一、使用AD域的好處

大企業(yè)為了統(tǒng)一管理電腦，公司IT人員都會(huì)在公司搭建域控，將公司所有電腦都加入到域中，然后進(jìn)行權(quán)限的集中管理。

公司員工電腦加入域后，可以控制員工的登錄權(quán)限，文件訪問(wèn)權(quán)限，打印權(quán)限，電腦配置修改權(quán)限等。

阻止一些軟件自動(dòng)升級(jí)，用戶私自安裝軟件，電腦的安全得到了一定的防范。

對(duì)于用戶集中權(quán)限管理后，IT管理工作效率高，現(xiàn)在很多企業(yè)的ERP軟件，加密軟件都和AD域進(jìn)行帳戶綁定，分配權(quán)限。

?

軟件安裝，可以進(jìn)行軟件的統(tǒng)一下發(fā)等等，減少I(mǎi)T管理工作量。

等等。

二、搭建AD域

?

1、安裝windows server 2019操作系統(tǒng)。

2、選將AD域服務(wù)器，修改靜態(tài)IP地址，將DNS設(shè)置為127.0.0.1。

?

3、修改AD域服務(wù)器的主機(jī)名稱，自己定義。

?

4、打開(kāi)服務(wù)器管理器，找到右上角“管理”--“添加角色和功能”。

?

5、“開(kāi)始之前”，啟用向?qū)В�進(jìn)行角色或功能添加，下一步。

?

6、選擇默認(rèn)的“基于角色或基于功能的安裝”，下一步。

?

7、“從服務(wù)器池中選擇服務(wù)器”，現(xiàn)在只有一臺(tái)，所以默認(rèn)就選擇NJAD01，下一步。

?

8、找到“Active Directory域服務(wù)”，勾選。

?

9、勾選后，會(huì)跳出如下需要安裝的角色或功能，點(diǎn)擊“添加功能”。

?

10、現(xiàn)在Active Directory域服務(wù)，已經(jīng)選中，點(diǎn)擊下一步。

?

11、功能，下一步。

?

12、ADDS，下一步。

?

13、選擇“安裝”。

?

14、正在安裝Active Directory 域服務(wù)。

?

15、看到已在NJAD01上安裝成功，說(shuō)明AD域的角色添加成功了。那是不是AD域現(xiàn)在就配置完成了呢？

?

16、AD域服務(wù)的角色安裝成功后，搭建域控的任務(wù)還沒(méi)有結(jié)束，還需要進(jìn)行部署配置。

選擇右上角，帶感嘆號(hào)的旗子，點(diǎn)擊“將此服務(wù)器升級(jí)為域控制器”。

?

17、部署配置，如果是公司的首臺(tái)域控制器，選擇“添加新林”，自定義公司的根域名，域名命令規(guī)則xxx.com，為什么要用.com結(jié)尾呢？一般來(lái)說(shuō).com注冊(cè)用戶為公司或企業(yè)。

?

18、新林和根域的功能級(jí)別，默認(rèn)Windows Server 2016。

指定域控制器功能，域名系統(tǒng)（DNS）服務(wù)器，全局編錄（GC）都是默認(rèn)安裝在此域控服務(wù)器上。

?

19、設(shè)置目錄服務(wù)器叫還原模式（DSRM）密碼。Directory Services Restore Mode，簡(jiǎn)稱DSRM，又稱目錄服務(wù)恢復(fù)模式。是Windows域控制器的服務(wù)器安全模式啟動(dòng)選項(xiàng)。DSRM允許管理員用來(lái)修復(fù)或還原修復(fù)或重建活動(dòng)目錄數(shù)據(jù)庫(kù)。

?

20、DNS選項(xiàng)，下一步。

?

21、其它選項(xiàng)，NetBIOS域名，默認(rèn)，下一步。

?

22、AD DS數(shù)據(jù)庫(kù)、日志文件和SYSVOL的文件存儲(chǔ)的默認(rèn)位置。

Ntds.dit：存儲(chǔ)活動(dòng)目錄數(shù)據(jù)庫(kù)文件，存儲(chǔ)域控制器的所有活動(dòng)目錄對(duì)象。

Edb*.log：存儲(chǔ)日志文件，默認(rèn)日志文件Edb.log。

SYSVOL，它是用來(lái)存儲(chǔ)域公共文件服務(wù)器副本的共享文件夾，例如我們用得最多的組策略設(shè)置、腳本等都是存在這個(gè)共享目錄中的，script腳本文件，Netlogon共享文件，Sysvol共享文件。

?

23、查看選項(xiàng)中，可以看查看到上面的部署全部信息參數(shù)。

?

24、剛才部署了那么多，可以查看剛才的配置腳本。

?

25、“先決條件檢查”。

?

發(fā)現(xiàn)有一個(gè)報(bào)錯(cuò)，本地Administrator帳戶將成為域Administrator帳戶。無(wú)法新建域，因?yàn)楸镜氐挠駻dministrator帳戶密碼不符合要求。

這個(gè)報(bào)錯(cuò)，就是說(shuō)域服務(wù)器的本地Administrator帳戶要升級(jí)成域Administrator帳戶了，之前設(shè)置的密碼太簡(jiǎn)單了，需要重新設(shè)置一下。

?

?

打開(kāi)dos界面，輸入命令，命令完成。

?

命令完成后，重置本地管理員密碼。

?

26、點(diǎn)擊上一步后，然后點(diǎn)下一步，重新檢測(cè)“先決條件檢查”。發(fā)現(xiàn)可以正常通過(guò)條件檢查。點(diǎn)擊“安裝”。

?

27、正在安裝中...

?

28、安裝完成后，重新啟動(dòng)域服務(wù)器。

?

29、輸入密碼，登錄域服務(wù)器。

?

30、在升級(jí)成為域服務(wù)器后，計(jì)算機(jī)管理中，就沒(méi)有用戶和組了。

?

31、用戶和組都在“工具”--“Active Directory用戶和計(jì)算機(jī)”中。

?

32、進(jìn)入“Active Directory用戶和計(jì)算機(jī)”后，找到Users可以查找到Administrator等用戶。

?

33、域服務(wù)器已經(jīng)搭建完成。