AD 域环境
前置条件
在开始搭建 AD 域之前,需要确保以下条件已满足:
管理员账户激活并设置强密码 使用命令行激活 Administrator 账户并设置复杂密码(建议包含大小写字母、数字和特殊字符)。
net user administrator /active:yes net user administrator [强密码]配置静态 IP 地址 为服务器配置静态 IP 地址,确保网络稳定性。
安装 Active Directory 服务
打开服务器管理器 在服务器管理器中,选择“添加角色和功能”向导。
选择角色 在“服务器角色”模块中,勾选以下选项:
- Active Directory 域服务
- DNS 服务器
然后单击“下一步”。
选择功能 在“功能”模块中,勾选 .NET Framework 4.5 功能(如有更高版本,可选择最新版本),然后单击“下一步”。
确认并安装 在“确认”模块中,检查所选角色和功能无误后,单击“安装”。
提升服务器为域控制器
- 启动提升向导
安装完成后,服务器管理器右上角会出现警告图标。单击警告图标,在弹出的窗口中选择“将此服务器提升为域控制器”。
- 配置新林
在“部署配置”模块中,选择“添加新林”,并设置根域名(例如:
example.com)。
- 设置还原密码
在“域控制器选项”模块中,输入并记住域控制器还原模式密码(建议为复杂密码,例如:
1qaz@WSX)
- 默认配置
后续步骤按照默认配置进行,无需修改,直至“先决条件检查”模块。
- 先决条件检查与安装
若先决条件检查通过,单击“安装”开始配置域控制器。安装完成后,系统将自动重启。
注意事项
- 服务器成为域控制器后,原工作组用户将自动转换为域用户。
- 工作组中的管理员账户将转换为域管理员账户。
- 受限制的管理员账户(在 administrators 组中)也将转换为域管理员账户。
将成员主机加入域
配置入域
修改主机名 为成员主机设置一个唯一的计算机名,修改后需重启计算机。
配置静态 IP 和 DNS 为成员主机配置静态 IP 地址,并将 DNS 服务器地址设置为域控制器的 IP 地址。
加入域 在“系统属性”中,选择“域”并输入域名称(例如:
example.com)。
输入域管理员账户和密码,确认后加入域。
重启并验证 重启成员主机后,可使用以下方式登录:
工作组用户:
主机名\用户名或.\用户名
域用户:
域名\用户名
验证入域
在域控制器的 Active Directory 管理中心 中,导航至 域名 --> Computers,可查看已加入域的主机。
导航至 域名 --> Users,可查看域用户、用户组等信息:
- Domain Users:所有域用户
- Domain Admins:域管理员用户组
- Domain Controllers:所有域控制器
- Domain Computers:所有成员主机
每台加入域的主机会自动生成一个机器账户,名称为 主机名$,密码为随机 256 位字符串。
创建域用户
新建域用户
在 Active Directory 管理中心 中,导航至 域名 --> Users --> 新建 --> 用户,创建新域用户。
默认情况下,勾选“用户下次登录时必须更改密码”。
设置域管理员权限 若需将新用户设置为域管理员,需将其添加到 Domain Admins 用户组。
注意事项
- 默认情况下,域用户可登录所有成员主机和域控制器。
- 若需限制用户登录特定主机,可在用户属性中配置“登录到”选项。
