win2024域控制器配置详解

首先，当然是在成员服务器上安装上WindowsServer2024,安装胜利后进入系统,

我们要做的第一件事就是给这台成员服务器指定一个固定的1P，在这里指定状况如下：

机器名:Server

IP:

子网掩码:

DNS:（因为我要把这台机器配置成DNS服务器）

由于WindowsServer2024在默认的安装过程中DNS是不被安装的，所以我们须要手动

去添加，添加方法如下:“起先一设置一限制面板一添加删除

程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面：

向下搬运右边的滚动条，找到“网络服务”，选中:

默认状况下全部的网络服务都会被添加，可以点击下面的“具体信息”进行自定义安装，由于

在这里只须要DNS,所以把其它的全都去掉了，以后须要的时候再安装：

网络服务

要添加或删除某个组件，谙单击旁边的复选框.灰色框表示只会安装该组件的一

部分-要查看组件内容，请单击“详细信息”。

网络服务的子组件位)：

■43HTTP代理上的RPC0.0MB口

□恩Internet验证服务0.0MB

□玛WindowsInternet名称服务例INS)0.8MB

□昌动态主机配置协议(DHCP)0.0MB

□3简单TCP/IP服务0.0MB

日昌域名系统CDNS)1.5MB

描述：允许RPC/DCOM通过Internet信息服务器QIS)的KTTP进行通讯.

所需磁盘空间:

15.5MB洋细信息0

可用磁盘空间:14305.9MB

确定取消|

然后就是点“确定”，始终点“下•步”就可以完成整个DNS的安装。在整个安装过程中请保

证WindowsServer2024安装光盘位于光驱中，否则会出现找不到文件的提示，那就须要手

动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“起先一运行“，输入“Dcpromo”，然后

回车就可以看至卜ActiveDirectory安装向导”

在这里干脆点击“下一步”：

这里是一个兼容性的要求，Windows95及NT4SP3以前的版本无法登陆运行到Windows

Server2024的域限制器，我建议大家尽量采纳Windows2000及以上的操作系统来做为客户

ActiveDirectory安装向导■■X

新的域名

话指定新城的名称.

为新域键入一个DNS全名@口：

headquarters,example,microsoft.com）。

新城的DNS全名l£）：

＜上一步复）I下一步但）＞1取消I

在这里我们要指定一个域名，我在这里指定的是dem。

这里是指定NetBIOS名，留意千万别和下面的客户端冲突，也就是说整个网络里不能再有

一台PC的计算机名叫“demo”，虽然这里可以修改，但个人建议还是采纳默认的好，省得以

后麻烦。

ActiveDirectory安装向导2d

数落库和日志文件文

请指定盘ActiveDirectory数据库和日志文件的文件夹•

基于最佳性能和可恢复性的考虑，话将数据库和日志存放在不同的硬盘上。

您希望在哪里保存ActiveDirectory数据库？

数据库文件夹也）：

;WINDOWS\NTDSl

您希望在哪里保存ActinDirectory日志？

日志文件夹&）：

[C：\"]：NIOTS\NTDS

〈上一步也）|下一步国）：|取消|

在这里要指定AD数据库和日志的存放位置，假如不是C盘的空间有问题的话，建议采纳

默认。

这里是指定SYSVOL文件夹的位置，还是那句话，没有特别状况，不建议修改:

第一次部署时总会出现上面那个DNS注册诊断出错的画面，主要是因为虽然安装

了DNS,但由于并没有配置它，网络上还没有可用的DNS服务器，所以才会出现

响应超时的现像，所以在这里要选择：“在这台计算机上安装并配置DNS,并将

这台DNS服务器设为这台计算机的首选DNS服务器”。

ActiveDirectory安装向导.

一些服务器程序，如WindowsNT远程访问服务，可读取域控制器借存的信

息・

C与Windows2C00之前的服务器操作系统兼容的权限任）

如果在Windows2000之前的服务器操作系统上运行服务器程序，或在

Windows2000或WindowsServer2003像作系统上运行服务能程序，该服

务器又是Windows2000之前域的成员，请选此选项。

心匿名用户可读取这个域的信息.

T只写“；益0送"加面或后n&owsGerber2。冠操作系统兼容的权限也X

如果仅在Windows2000或WindowsServer2003澡作系线上运行服务器

程序，该服务器又是ActiveDirectory域的成员，话选此选项。只有经

过验证的用尸才能读取这个域的信息。

〈上一步复）|下一步国）＞|取消|

“这是一个权限的选择项，在这里，我选择其次项：“只与Windows2000或

Window2024操作系统兼容的权限”，因为在我做试验的整个环境里，并没有

Windows2000以前的操作系统存在”

这里是一个重点，还原密码，希望大家设置好以后肯定要记住这个密码，千万别

遗忘了，因为在后面的关于活动书目复原的文章上要用到这个密码的。

这是确认画面,请细致检查刚刚输入的信息是否有误，尤其是域名书写是否正确,

因为改域名可不是闹着玩的，假如有的话可以点上一步进入重输，假如确认无误

的话，那么点“下一步”就正式开安装了：

几分钟后，安装完成:

点完成：

点“马上重新启动”。

ActiveDirectory安装向导

必须重新启动WindowsJActiveDirectory安装向导所做的改

动才能生效.

匚:立即重新后顼面不立即重新启动①)|

然后来看一下安装了AD后和没有安装的时候有些什么区分，首先第一感觉就是

关机和开机的速度明显变慢了，再看一下登陆界面：

登录到Windows

.MuCfOSOTV

fWindowsServer2003

“■EnterpriseEdition

CopyrightC19652003Micro8nCorpofBlion

用尸名@):1Administrator

密码Q>)；J********

登录到&)：|DEMO三］

r使用拨号网络连接登录也)

m

|确定|取消|关机⑹|选项(Q)<<|

多出了一个“登陆到”的选择框：

进入系统后，右键点击“我的电脑”选“属性”，点“计算机”

怎么样?和安装AD以前不一样吧，其它的比如没有本地用户了，在管理工具里多

出么多图标什么的，这些将在以后的文章里讲解并描述，这里就不再详谈了。

在我的上一篇文章中，己经把一台名为Server的成员服务器提升为了域限制器,

那我们现在来看下如何把下面的工作站加入到域。

由于从网络平安性考虑，尽量少的运用域管理员帐号，所以先在域限制器上建立

一个委派帐号,登陆到域限制器，运行"dsa.msc”,出现“AD用户和计算机”

管理限制台：

先来新建一个用户，绽开“demo”，在“Users”上击右键，点“新建”-“用

户”：

4tActiveDirectory用户和计算双-1□!xj

♦文件d)■作⑥查看9窗口S)常助Of)-l(y|x|

u■区);由£国国七以幼宇④金

OActiveDir<ctory用户和i十It机U”rs20个对象

；♦」俣存的直i同名称1类型1▲

B百^deocoaA4n“tr7or

fflBuiltin2C»rtPubli..安全招-本.此组的成员被允许发行.

S_JCoaput«rs;DnxAd»ins安全相一本.DKS管理5姐

，刘DoatinControllers

|DnsVpd«t«P...安全组-全局允许替苴怆客户镰@1..

♦1-]For«i<nStcurityPr»n:iptl

{Do««in安全饵-全局揩定的域笞理员

加入到城中的所有工作.

妥点克利a).(DoeainCom..安领一切

域中所有域控制翳

查我9…{DoaainCon..安全ifi-全局

，TlfnM・<”中雀钢-全局域的所有来度

新建QP过■机全辐-全局所有城用户

所科任务毯)朕系人全期-全局企业的指定不妖答龙员

俎堂期-全局这个期中的成员可以修.

查看9

InttOrcFersonP供来育口问计就机或法

从这里媚窗口«)

0Q队列别名领.本.精助和支持中心怛

0年打E网____________例.本ns工作迸程组

导出列表a)用户_____________|P厘名访问Int.rn.t信

共享文件夹”用于启动迸程外应用程

属性小)

•本.这个1g中的，做务88可以

Sch«**Adfiinx安全姐~全局架构朝8定不找笞理员

MfthQj)—03CN*・.^xccu.4n-^«xao二J

创建一年期对象

然后出现一个新建用户的向导，在这里，我新建了一个名为“swg”的用户，并

且把密码设为“永不过期”。

这样点“下一步”，直到完成，就可以完成用户的创建。然后在“demo”上

点击右键，先择“委派限制”：

|[ActisDirectory用户卸诘制机-101XI

J文件①)操作Q)查看9用口,)然助电)-ItflX|

"》回国1©J固目星,国：立郡曲角0a|

•ActiveIhr“Qory用尸和计直机

一」保存的查询1名球1英血1揄逑1

■HBuiltinbsltinDoa3n

委源控制a)

JCspuSrs容器Defaultcontainerfo・・・

查找9…V

JDowtinCon姐很单便Dtfeultcontain"f。…

连接到境

」For.i6s•a容需Defaulteonteiner£◎…

连接到成控制88(C)...

jUxtri省网Defaultcontainerf。.

提开域功能级别Q)

■作主机/).•・

新年QP

所有任务比)

查看9

从这里创建窗口与

导出加R03...

幅助QP

|«|I±]

在此文件夹的委派对象按1M因中。。，：！Q：

就会出现一个“委派限制向导,,：

控制委派向导

欢迎使用控制委派向导

此向导帮助您委派ActiveDirectory对象的控制。您

可给予用户权限来管理用户,组，计猫:机，部门，和耳

他存储在ActiveDirectory中的对象.

要继续，话单击“下一步”.

|工二芨@）二司取消|

点击“下一步”：

点击中间的“添加.’按钮，并输入刚刚创建的“swg”帐号:

然后点“确定”：

控制委派向导凶

用尸和蛆

选定一个或多个您想委派控制的用户或蛆。

户定的用户和组⑹：

[swg(swgQdemo.com)

添加凶…|删除⑻

＜上一步⑹啜:⑥取消|

再点“下一步”：

在上面的画面中，短暂不须要让该用户去“管理组策略链接”，所以在这里，仅

仅选择“将计算机加入到域”，然后点“下一步”:

最终是一个信息核对画面，要是没有什么问题的话，干脆点“完成”就可以了。

接下来转到客户端，看看怎么把XP进来，在试验中采纳的客户端操作系统是

WindowsXP专业版，须要大家留意的是WindowsXP的Home版由于针对的是家

庭用户，所以不能加入域，大家别弄错了哟，我们先来设置一下这台XP的网络:

计算机名：TestXP

IP:192.168.5.5

子网掩码：255.255.225.0

DNS服务器：192.168.5.1,

Internet协议(TCP/IP)属性

设置完网络以后，在“我的电脑”上击右键，选“属性”，点“计算机名”。

在昌里把“隶属于”改成域，并输入：“demo”，并点确定，这是会出现如

下画面：

输入刚刚在域控上建的那个“swg”的帐号，点确定:

出现上述画面就表示胜利加入了，然后点确定，点重启就算0K了。来看一下登

陆画面有没有什么不一样：

看到那个“登陆到”了吧，可以选择域登陆还是本机登陆了，在这里选择域

“DEMO"，这样就可以用域用户进行登陆了。进入系统后，在“我的电脑”上击

右键，选“属性”，点“计算机名”：

系统属性团因

常规计算机名硬件高级系统还原自动更新远程

]Widows使用以下信息在网络中标识这台计篁机。

计篁机描述@）：

举例："KitchenComputer"或"H&ry's

Computer"。

完整的计算机名称:testxp.demo.com

域：demo,com

要使用网络标识向导去加入域并创建本地用户帐［酸［D®］

P，话单击“网络工D”・

要重新命名此计菖机或加入城，单击“更改”。

看到用黑框标出来的地方和没有加入到域的时候的区分的吧?

当把下面的客户端加入到域后，假如域限制器处于关闭状态或者死机的话，那么，

会发觉下面的客户机无法登陆到域，所以再建立一台域限制器，用来防止其中一

台出现意外损坏的状况