Windows Server 2012 AD域管理建立

標籤：user   建立   機器名   count   udp   ip地址   串連   顯示   href   

前言

關於AD域管理及其許可權劃分概論：

  1. AD域源於微軟，適用於windows，為企業集中化管理和資訊安全提供強力保障。

  2. 提供域中檔案夾共用，但同時又對不同使用者有不用的許可權。

  3.通過對裝置限制USB介面，網路訪問特定網站來實現對企業內部資訊的保護和防止流失。

  4.個人資料夾可以重新導向到伺服器檔案夾上，實現真正的在同一個域中使用者資料不受固定PC限制既資料跟隨用走。

  5.使用者的許可權不需要定製，只需要加入若干個帶有不同許可權屬性的固定組就可以獲得相應的許可權功能。

 

 

我們按照來建立第一個林中的第一個域。建立方法為先安裝一台Windows伺服器，然後將其升級為網域控制站。然後建立第二台網域控制站，一台成員伺服器與一台加入域的Win8電腦。

環境

網路192.168.100.1 子網路遮罩 255.255.255.0 網關192.168.100.2

網域名稱 contoso.com

DC1 192.168.100.11/24

DC2 192.168.100.12/24

Server 192.168.100.13/24

PC1 192.168.100.14/24

建立域的必備條件

• DNS網域名稱：先要想好一個符合dns格式的網域名稱，如 contoso.com
• DNS伺服器：域中需要將自己註冊到DNS伺服器內，瓤其他電腦通過DNS伺服器來找到這台機器，因此需要一台可支援AD的DNS伺服器，並且支援動態更新（如果現在沒有DNS伺服器，則可以在建立域的過程中，選擇這台域控上安裝DNS伺服器）

註：AD需要一個SYSVOL檔案夾來儲存域共用檔案（例如域組策略有關的檔案），該檔案夾必須位於NTFS磁碟，系統預設建立在系統硬碟，為了效能建議按照到其他分區。

 

建立網路中的第一台網域控制站修改機器名和ip

先修改ip地址，並且將dns指向自己，並且修改電腦名稱為DC1，升級成域控後，機器名稱會自動變成dc1.contoso.com

安裝域功能

選擇伺服器

選擇網域服務

提升為網域控制站

添加新林

此林根網域名稱不要與對外伺服器的DNS名稱相同，如對外服務的DNS URL為http://www.contoso.com，則內部的林根網域名稱就不能是contoso.com，否則未來可能會有相容問題。

• 選擇林功能層級，域功能層級。、

  此處我們選擇的為win 2012 ，此時域功能層級只能是win 2012，如果選擇其他林功能層級，還可以選擇其他域功能層級

• 預設會直接在此伺服器上安裝DNS伺服器
• 第一台網域控制站必須是通用類別目錄伺服器的角色
• 第一台網域控制站不可以是唯讀網域控制站（RODC）這個角色是win 2008時新出來的功能
• 設定目錄還原密碼。

  目錄還原模式是一個安全模式，可以開機進入安全模式時修複AD資料庫，但是必須使用此密碼

   

  出現此警告無需理會

  系統會自動建立一個netbios名稱，可以更改。

  不支援DNS網域名稱的舊系統，如win98 winnt需要通過netbios名來進行通訊

• 資料庫檔案夾：用了儲存AD資料庫
• 記錄檔檔案夾：用了儲存AD的更改記錄，此記錄可以用來修複AD資料庫
• SYSVOL檔案夾：用了儲存域共用檔案（例如組策略）

  如果電腦內有多個硬碟，建議將資料庫與記錄檔夾分別設定到不同的硬碟內，分兩個硬碟可以提供運行效率，而且分開儲存可以避免兩份資料同時出現問題，以提高修複AD的能力。（不過我認為現在都是RAID模式了沒必要分開，和作業系統分區分開就可以了）

  順利通過檢查，直接安裝

  安裝完成重啟

檢查DNS伺服器內的記錄是否完備

域控會將自己扮演的角色註冊到DNS伺服器內，以便讓其他電腦能夠通過DNS伺服器來找到域控。因此先檢查DNS伺服器內是否已經存在這些記錄。需要用網域系統管理員賬戶來登陸contoso\administrator.

檢查主機記錄

選擇管理工具-dns

預設會有一個contoso.com的地區，主機記錄表示域控dc.contoso.com已經正確的將其主機名稱與IP地址註冊到DNS伺服器內。

如果網域控制站已經正確的將家裡註冊到dns伺服器，應該還會有_tcp _udp等檔案夾。單擊_tcp檔案夾後可以看到資料類型為服務位置(SRV)的_ldap記錄，表示dc1.contoso.com已經正確的註冊為網域控制站。還能看到_gc記錄全域編錄也是由dc1.contoso.com所扮演。

排除註冊失敗的問題

如果域成員本身的設定或者網路問題，會造成無法將資料註冊到DNS伺服器。

如果有成員電腦的主機與ip美元正確註冊到DNS伺服器，可以到此機器上運行ipconfig /registerdns來手動註冊。完成後，到DNS伺服器檢查是否已有正確記錄，例如server1.contoso.com，ip地址192.168.100.13則堅持地區contoso.com是否有對應的a記錄和ip。

如果發現網域控制站沒有將其扮演的角色註冊到dns伺服器，也就是沒有_tcp檔案夾與記錄，到伺服器中重啟netlogon服務

建立更多的網域控制站

如果一個域內有多個網域控制站，可以有如下好處.

• 提高使用者登入的效率：如果同時有多台網域控制站對客戶提供服務，可以分擔審核使用者登入身份（賬戶與密碼）的負擔，讓使用者登入效率更佳。
• 排錯功能：如果有網域控制站發生故障，此時依然能有其他正常的網域控制站繼續提供網域服務器。

我們將dc2.contoso.com升級為網域控制站

首先改名，改ip

後面都和前面一樣安裝功能

這裡不同，將域控添加到現有域，輸入欄位名contoso.com，並且輸入現有許可權添加域控的賬戶contoso\administrator的密碼。

只有Enterprise Admins和Domain Admins內的使用者有許可權建立其他網域控制站。

選擇從其他域控複製

安裝完成後機器會重啟，然後在檢查DNS記錄。

修改dns指向

修改dc1和dc2的dns互相將各自的首選dns指向對方域控

將windows電腦加入或脫離域

Windows加入域後，就可以訪問ad資料庫和其他域資源。可以被加域的電腦：

Windows server 2012(R2)

Windows server 2008(R2)

Windows server 2003(R2)

Windows 8

Windows 7

Windows vista

Windows xp

將windows電腦加入域

我們要將server.contoso.com機器加入域。

先將機器改名改ip。

輸入欄位名和域賬戶密碼

如果報錯，請檢查dns是否指向域控。

完成後我們可以使用域賬戶登入此台伺服器

電腦名稱後已自動加上網域名稱

脫離域

只要輸入工作群組並點擊確定

成員電腦內的ad管理工具

我們有時管理員管理不過來是可以將開賬戶的許可權委派改其他各個部門的行政，委派給他們後，他們當然是不能登陸域控的，這時就要在他們的電腦上安裝ad管理工具

Windows server 2012

添加功能中，添加遠端伺服器管理工具

Windows8 和Windows7

都去官網下載Remote Server Administration Tools for Windows8/7

建立組織單位與域使用者賬戶

可以將使用者賬戶建立到任何一個容器或組織單位（OU）內。先建立業務部的OU.然後再建立使用者。

建立組織單位

點擊 Active Directory管理中心

輸入名稱

建立使用者

業務部-建立使用者

• 使用者UPN登入：使用者可以利用這個域電子郵箱格式相同的名稱（[email protected]）來登入網域，此名稱被稱為User Principal Name（UPN）。此名在林中是唯一的。
• 使用者名稱SamAccountName登入：使用者也可以利用此名稱（contoso\wang）來登入。其中wang是NetBios名。同一個域中此名稱必須是唯一的。Windows NT Windows 98等舊版系統不支援UPN，因此在這些電腦上登入時，只能使用此登入名稱。

使用新賬戶登入網域

我們使用2種方法來登入網域

利用新使用者賬戶登入網域控

除了域Administrators等少數組內的成員外，其他一般域賬戶預設無法登陸到域控上，除非另外開放。

賦予使用者在域控登入許可權

一般使用者必須在域控上擁有允許本地登入的許可權，才能在域控上登入。此許可權可以用過組策略來開放。

系統管理工具-組策略管理

電腦配置-策略-windows設定-安全設定-本地策略-使用者權限分配-允許本地登入，然後將使用者或組加入到列表內

組策略配置完成需要應用到域控才有效，應用方法有三種：

• 將網域控制站重啟
• 等網域控制站自動應用此策略，可能需要等待5分鐘或更久
• 手動應用：到網域控制站上運行gpupdate或gpupdate\force

多台網域控制站的情況

如果域內有多台網域控制站，則設定的安全設定值，先被儲存到PDC操作主機角色的網域控制站內，預設由第一台網域控制站扮演。

Active Directory使用者和電腦-選擇contoso.com右鍵操作主機

需要等待設定值從PDC操作主機複製到其他網域控制站後，他們才會應用這些設定值。什麼時候應用分兩種情況：

• 自動複製：PDC操作主機預設15秒後悔自動將其複製出去，因此其他網域控制站可能需要等15秒或更久才能接受到此設定值。
• 手動複製：到任何一台網域控制站上選擇Active Directory網站和服務-Sites-Default-First-Name Servers單擊要接收設定的網域控制站-NTDS Settings-立即複製。如DC1是操作主機，DC2是需要接收的域控

如果是組原則設定，則他先輩儲存在PDC操作主機內，但如果Active Directory使用者賬戶或其他對象有改動，則這些改動會先被儲存在所串連的網域控制站，同時系統預設會在15秒後自動將此改動資料複製到其他網域控制站。

如果要查詢目前串連的網域控制站，可以如在Active Directory管理中心控制台中將滑鼠指標對著圖中的contoso，他就會顯示所串連的網域控制站。如果要更改串連其他控制器，單擊更改網域控制站。

域使用者個人資料的設定

每個域使用者賬戶內部都有一些相關的屬性資料，例如地址 電話等，域使用者可以通過這些屬性來尋找Active Directory內的使用者，因此這些資料越完整越好。

限制登入時間與登入電腦

我們可以限制使用者的登入時間已經能用使用某些電腦來登入網域。

如只能允許使用者在正常上班時間內登入電腦

預設使用者可以登入所有非網域控制站的成員電腦，不過可以限制他們只能利用某些特定電腦來登入網域。如限制只能登入server電腦。

Active Directory輕型目錄服務

為了讓支援目錄訪問的應用程式，可以在沒有域的環境內享有目錄服務的好處，Windows Server 2012內提供了Active Directory輕型目錄服務 AD LDS,它可以讓你在電腦內建立多個目錄伺服器的環境，每個環節被稱為一個AD LDS執行個體，每個執行個體擁有獨立的目錄設定，架構，資料庫。

Active Directory資源回收筒

在舊版的作業系統中，如果系統管理員誤將ad對象刪除，就需要進入目錄服務還原模式。還原麻煩，並且在還原好重啟時，域無法提供服務。

雖然windows server 2008 R2新增了ad資源回收筒，讓系統管理員不需要進入目錄服務還原模式，就可以救回被刪除的對象，但是卻不是很好用，例如需要通過複雜的命令與步驟。

Windows server 2012 的ad資源回收筒又有了進一步的改良，他提供容易使用的映像介面管理工具。

要啟用ad資源回收筒，林與域功能層級必須是Windows Server 2008 R2（含）以上的層級。注意，一旦啟用資源回收筒，就無法在禁用，因此域與林功能基本也無法在被降級。

啟用Active Directory資源回收筒

開啟Active Directory管理中心，單擊左側的網域名稱contoso，單擊右側的啟用資源回收筒

報錯了

因為域內有多個網域控制站，需要等設定值被複製到所有的網域控制站後，ad資源回收筒功能才會完全正常。（我做實驗，節約效能還有一台輔助域控沒有開啟）

開啟輔助域控並複製設定值後再次開啟資源回收筒。

刪除群組織單位

試著將業務部刪除，但是先將防止刪除的選項刪除

取消勾選防止意外刪除。

接著刪除業務部

還原組織單位

接下來，要通過資源回收筒來救回組織單位，雙擊deleted objects。

選擇要救回的組織單位，單擊還原

刪除網域控制站與域

可以通過降級的方式來刪除網域控制站，也就是將Actice Directory從網域控制站刪除。在降級前先注意以下事項：

如果域內還有其他網域控制站存在，則它會被降級為該域的成員伺服器。

如果這台網域控制站是此域內的最後一台網域控制站，域內也沒有其他的網域控制站存在了，因此域將被刪除，而網域控制站也將會被降級為獨立的伺服器。

註：建議先將成員伺服器server.contoso.com脫離域，因為在域刪除後，這台伺服器的賬戶就無法登陸域了（域刪除後，也可以再將成員伺服器脫離域）。

必須是Enterprise Admins組的成員，才能有許可權刪除域內的最後一台網域控制站。如果此域之下還有子域，請先刪除子域。

• 如果此網域控制站是通用類別目錄伺服器，請檢查其所在網站內是否還有其他通用類別目錄伺服器，如果沒有，請先指定另一台網域控制站來扮演通用類別目錄伺服器，否則將影響使用者登入。Active Directory網站和服務-Site- Defalut-First-Site-Name – Server-NTDS Setting並單擊滑鼠右鍵-屬性-勾選全域編錄

• 如果刪除的網域控制站是林內最後一台網域控制站，則林輝被一起刪除。Enterprise Admins組的成員才有許可權刪除這台網域控制站與林。

刪除網域控制站步驟：

取消勾選

先降級

選擇擁有許可權的賬戶

如因為故障無法刪除此網域控制站(如，在刪除時，需要能夠串連企圖網域控制站，但是一直無法串連)此時可以勾選強制移除此網域控制站。

屬於降級後的本地administrator密碼

降級後伺服器會重啟，並重新登陸

雖然這台伺服器已經不再是域控了，不過此時網域服務組件依然存在還是要繼續去刪除。

刪除最後一台域控

當域中已經沒有其他網域控制站時，最後一台刪除時會多此選項。

刪除dns地區和應用程式分區

完成後將管理工具刪除

 

轉載部落格園大神：王哥哥哥哥

Windows Server 2012 AD域管理建立