下载文档原格式
域网络构建教程(2 )域控制器中DHCP、WINS、DNS的安装和基本设置(2003Server)域控制器中的服务三剑客的安装及设置当使用DCPROMO命令提升的域控制器完成首次启动进入系统后,我们先不要忙着安装和设置,我建议大家先打开事件查看器(我平时都是在桌面建个快捷方式),在这里系统把它的喜怒哀乐都记录在了里面,想让它少发脾气,我们就要时不时的看看这里。
一、首次浏览事件查看器1、应用程序打开管理工具——事件查看器,点击左侧的应用程序,你会看到一个必然出现的警告信息,是关于MSDTC(微软分布式传输协调程序)的。
我装了N次的系统了,每次都有。
截图如下:改正方法:选择管理工具——组件服务,在左侧窗口中打开组件服务——计算机,选择之下的我的电脑,打开属性对话框。
如图:选择MSDTC选项卡,点击最下方的安全配置按钮,在弹出的窗口中直接点击确定,关闭它(不用改变其中的任何选项,微软比较搞笑),再点击确定关闭属性窗口。
然后右击窗口左侧的我的电脑,在弹出的菜单中点击停止MSDTC。
如图:之后再次右击我的电脑,在弹出的菜单中点击启动MSDTC。
现在再看看事件查看器,警告变为信息了。
如图:2、浏览其他事件系统项中会有几个警告,其中只有来源是W32Time的这个警告会反复出现。
解决方法是停掉ntpclient服务。
方法如下:在运行中输入regedit回车,运行注册表编辑器,按照下面的路径逐步打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpC lient直到在窗口右侧看到Enabled。
把Enabled的值改成0。
如图:其他的警告和错误,如果你仔细观察的话会发现,他们都出现在域控制器第一次正式启动之前。
这主要是因为我们的DNS服务是在升级域控的同时安装的,所以才会有这些与DNS有关的警告,它们都是在升级时产生的。
创建域的步骤
嘿,咱今儿就来讲讲创建域的那些事儿!你知道不,创建域就像是
搭积木,一块一块得放对地方,才能搭出漂亮的城堡来。
首先呢,你得有个规划,就跟你盖房子得先有个设计图一样。
你得
想好这个域要用来干啥,有哪些人或者设备要在这个域里活动。
这可
不能马虎,不然到时候出了岔子,那不就抓瞎啦!
然后呢,准备好相应的硬件和软件。
这就好比你要做饭,得先有锅
碗瓢盆和食材吧。
服务器啦、操作系统啦,都得准备齐全咯。
可别小
瞧了这些东西,它们可是创建域的基础呢!
接下来,就是安装和配置啦。
这一步可得仔细着点,就像给娃娃穿
衣服,得穿得整整齐齐的。
设置各种参数,让域能够正常运行起来。
这里面的门道可多啦,一个不小心就可能出问题哦。
再之后,就是添加用户和资源啦。
这就好像给房子里添置家具一样,让这个域变得丰富起来。
给用户分配权限,让他们能在域里各得其所,该干啥干啥。
你想想,要是没有这些步骤,那域不就乱套啦?就好比没有交通规
则的马路,那还不得堵得死死的呀!
在创建域的过程中,还得注意一些细节哦。
比如说,要保证网络的
稳定,不然一会儿断网了,那不就麻烦啦?还有啊,要经常检查和维
护,就像你得定期给汽车做保养一样。
这样才能让域一直健健康康地运行下去呀。
创建域可不是一件简单的事儿,但只要你一步一步来,认真对待,肯定能成功的!就像爬山一样,虽然过程可能有点累,但当你爬到山顶,看到那美丽的风景时,你就会觉得一切都值啦!所以啊,别害怕困难,大胆去尝试吧!咱可不能被这点小事给难住了,对吧?。
Windows Server 2012 R2 创建AD域前言我们按照下图来创建第一个林中的第一个域。
创建方法为先安装一台Windows服务器,然后将其升级为域控制器。
然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机。
环境网络192.168.100.1 子网掩码255.255.255.0 网关192.168.100.2域名DC1 192.168.100.11/24DC2 192.168.100.12/24Server 192.168.100.13/24PC1 192.168.100.14/24创建域的必备条件DNS域名:先要想好一个符合dns格式的域名,如DNS服务器:域中需要将自己注册到DNS服务器内,瓤其他计算机通过DNS服务器来找到这台机器,因此需要一台可支持AD的DNS服务器,并且支持动态更新(如果现在没有DNS服务器,则可以在创建域的过程中,选择这台域控上安装DNS服务器)注:AD需要一个SYSVOL文件夹来存储域共享文件(例如域组策略有关的文件),该文件夹必须位于NTFS磁盘,系统默认创建在系统盘,为了性能建议按照到其他分区。
创建网络中的第一台域控制器修改机器名和ip先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成安装域功能选择服务器选择域服务提升为域控制器添加新林此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为,则内部的林根域名就不能是,否则未来可能会有兼容问题。
选择林功能级别,域功能级别。
、此处我们选择的为win 2012 ,此时域功能级别只能是win 2012,如果选择其他林功能级别,还可以选择其他域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器的角色第一台域控制器不可以是只读域控制器(RODC)这个角色是win 2008时新出来的功能设置目录还原密码。
目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码出现此警告无需理会系统会自动创建一个netbios名称,可以更改。
Active Directory 高级应用1.新建域控制器首先,先安装一个全新的windows server 2003 企业版,用管理员登陆装域之前我们先看一下机器的配置情况,先查看一下计算机名,鼠标右键我的电脑-属性,打开系统属性选项卡,点击计算机名标签,这里计算机名为dc,环境是工作组WORKGROUP,因为还没有加入域,所以这里显示的是工作组我们再来查看一下计算机的IP设置情况,鼠标右键网上邻居-属性,打开网络连接窗口,鼠标右键本地连接-属性,打开本地连接属性,选择Internet协议(tcp/ip)点属性,打开Internet 协议(tcp/ip)属性选项卡,这里我们把IP设置为192.168.2.1,子网掩码255.255.0.0,DNS设置为192.168.2.1好了,准备工作已经做好了,现在我们开始安装AD拉,还有一点要注意,安装AD时会用到系统安装光盘,所以我们现在把系统盘装入光驱,现在开始装DC,点击开始-运行,输入dcpromo,确定这是欢迎向导界面,点击下一步这是操作系统兼容性,点击下一步这里是选择域控制器类型,因为我们这里是域中的第一台域控制器,所以我们选新域的域控制器,点击下一步我们选在新林中的域,点击下一步这里让我们添入新的域名,我们在新域的DNS全名里写入,点击下一步这里让我们添写域的NetBIOS域名,直接默认就好了,点击下一步更改,如果C盘够大直接默认就好拉,这里我就不修改了,点击下一步这里让我们选择共享的系统卷的保存位置,默认好拉,点击下一步这里已经运行了一次DNS注册诊断,因为我们之前没有安装DNS服务器,所以诊断结果是没有在超时间隔以内响应,这里我们选择第2项,在这台计算机上安装并配置DNS服务器,并讲这台DNS服务器设为这台计算机的首先DNS服务器,这也是我们在安装AD之前配置IP时为什么把DNS添写自己的IP,点击下一步这里让我们选择操作系统的兼容权限,如果我们的客户机都是2000版本以上我们选择第2项,只与windows 2000或windows server 2003操作系统兼容的权限,点击下一步这里让我们输入目录服务还原模式的管理员密码,如果AD意外损坏了,我们需要还原AD,还原是需要密码的,这里我们输入一个密码,这里的密码不用与管理员的密码相同,只是作为AD还原使用,密码不要忘了,要不万一需要还原时我们还原不了拉,点击下一步这里显示了之前我们配置的相关信息,点击下一步开始安装了,我们稍等几分钟就会安装完成AD安装完成拉,我们点击完成这里问我们是否立即重新启动,我们选择立即重新启动输入管理员密码,点击确定,登陆计算机,工作组也换成了域。
Windows server 2012 R2 双AD域搭建图⽂教程(AD+DHCP+DNS)⼀、实验环境:Vmware的虚拟机环境搭建了两台windowsserver 2012主AD的计算机名称为:DCONE 静态IP地址为:192.168.229.129/24从AD的计算机名称为:DCTWO 静态IP地址为:192.168.229.130/24还有⼀条作为client端的windows 7professional 的PC机,⽤做测试使⽤。
⼆、实验步骤:1.⼿动更改两台服务器的IP地址为静态IP地址,并且添加DNS的时候,要互为对指的⽅式添加。
即:在DCONE上⾯的DNS:192.168.229.130192.168.229.129在DCTWO上⾯的DNS:192.168.229.129192.168.229.130这样的对指⽅式可以在两台AD域搭建成功,并成功组成冗余模式后,起到DNS的负载均衡的作⽤。
⽽把IP地址都更改为静态IP是为了在同时选取服务器⾓⾊的时候,不⾄于提⽰因为不是静态IP⽽⽆法建⽴DHCP和DNS。
2.进⾏两台服务器的名称的更改,为了⽅便区分两台服务器,也为了⽅便域管理,建议更改。
更改完成后要重新启动才可以⽣效。
3.⾸先开始第⼀台服务器的AD+DHCP+DNS的搭建,因为在添加服务器⾓⾊的时候,可以同时选取,所以三项可以同时选取并进⾏安装。
到这⾥三台服务器就搭建好了。
4.接下来需要把这台DCONE提升为域控制器,且完成DHCP的简单配置。
这样就把AD提升为了域控制器。
5.现在这⾥在DNS⾥⾯做⼀条简单的条⽬,以便⼀会在配置完成DCTWO的时候做验证,因为如果两台DC互为冗余配置完成以后,DNS条⽬会⾃动同步过去。
所以可以做验证。
这样DNS 的条⽬就建⽴好了。
6.开始第⼆台windows server2012R2的配置。
安装AD+DHCP+DNS 的步骤跟第⼀台是⼀样的,就不再重复,这⾥直接从已经安装好AD+DHCP+DNS 服务器开始。
W i n d o w s s e r v e r2012R 2 ActiveDirectory域控制器的部署一、准备阶段1、计算机名称命名为“DC”2、IP地址修改、DNS修改二、安装阶段1、服务器管理器,仪表盘,点击“添加角色和功能”2.默认,下一步3、安装类型选择“基于角色或者基于功能的安装”,下一步4、目前服务器池显示有当前这一台机器,保持默认5、在选择服务器角色界面,勾选“ActiveDirectory服务”6、在选择功能界面,不需要选择任何功能,直接下一步7、确认已经选择所有需要安装的组件后,点击“安装”8、点击“关闭”9、单击服务管理器界面的小旗子,查看目前进度10、点击“将服务器提升为域控制器”,选择“添加新林”,根域名为“”11、林和域功能级别选择,勾选“域名系统DNS服务器”,输入目录服务还原模式密码:A1admin12、出现关于DNS的警告,还没安装DNS,先不管点“下一步”13、在netbios域名界面,保持默认,选择“下一步”14、指定数据库、日志、sysvol存放的位置,保持默认C盘可以将配置信息导出为powershell脚本文件15、检查出错,设置计算机密码:P@ssw0rD16、安装等待完成,随后自动重启17、部署完成,查看工具组策略配置自动更新1、打开“控制面板”-“组策略管理”2、右键“DefaultDomainpolicy”(或者其他策略)-“编辑”注意:如果不能编辑(说明权限不够,确保用administrator登录的)3、依次展开“计算机配置”-“策略”-“管理模板”-“Windows组件”-“Windows更新”,双击“配置自动更新”4、单击“已启用”,然后配置自动更新:•下载通知和安装通知。
该选项会在你下载和安装更新之前通知登录的管理用户。
•自动下载和通知安装。
该选项将自动开始下载更新,然后在安装更新之前通知登录的管理用户。
•自动下载和计划安装。
该选项自动开始下载更新,然后在你指定的当天和时间安装更新。
域服务器搭建教程域服务器搭建教程域服务器是用于管理网络中所有计算机的中央服务器,它可以实现统一管理用户账号、权限控制、文件共享等功能,提高网络管理的效率和安全性。
本文将介绍域服务器的搭建过程。
第一步,选择适合的服务器首先需要选择一台合适的服务器来搭建域服务器。
服务器需要具备足够的硬件配置和稳定的网络连接,建议选择品牌服务器。
另外,服务器的操作系统也需要支持域服务器的搭建,如Windows Server 2019。
第二步,安装服务器操作系统将服务器操作系统安装光盘或U盘插入服务器,重启服务器,按照界面提示进行操作系统的安装。
在安装过程中,需要设置服务器的相关配置,如IP地址、DNS服务器等。
确保服务器的网络连接正常。
第三步,配置域控制器安装完成操作系统后,打开“服务器管理器”工具,点击“添加角色和功能”,选择“角色基于功能或现有服务器安装”,选择“域控制器”的安装。
按照向导的提示进行域控制器的配置,创建新的域或加入现有的域。
第四步,创建域用户域控制器配置成功后,可以使用域管理员账号登录服务器。
在“服务器管理器”工具中,点击“工具”,选择“活动目录用户和计算机”,进入“活动目录用户和计算机”,点击右键,在弹出菜单中选择“新建用户”,根据需要填写用户信息。
第五步,配置域用户权限为了管理网络中的用户权限,可以在“活动目录用户和计算机”中,点击右键选择“属性”,进入用户属性界面,选择“成员资格”选项卡,配置用户的所属群组、权限等。
第六步,配置文件共享域服务器也可以实现文件共享的功能。
在“服务器管理器”工具中,点击“文件和存储服务”,选择“共享”,右键点击“新建共享”进行共享文件夹的配置。
还可以设置共享的访问权限、配额等。
第七步,连接域服务器在客户端计算机上,打开“控制面板”,选择“系统和安全”,点击“系统”,选择“计算机名、域和工作组的更改”,点击“网络ID”进行域加入的配置。
输入域服务器的名称,根据提示进行后续操作。
创建域控制器的步骤域控制器(Domain Controller)是Windows Server操作系统中的一种角色,用于管理和控制域内的计算机、用户和组。
创建域控制器是构建Windows域环境的重要步骤,本文将详细介绍创建域控制器的步骤。
步骤一:安装Windows Server操作系统需要在一台物理或虚拟机上安装Windows Server操作系统。
可以选择最新版本的Windows Server,如Windows Server 2019。
安装过程中需要选择合适的版本和安装选项,按照提示进行操作即可完成安装。
步骤二:设置静态IP地址在安装完Windows Server操作系统后,需要为服务器设置静态IP 地址。
静态IP地址可以确保服务器在网络中具有固定的IP地址,方便其他计算机与其进行通信。
可以通过进入网络适配器设置界面,手动设置IP地址、子网掩码、默认网关和DNS服务器等信息。
步骤三:安装Active Directory域服务角色在安装完Windows Server操作系统并设置好静态IP地址后,需要安装Active Directory域服务角色。
打开服务器管理器,选择“添加角色和功能”,在向导中选择“安装基于角色的安装”选项,并选择“Active Directory域服务”作为要安装的角色。
步骤四:创建新的域安装完Active Directory域服务角色后,需要创建一个新的域。
在创建新域之前,需要进行一些准备工作,如选择域的名称和域的功能级别等。
在创建新域的过程中,可以选择创建一个新的林(Forest)或加入一个已有的林。
根据实际需求进行选择,并按照向导的提示完成域的创建。
步骤五:设置域控制器选项在创建新的域后,需要设置一些域控制器选项。
这些选项包括设置域控制器的安全性选项、DNS选项、SYSVOL复制选项等。
根据实际需求进行设置,并按照向导的提示完成域控制器选项的设置。
步骤六:完成安装和配置在设置完域控制器选项后,可以开始安装和配置域控制器。
W i n2008----文件服务器一.项目概况小明是一家从事信息技术的台资企业的网管,公司有总经理办公室,人事部,财务部,技术部等部门,共计员工150位,所用客户机均为xp系统,为方便公司电子办公,提高效率,公司需要搭建一台文件服务器,用于上传和下载公司部门资料。
二.实施任务描述注意:接下来做的全部在域环境下的。
由于没有强烈要求。
所以在这里我就直接在域环境下做了。
1)建立各部门相对应的用户组。
建立各部门用户组,为各部门用户建立相应的账号(每个部门至少两个账号:一名经理与一名普通话员工)并添加到所在的部门组。
在ad用户和计算机里面创建ou。
为总经理。
部门创建好了,接下来在ou里面创建两个用户和本地域组。
这里为什么选择本地域组呢?因为有些权限本地域才可以达到。
本地域组创建好后,把经理和普通用户加入到本地域组。
组和用户都已经创建好。
两个用户已经被添加到本地域组了。
建立其它部门的用户和组在这里我就不截图了。
步骤同上。
2)密码至少6位及为复杂密码。
开始---管理工具—组策略管理---找到相应的域。
打开组策略编辑器。
密码策略更改好了。
需要刷新下策略。
Gpupdate。
3)实现所有用户的工作环境与管理员相同。
这里需要首先在文件服务器里面打开c盘,用户下面,到对话框的上面点查看,工具,文件夹选项。
显示隐藏文件夹。
会出现一个default文件夹。
把里面的文件全部删除。
这时候把用户下面的administrator文件夹里面的文件全部复制到default文件夹里(注意:这时候肯定复制不了。
因为administrator里面的配置文件正在被管理员使用,这时我们得把部门里面的用户加入到到本地管理员组里面,让他有权限复制和登录。
这是用于进去要复制东西。
不然就不用加入管理员组。
直接可以在组策略里设置允许交互式登录。
(这是在域环境下。
如果在工作组下面就不用这么麻烦了。
)用jingli用户登录。
把c盘用户下的administrator里的文件全部复制到default里面。
Windows Server 2012 R2 创建AD域前言我们按照下图来创建第一个林中的第一个域。
创建方法为先安装一台Windows服务器,然后将其升级为域控制器。
然后创建第二台域控制器,一台成员服务器与一台加入域的Win8计算机。
环境网络子网掩码网关域名创建域的必备条件DNS域名:先要想好一个符合dns格式的域名,如DNS服务器:域中需要将自己注册到DNS服务器内,瓤其他计算机通过DNS服务器来找到这台机器,因此需要一台可支持AD的DNS服务器,并且支持动态更新(如果现在没有DNS服务器,则可以在创建域的过程中,选择这台域控上安装DNS服务器)注:AD需要一个SYSVOL文件夹来存储域共享文件(例如域组策略有关的文件),该文件夹必须位于NTFS磁盘,系统默认创建在系统盘,为了性能建议按照到其他分区。
创建网络中的第一台域控制器修改机器名和ip先修改ip地址,并且将dns指向自己,并且修改计算机名为DC1,升级成域控后,机器名称会自动变成安装域功能选择服务器选择域服务提升为域控制器添加新林此林根域名不要与对外服务器的DNS名称相同,如对外服务的DNS URL为,则内部的林根域名就不能是,否则未来可能会有兼容问题。
选择林功能级别,域功能级别。
、此处我们选择的为win 2012 ,此时域功能级别只能是win 2012,如果选择其他林功能级别,还可以选择其他域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器的角色第一台域控制器不可以是只读域控制器(RODC)这个角色是win 2008时新出来的功能设置目录还原密码。
目录还原模式是一个安全模式,可以开机进入安全模式时修复AD数据库,但是必须使用此密码出现此警告无需理会系统会自动创建一个netbios名称,可以更改。
不支持DNS域名的旧系统,如win98 winnt需要通过netbios名来进行通信数据库文件夹:用了存储AD数据库日志文件文件夹:用了存储AD的更改记录,此记录可以用来修复AD数据库SYSVOL文件夹:用了存储域共享文件(例如组策略)如果计算机内有多个硬盘,建议将数据库与日志文件夹分别设置到不同的硬盘内,分两个硬盘可以提供运行效率,而且分开存储可以避免两份数据同时出现问题,以提高修复AD的能力。
(不过我认为现在都是RAID模式了没必要分开,和操作系统分区分开就可以了)顺利通过检查,直接安装安装完成重启检查DNS服务器内的记录是否完备域控会将自己扮演的角色注册到DNS服务器内,以便让其他计算机能够通过DNS服务器来找到域控。
因此先检查DNS服务器内是否已经存在这些记录。
需要用域管理员账户来登陆contoso\administrator.检查主机记录选择管理工具-dns默认会有一个的区域,主机记录表示域控已经正确的将其主机名与IP地址注册到DNS 服务器内。
如果域控制器已经正确的将家里注册到dns服务器,应该还会有_tcp _udp等文件夹。
单击_tcp文件夹后可以看到数据类型为服务位置(SRV)的_ldap记录,表示已经正确的注册为域控制器。
还能看到_gc记录全局编录也是由所扮演。
排除注册失败的问题如果域成员本身的设置或者网络问题,会造成无法将数据注册到DNS服务器。
如果有成员计算机的主机与ip美元正确注册到DNS服务器,可以到此机器上运行ipconfig /registerdns来手动注册。
完成后,到DNS服务器检查是否已有正确记录,例如,ip地址则坚持区域是否有对应的a记录和ip。
如果发现域控制器没有将其扮演的角色注册到dns服务器,也就是没有_tcp文件夹与记录,到服务器中重启netlogon服务创建更多的域控制器如果一个域内有多个域控制器,可以有如下好处.提高用户登录的效率:如果同时有多台域控制器对客户提供服务,可以分担审核用户登录身份(账户与密码)的负担,让用户登录效率更佳。
排错功能:如果有域控制器发生故障,此时依然能有其他正常的域控制器继续提供域服务器。
我们将升级为域控制器首先改名,改ip后面都和前面一样安装功能这里不同,将域控添加到现有域,输入域名,并且输入现有权限添加域控的账户contoso\administrator的密码。
只有Enterprise Admins和Domain Admins内的用户有权限创建其他域控制器。
选择从其他域控复制安装完成后机器会重启,然后在检查DNS记录。
修改dns指向修改dc1和dc2的dns互相将各自的首选dns指向对方域控将windows计算机加入或脱离域Windows加入域后,就可以访问ad数据库和其他域资源。
可以被加域的计算机:Windows server 2012(R2)Windows server 2008(R2)Windows server 2003(R2)Windows 8Windows 7Windows vistaWindows xp将windows计算机加入域我们要将机器加入域。
先将机器改名改ip。
输入域名和域账户密码如果报错,请检查dns是否指向域控。
完成后我们可以使用域账户登录此台服务器计算机名后已自动加上域名脱离域只要输入工作组并点击确定成员计算机内的ad管理工具我们有时管理员管理不过来是可以将开账户的权限委派改其他各个部门的行政,委派给他们后,他们当然是不能登陆域控的,这时就要在他们的计算机上安装ad管理工具Windows server 2012添加功能中,添加远程服务器管理工具Windows8 和Windows7都去官网下载Remote Server Administration Tools for Windows8/7创建组织单位与域用户账户可以将用户账户创建到任何一个容器或组织单位(OU)内。
先创建业务部的OU.然后再创建用户。
创建组织单位点击 Active Directory管理中心输入名称创建用户业务部-新建用户用户UPN登录:用户可以利用这个域电子邮箱格式相同的名称()来登录域,此名称被称为User Principal Name(UPN)。
此名在林中是唯一的。
用户名SamAccountName登录:用户也可以利用此名称(contoso\wang)来登录。
其中wang是NetBios名。
同一个域中此名称必须是唯一的。
Windows NT Windows 98等旧版系统不支持UPN,因此在这些计算机上登录时,只能使用此登录名。
使用新账户登录域我们使用2种方法来登录域利用新用户账户登录域控除了域Administrators等少数组内的成员外,其他一般域账户默认无法登陆到域控上,除非另外开放。
赋予用户在域控登录权限一般用户必须在域控上拥有允许本地登录的权限,才能在域控上登录。
此权限可以用过组策略来开放。
系统管理工具-组策略管理计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录,然后将用户或组加入到列表内组策略配置完成需要应用到域控才有效,应用方法有三种:将域控制器重启等域控制器自动应用此策略,可能需要等待5分钟或更久手动应用:到域控制器上运行gpupdate或gpupdate\force多台域控制器的情况如果域内有多台域控制器,则设置的安全设置值,先被存储到PDC操作主机角色的域控制器内,默认由第一台域控制器扮演。
Active Directory用户和计算机-选择右键操作主机需要等待设置值从PDC操作主机复制到其他域控制器后,他们才会应用这些设置值。
什么时候应用分两种情况:自动复制:PDC操作主机默认15秒后悔自动将其复制出去,因此其他域控制器可能需要等15秒或更久才能接受到此设置值。
手动复制:到任何一台域控制器上选择Active Directory站点和服务-Sites-Default-First-Name Servers单击要接收设置的域控制器-NTDS Settings-立即复制。
如下图DC1是操作主机,DC2是需要接收的域控如果是组策略设置,则他先辈存储在PDC操作主机内,但如果Active Directory用户账户或其他对象有改动,则这些改动会先被存储在所连接的域控制器,同时系统默认会在15秒后自动将此改动数据复制到其他域控制器。
如果要查询目前连接的域控制器,可以如下图在Active Directory管理中心控制台中将鼠标指针对着图中的contoso,他就会显示所连接的域控制器。
如果要更改连接其他控制器,单击更改域控制器。
域用户个人数据的设置每个域用户账户内部都有一些相关的属性数据,例如地址电话等,域用户可以通过这些属性来查找Active Directory内的用户,因此这些数据越完整越好。
限制登录时间与登录计算机我们可以限制用户的登录时间已经能用使用某些计算机来登录域。
如下图只能允许用户在正常上班时间内登录电脑默认用户可以登录所有非域控制器的成员计算机,不过可以限制他们只能利用某些特定计算机来登录域。
如下图限制只能登录server计算机。
Active Directory轻型目录服务为了让支持目录访问的应用程序,可以在没有域的环境内享有目录服务的好处,Windows Server 2012内提供了Active Directory轻型目录服务 AD LDS,它可以让你在计算机内创建多个目录服务器的环境,每个环节被称为一个AD LDS实例,每个实例拥有独立的目录设置,架构,数据库。
Active Directory回收站在旧版的操作系统中,如果系统管理员误将ad对象删除,就需要进入目录服务还原模式。
还原麻烦,并且在还原好重启时,域无法提供服务。
虽然windows server 2008 R2新增了ad回收站,让系统管理员不需要进入目录服务还原模式,就可以救回被删除的对象,但是却不是很好用,例如需要通过复杂的命令与步骤。
Windows server 2012 的ad回收站又有了进一步的改良,他提供容易使用的图像界面管理工具。
要启用ad回收站,林与域功能级别必须是Windows Server 2008 R2(含)以上的级别。
注意,一旦启用回收站,就无法在禁用,因此域与林功能基本也无法在被降级。
启用Active Directory回收站打开Active Directory管理中心,单击左侧的域名contoso,单击右侧的启用回收站报错了因为域内有多个域控制器,需要等设置值被复制到所有的域控制器后,ad回收站功能才会完全正常。
(我做实验,节约性能还有一台辅助域控没有打开)开启辅助域控并复制设置值后再次开启回收站。
删除组织单位试着将业务部删除,但是先将防止删除的选项删除取消勾选防止意外删除。
接着删除业务部还原组织单位接下来,要通过回收站来救回组织单位,双击deleted objects。
