域组建,域管理,活动目录管理,OU管理

1、Author:伏玲红:建域1.开始 >>运行 >>dcpromo2进入AD安装向导3.关于系统兼容性的说明4创建域控制器的类型，我们这里因为是第一台域控制器，所以选第一项。第二项为创建备份域控制器做冗余的时候用的，这留到以后关于迁移域控制器的时候再跟大家说5.创建一个新域。各项的说明图中已经给出，我们这里选第一项”在新林中的域”，因为本文的环境为安装第一个域。2£J6.创建的域的名称。我个人来说习惯在企业内部用 。local的后缀表示本地的7.NetBIOS域名，一般不用改直接下一步!Active Directory 安装向导创建个新域谙选择要刨建的域的类型.

2、创建一乍新的：席在新秫申的域-朝如集建是痙重祁命第一个域或您想让新域完全独立于侮当前的林，诸选择 这个选项r在现有域轲中的子域绘）如果燃崽让新域成为现有域的子域洁选择此选顼.例如，您可创建一个£为 hsadquarters. example. nncrssoH. om 的新域作为 esample. mi crcsoft. com 域白勺tH或c在现肯的林中的域槻血如果您不想便新隊成为现有域的孑域，诸选挥此选项.这将创建1个与现 有樹另开的、新的域轲上一步I下一步1 取消 上一步fE豹口I消8数据库及日志文件存放的位置，可以改也可以不改。如果你习惯把日志类文件放到一齐的话，可以进行修改

3、。因为我只有一个盘就不改了 。9共享的系统卷，这里要注意了！此文件必须要放在NTFS卷上！而且sysvol文件是被用于以后的域信息同步的。所以在安装完后会自动的共享出来。10. 这里一般的话集成安装 DNS比较好，如果是分离安装的话， 对新手比较麻烦。因为AD 会在DNS下创建许多 SRV记录。11. 设置权限，其实就是为了与旧的系统AD迹象联系用的。一般来说默认就可以了！2000以前的已经没见过有人用了。Active Directory 安装內导投限诸选择用尸和姐对象的默认权限一些服务爲程序，如昭g NT远程访问服务可读取域控制器储存的信C与Windows 2000之前的服鸳养操作系统兼容的

4、权限电)如果在Windows 2000之前的服药器撫作系疑上运llffig器程序，咸在 Vfindowz 2000或Windows Server 2003換住系统上运行振务离程厚j该服 务器又是Windows 2000之前域的咸员，诘选此选项a鱼匿名用户可读取这平域的信息.帝迟昌用丽瞪”舉也惑用丽然豈豈鷺賈化，理9豈”埋隹蒸蜜薫畫肉槪艮勵如果仅在Wiiiduws頭Q0或Zfixidows Server 2003操作系统上运行服务器 程偉，该服务器又是rir.ct.ry鹼的成员诸选此选项口只有经 过验证的用尸才能读取这个域的信启c上一步©)|下一步®| 敢梢 I12. AD在

5、进入目录服务还原模式时使用的管理员密码。注意与现在的管理员密码概念区分此密码只适用于目录服务还原模式。此模式在大家平时选择进入安全模式的菜单下可以找到。13你所创建的域环境摘要，说穿就是你前面的设置信息X.l二I廳黠疆豔礬嚨蠹邮竝廠取台计算机使用此-越要诸复登并确认选定的选项口 熔选择：将这个服貓配置成新域林中的第一个域控制器H 新域名将为. con. crim这也是新林的名称“域的NetBIOS名将为HASHNET数据库丈件夹C: mHCOVSVHTDS 日志文件文件夹：c: Wim）0W5 VNTDS SYSTOL 文件夹：CzWlNBOWSXSYSVOL要更改选项，单击“上一歩“ <

6、;,要开始操作单击“下1步” B上一步©）下一歩墮）| 取消 |14.在上面的图示中点击下一步就开始部署AD 了！需要一点时间，大概 5分钟就可以了。休息一下眼睛。在这里之前如果大家没有填写TCP/IP的信息，会在安装过程中叫你填写TCP/IP 信息。15.会出现提示要选择映像文件的位置-如选择取消，DNS服务就会手动配置（有点麻烦），点击确定-浏览-选择文件的位置1JX正在配置鈕件安装程序正在很话您的请求讲行亡直更改.Io妾关闭此向导，诸单击O乞上一步©）|下一步迢）| 取消 I16.看到这里就表示安装完毕了。ActiPirtctQry 安装冉导正在完成Active Di

7、rectory安裝向 导已在这台计直机上为tric.locU域安装了Active Directoryn已将此域控制器分配给Def aul t_Fir st_Si te_M：iLm & 站点Active Directory站点和服务管理亍頁:会 管理所有站点，jJ17.最后就重启立即重启才会生效 二，加入域1. 加入域前的准备a.开始-程序-管理工具-ActiveDirectory 用户和计算机-选择-新建域名下的 Computers-在 右侧窗口，右击-新建-计算机-输入计算机名（是你要加入这个域 的计算机名，）-下一步-下一步-完成。让这个加入的计算机账号是处于启动状态。b.2003

8、 的本地连接-IP 地址配置和你 XP的本地连接在一个网段中，并保证能够互相通信。C.2003 和XP的DNS服务器地址都配置为 2003系统的IP地址。（DC和DNS装在一起，如 果分开装，2003的DNS服务器地址不用和 2003系统的IP地一样）d.将虚拟机2003系统和XP系统的网卡连接方式配置为“桥接”模式。 （加入域前，测试一下 2003和XP之间的连通性。）2. XP加入域（XP系统中）右击“我的电脑”-属性-计算机名-更改-在隶属于中，选“域”-输入域名（此 处是NetBIOS域名，大小写均可）-确定-在弹出的对话框中，输入2003系统的用户名和密码，2003默认用户名是adm

9、inistrator，密码xxxxxx -确定，稍等一会，就会弹出“欢迎加入hash net域”对话框。即完成.三.域的管理1. 在管理你的服务器里选择Active Directory 用户和计算机2. 加入计算机（某些情况下不许要加入计算机，加入域的时候会自动加入，看情况而定）3. 在Active Directory 用户和计算机-域下，点击右键-新建-组织单位4.填写组织单位的名称-确定铮文件®操作卽查看剖 n*向函為*: X囹著建对象-组织单垃Active DirectoryEl _J保存的查谊了 二岁 testtr. con+1 sjj asd_J BuiltinCouput

10、电1弓3 画 Dwtiik Cent rollers3 -| Farei gjiSecw it yFrincipal3-"l h&ijsh二曲开发部:圈开发辺測试Las tAndF owdI HTDS Quotas申 _J Procrajii Dattr+1- ：" I SystemiS-!_| Usrs&J创建在】tester, com/hash2J5.在组织单位下添加组6.添加用户7.输入用户的密码可以修改密码策略-修改后可随便输入密码（没有长度和复杂行限制）a.域名-属性-组策略-编辑B.密码必须符合复杂行要求选禁用C.其他要求也如此8.设置组的管理员

11、，选中组-属性管理者-更改9.计算机和用户绑定：选择用户-属性-账户-登录到-下列计算机-输入你要绑定 计算机的名称%立忡叩檯作姿看叩由口“I m “ 亠 I 1 亠 e q- . I寫I i堆址 杯 iKspf I电恬1单匱|盘 用尸蚤录容09：*-rl彳 ikcLivi Dirxlnty 用户 Mi十耳 E：L 勺_J愧寻的査闻 "l，y tSEtST. CWi凶風LHuilGn_) Coftfulerifl 1 dFkin Cdrt£i*m*k ±t| I_ FareicniStcvr iIrl !<JI h鮎hi"l 同 JFJfeBB 塾

12、开役 kil创试L.l LoitAi-.JFounA-LJ nos即皿认t|*| !| Frag*n DiIl D Sjrstain l+l- LJ UmriilkIli(7 »i 1E fibCE297JW i于对 壬席豐金工性站 *can，用尸遴隶薔期0 Etfft歧艺j璽:此功«愷昱vf«i»ia$區 羅"计甘M容"桂建雌入Wi5000 Ufj般富的it咼枇缶r MWi+«n花节球+程前F 甘却1卷題冷則.魁I iwj M.四.域的委派委派-可以把计算机加入到域的权限，需要输入用户名和密码，输入委派的用户名和密码就ok

13、 了31.右击-委派控制2文件吧操徉归 程画加 廊口炉 陌呼闍)回同丨加倉IxbEi鬲(S沁翅陶它左?DlrtcUry fflFW计亘机谯再的就询-j岁 tetUri+l'Q| &sd |_J Builtin I_ Conip*iA'?rf+J- Ijj Dnniin Contrfllltrs l+l- l_| F盯电l ETV:：* H- Git hf白Qj开楠qJ3L-创麵-1_j LStApJ?< I_j 111K q如 Ih.| I_| Fro(r an，I HJ- I_j Sys Un i+：|- Q Vstrs用戶-11 /-I諒兰前选耀的粧陆.2.点

14、击-下一步鉴潮蒯叩 移动 畫攪所歹任务卽总塔吐 从这用创连国口擢】剪切 删除S)團新(J) 导出列率心3.选择要委派的用户和组3选室的用户和爼（S）：I描世3J2111卜下面开始是Stream的补充先装 DNS 后装 DC 具体步骤见 大体步骤是1. 先建一个和你DC里的域名同名正向区域2. 属性里TCP/IP3. 重启 netlogon 服务 （运行里 net stop netlogon | net start netlogon）加域时候的错误，当时我虚拟机测试的时候岀错了，错误不记得了，用 NewSID搞好的，gpupdate /force组策略刷新，这个也得记住|还有如果是在找不错错误了，直接重新加入域一次（就是先加一个工作组，也就是退岀域了，在加域一次）DcpromoDcpromo /advlusermgr.mscdnsmgmt.msc 配置 DNSDcpromo /Forceremoval 卸载dsa.msc活动目录的用户和计算机管理控制台netbios 域名活动目录组策略ipconfig /registerdns重启获得 DNSgpupdate /force组策略刷新Active Directory域和信任关系domain.m