動(dòng)會(huì)先被存儲(chǔ)在所連接的域控制器，同時(shí)系統(tǒng)默認(rèn)會(huì)在15秒后自動(dòng)將此改動(dòng)數(shù)據(jù)復(fù)制到其他域控制器。

如果要查詢目前連接的域控制器，可以如下圖在Active Directory管理中心控制臺(tái)中將鼠標(biāo)指針對(duì)著圖中的contoso，他就會(huì)顯示所連接的域控制器。如果要更改連接其他控制器，單擊更改域控制器。

域用戶個(gè)人數(shù)據(jù)的設(shè)置

每個(gè)域用戶賬戶內(nèi)部都有一些相關(guān)的屬性數(shù)據(jù)，例如地址 電話等，域用戶可以通過(guò)這些屬性來(lái)查找Active Directory內(nèi)的用戶，因此這些數(shù)據(jù)越完整越好。

限制登錄時(shí)間與登錄計(jì)算機(jī)

我們可以限制用戶的登錄時(shí)間已經(jīng)能用使用某些計(jì)算機(jī)來(lái)登錄域。

如下圖只能允許用戶在正常上班時(shí)間內(nèi)登錄電腦

默認(rèn)用戶可以登錄所有非域控制器的成員計(jì)算機(jī)，不過(guò)可以限制他們只能利用某些特定計(jì)算機(jī)來(lái)登錄域。如下圖限制只能登錄server計(jì)算機(jī)。

Active Directory輕型目錄服務(wù)

為了讓支持目錄訪問(wèn)的應(yīng)用程序，可以在沒(méi)有域的環(huán)境內(nèi)享有目錄服務(wù)的好處，Windows Server 2012內(nèi)提供了Active Directory輕型目錄服務(wù) AD LDS,它可以讓你在計(jì)算機(jī)內(nèi)創(chuàng)建多個(gè)目錄服務(wù)器的環(huán)境，每個(gè)環(huán)節(jié)被稱為一個(gè)AD LDS實(shí)例，每個(gè)實(shí)例擁有獨(dú)立的目錄設(shè)置，架構(gòu)，數(shù)據(jù)庫(kù)。

Active Directory回收站

在舊版的操作系統(tǒng)中，如果系統(tǒng)管理員誤將ad對(duì)象刪除，就需要進(jìn)入目錄服務(wù)還原模式。還原麻煩，并且在還原好重啟時(shí)，域無(wú)法提供服務(wù)。

雖然windows server 2008 R2新增了ad回收站，讓系統(tǒng)管理員不需要進(jìn)入目錄服務(wù)還原模式，就可以救回被刪除的對(duì)象，但是卻不是很好用，例如需要通過(guò)復(fù)雜的命令與步驟。

Windows server 2012 的ad回收站又有了進(jìn)一步的改良，他提供容易使用的圖像界面管理工具。

要啟用ad回收站，林與域功能級(jí)別必須是Windows Server 2008 R2（含）以上的級(jí)別。注意，一旦啟用回收站，就無(wú)法在禁用，因此域與林功能基本也無(wú)法在被降級(jí)。

啟用Active Directory回收站

打開(kāi)Active Directory管理中心，單擊左側(cè)的域名contoso，單擊右側(cè)的啟用回收站

報(bào)錯(cuò)了

因?yàn)橛騼?nèi)有多個(gè)域控制器，需要等設(shè)置值被復(fù)制到所有的域控制器后，ad回收站功能才會(huì)完全正常。（我做實(shí)驗(yàn)，節(jié)約性能還有一臺(tái)輔助域控沒(méi)有打開(kāi)）

開(kāi)啟輔助域控并復(fù)制設(shè)置值后再次開(kāi)啟回收站。

刪除組織單位

試著將業(yè)務(wù)部刪除，但是先將防止刪除的選項(xiàng)刪除

取消勾選防止意外刪除。

接著刪除業(yè)務(wù)部

還原組織單位

接下來(lái)，要通過(guò)回收站來(lái)救回組織單位，雙擊deleted objects。

選擇要救回的組織單位，單擊還原

刪除域控制器與域

可以通過(guò)降級(jí)的方式來(lái)刪除域控制器，也就是將Actice Directory從域控制器刪除。在降級(jí)前先注意以下事項(xiàng)：

如果域內(nèi)還有其他域控制器存在，則它會(huì)被降級(jí)為該域的成員服務(wù)器。

如果這臺(tái)域控制器是此域內(nèi)的最后一臺(tái)域控制器，域內(nèi)也沒(méi)有其他的域控制器存在了，因此域?qū)⒈粍h除，而域控制器也將會(huì)被降級(jí)為獨(dú)立的服務(wù)器。

注：建議先將成員服務(wù)器server.contoso.com脫離域，因?yàn)樵谟騽h除后，這臺(tái)服務(wù)器的賬戶就無(wú)法登陸域了（域刪除后，也可以再將成員服務(wù)器脫離域）。

必須是Enterprise Admins組的成員，才能有權(quán)限刪除域內(nèi)的最后一臺(tái)域控制器。如果此域之下還有子域，請(qǐng)先刪除子域。

• 如果此域控制器是全局編錄服務(wù)器，請(qǐng)檢查其所在站點(diǎn)內(nèi)是否還有其他全局編錄服務(wù)器，如果沒(méi)有，請(qǐng)先指定另一臺(tái)域控制器來(lái)扮演全局編錄服務(wù)器，否則將影響用戶登錄。Active Directory站點(diǎn)和服務(wù)-Site- Defalut-First-Site-Name – Server-NTDS Setting并單擊鼠標(biāo)右鍵-屬性-勾選全局編錄

• 如果刪除的域控制器是林內(nèi)最后一臺(tái)域控制器，則林輝被一起刪除。Enterprise Admins組的成員才有權(quán)限刪除這臺(tái)域控制器與林。

刪除域控制器步驟：

取消勾選

先降級(jí)

選擇擁有權(quán)限的賬戶

如因?yàn)楣收蠠o(wú)法刪除此域控制器(如，在刪除時(shí)，需要能夠連接企圖域控制器，但是一直無(wú)法連接)此時(shí)可以勾選強(qiáng)制刪除此域控制器。

屬于降級(jí)后的本地administrator密碼

降級(jí)后服務(wù)器會(huì)重啟，并重新登陸

雖然這臺(tái)服務(wù)器已經(jīng)不再是域控了，不過(guò)此時(shí)域服務(wù)組件依然存在還是要繼續(xù)去刪除。

刪除最后一臺(tái)域控

當(dāng)域中已經(jīng)沒(méi)有其他域控制器時(shí)，最后一臺(tái)刪除時(shí)會(huì)多此選項(xiàng)。

刪除dns區(qū)域和應(yīng)用程序分區(qū)

完成后將管理工具刪除

轉(zhuǎn)載博客園大神：王哥哥哥哥