2008R2Win7管理一创建域和加入域

WIN7如何加⼊域？WIN7加域的图⽂教程WIN7加域不同于XP，很多⼈都很奇怪为什么XP能够顺利地加⼊域，⽽WIN7却不⾏，总是出现这样和那样的错误，那是因为WIN7加域时，电脑IP必须只设置为内⽹，即只连通内⽹，⽽不能连外⽹也⼀起连通，那样的话你加域就不会成功。

⽅法/步骤⼀：在服务器上添加客户机名称1、在客户机加⼊域之前，需要先在服务器上添加客户机名称。

点开始——程序——管理⼯具——Active Directory⽤户和计算机2、选择建⽴的域，⿏标右键选择新建——⽤户。

3、⽤户登录名：输⼊客户机登录帐户其他根据实际情况填写，点下⼀步。

4、输⼊客户机登录密码，点下⼀步，直到完成操作。

⽅法/步骤2：客户机加域1、服务器添加帐户完成后，然后就在WIN7电脑上进⾏下⼀步的设置。

点右下⾓的本地连接或者⽆线连接，⿏标右键选择打开⽹络和共享中⼼。

2、点击本地连接或者⽆线连接3、点属性4、选择Internet协议版本4（TCP/IPV4），点属性。

5、设置电脑静态IP：IP地址：192.168.1.*（192.168.1.3~192.168.1.254都可）⼦⽹掩码：255.255.255.0默认⽹关：192.168.1.1DNS：192.168.1.2这⾥路由器IP：192.168.1.1服务器静态IP：192.168.1.26、选中桌⾯上的计算机，⿏标右键选择属性。

7、点更改设置8、点更改9、点域，输⼊域名，例如：domain，点其他。

10、在【此计算机的主DNS后缀】⾥输⼊（以上⾯为例），点确定，返回后，继续点确定，此时会弹出加域成功的提⽰。

11、重启机器，登录时点切换⽤户，输⼊服务器上添加的帐户名称和密码，按回车键登录系统。

Win7加入域操作
1.鼠标右键计算机属性然后再点击高级系统设置
2.鼠标左键点击计算机名xxx（xxx@，管理局外网
邮箱），然后再点击左键更改
3.
4.，输入域名:(小写) 再点击确定。

提示输入用户名：xxx(xxx@邮箱)密码为：密码（初始密码是Azxcvb1234）。

5.
6.
7.
8.
9.
10.默认已经有了登陆到swcaac(swcaac是的NETBIOS
名称)的选项。

11.用户名：XXX(邮箱用户名xxx@)，密码：Azxcvb1234
12.
13.登陆域用户桌面系统之后，需要更改密码（即之前的
Azxcvb1234，同时按下键盘Ctrl+Alt+Delete，然后选择更改密码），这里的密码和外网邮箱密码同步（如果这里改成“123”，那么你的外网邮箱即xxx@该邮箱的密码也是“123”建议大家改成由数字，大小写英文字母组成8位以上的密码。

）。

Windows域的创建与加⼊教程⼀、说明以前看书的时候时常看到“域”这个词，后来听⼀些渗透的演讲通常会说进⼊内⽹后⾸先要找域控。

在认知中“域控”应该是域管理服务器⼀类的东西，但毕竟没有实现过所以还是不太懂长什么样。

前段时间朋友电脑打不开，说是被设置了要在⼀段时间内向域控保持⼼跳，不然要重新输⽤户名密码登录；然后⼜讨论了⼀下域控这东西，感觉还是不太清楚，趁着有时间来研究⼀下。

以下我使⽤vmware安装了两台Windows，⼀台是Windows Server 2008 R2，做域控，IP为192.168.220.149；⼀台是Windows，⽤于演⽰加⼊域，IP为192.168.220.131。

⼆、Windows Server 2008 R2创建域控家庭版和旗舰版都是不能创建域控的，需要服务器版才有该功能。

这⾥以Windows Server 2008 R2作为演⽰，2012等版本操作可能有点区别，但本质应该⼀样的，这⾥只是想了解本质上是怎么⼀个过程所以就不在意2008是否版本过⽼了。

输⼊要创建的域名称，我这⾥以为例如果是DHCP 那可能每次IP 都会变所以最好配置为固定IP ，但vmware 虽然是DHCP 但⼀般分配的IP 都不会变，所以我这就不管了。

域⽂件存放⽬录，我这⾥使⽤默认设置域Admonistrator的密码，这只是在还原时使⽤。

确认等待安装完成确保⽹络与域控相通选中当前使⽤的⽹卡，右键，属性前⾯说过vmware通过DHCP分配的IP其实是固定的，所以IP就不⽤管了，主要是把DNS改成域控IP。

（很明显，不使⽤域控做DNS，就不能正确解析我们创建的“”）计算机名随便设，主要是填对域名这个⽤户密码是域控主机的⽤户名密码，⽽不是前⾯设的⽤于还原的⽤户名密码加⼊域前电脑是不需要⽤户名密码的开机直接⾃动进⼊桌⾯，加⼊域后开机如下注意，使⽤未加⼊域前的本地⽤户名密码还是可以登录的。

⽐如我这⾥未加⼊域前⽤户名为Administrator密码为空，所以我这⾥不输密码直接登录即可。

3种用组策略将域帐号加入本地管理员组的方法台湾女同事问了我2次当前系统域帐号是怎么在第一次登录时，自动加入域客户端本地管理员组的？我猜不外乎就是脚本、计算机策略或虚拟机初始化的自动应答脚本，结果系统的前任同事找到了答案--GPO的用户策略（确切讲是用户首选项），SIGN!今天琢磨了一下，采用下列3种方法之一即可实现：1、对于WIN2003域控制器(DC)环境，使用计算机策略的“受限制的组”用户和组”.用在将登录帐号自动加入本地管理员组的场合。

地用户和组”，用在将重要的域组加入客户端本地管理员组的场合。

下面让我细细道来。

第1种方法的步骤很简单：.在域中创建一个test01\g1组帐号，将要加入本地管理员组的域帐号test01\user_1加入g1组.在组策略中在“受限制的组”上右键选添加组，然后把一些元素添入选项，参照本文第1幅图.刷新域客户机的组策略，就可以看到test01\g1组被自动加入到本地管理员组了，如下图第2种方法：为了避免干扰，我创建了另一个2008R2的域来验证第2种方法，该域WINXP03客户机的初始本地管理员成员如下：为了使GPO“首选项”能作用到客户端，需要在域客户端安装客户端扩展集组件(CSE)，URL 为：/zh-cn/library/cc731892(WS.10).aspx根据客户端OS类型选相应组件下载，并安装到WINXP03客户机中，如下图（XMLLite XML 无需安装）：在2008R2上开始设置GPO的用户配置项，按下图添加对客户端本地Administrators的操作策略操作中的“更新”代表更新域客户端Administrators组中的成员，“添加当前用户”是指添加登录时的域帐号到客户端本地Administrators组，只要域帐号一登录，就把它加入本地管理员组现在用域帐号test02\user_1登录测试一下用户首选项策略生效，该帐号被成功加入管理员组接下来看看“删除所有成员用户”的结果换一个test02\user_2帐号，显然，已将前面加入的user_1帐号删除，还有其他除administrator 以外的用户帐号被删除（本地的USER1）然后我们继续选删除所有成员组，并计划将本地administrator也从管理员组中删除其结果如下：1.所有用户帐号被从管理员组中删除，除当前登录用户除外。

目录1.客户端退出老域 (2)1.1WIN7客户端退出老域 (2)2.将客户机加入新域 (7)2.1方法一借助工具自动加入域 (7)工具说明 (7)客户端工具加入域步骤 (7)2.2方法二手动加入域 (14)1.客户端退出老域1.1WIN7客户端退出老域操作步骤相关截图1.鼠标右键点击我的电脑 属性查看域的状态2.查看到老域3.进入更改设置里退掉老域，还原到工作组状态4.进入到系统属性界面点击更改5.退出域改成工作组并在文本框中输入WORKGROUD等任意字母和数字均可6.点击确定7.确认需要知道本地管理员帐户和密码，点击确定8.输入有权限加域退域的账户名和密码，点击确定9.进入工作组状态，点击确定10.提示需要重启11.配置好后，点击关闭12.重新启动2.将客户机加入新域2.1方法一借助工具自动加入域工具说明工具：Profwiz Profwiz.exe(左侧工具可以直接双击使用)工具说明：Profwiz是微软合作伙伴开发的一款著名的加域工具，这款工具可以一次性完成加域、迁移配置文件、更改权限等操作。

是目前最权威的加域工具之一。

客户端工具加入域步骤3.操作步骤相关截图1.双击profwiz.exe工具2.点击"下一步"3.选择"Local Computer(本地计算机)"，点击下一步。

4.输入域名，当前为piccad.intra，并勾选join Domain，加入到域。

5.输入域用户名称，勾选set as defaultlogon(设为默认登录用户名)。

点击"下一步"。

6.选择当前要转移的用户配置文件名称，请先确定迁移哪一个用户配置文件。

7.判断当前用户的配置文件名称。

点击开始中的运行，并输入"."点，回车。

8.查看用户配置文件名称，这里为sino9.选择相对应的用户配置文件，点击下一步。

10.输入有加域权限的用户名adop-he，密码，输入完成后点击OK11.软件会自动迁移用户配置文件，稍等后出现migation complete！，点击下一步。

实验3 建立域控制器1 实验目的1、通过实验掌握Windows Serv er 2008R2中活动目录的安装步骤。

2、通过实验掌握额外域控制器的安装步骤。

3、掌握将客户机加入或脱离域的方法。

4、掌握创建具有父子信任关系的域树的方法。

5、掌握创建具有根信任关系的域林的方法。

2 实验环境1、VMware中两台已经安装Windows Serv er 2008R2的计算机（也可通过clone 实现）（计算机名分别为ser v ier01和serv er02）。

2、1台Windows 7计算机。

3、所有计算机之间能够相互连通。

3 实验原理1、域控制器是用来保存活动目录信息的服务器。

它处于域中顶尖的位置，在构建域网络的过程中需要建立的第一台服务器就是它。

域控制器管理目录信息的变化，并把这些变化复制到同一个域中的其它域控制器上。

域控制器也负责用户的登录过程，以及其它与域有关的操作，如身份认证、目录信息查找等。

2、网络中可以有多台域控制器，以实现容错的能力。

所有域控制器都是平等的。

3、Windows系统的计算机加入域后，便可以访问AD数据库与其它域资源，例如用户可以在这些计算机上使用域用户账户来登录域，并使用此域用户账户来访问域内其它计算机内的资源。

当然，加入域的计算机也可以脱离域。

4、域树由一个或多个域构成，安装时应先创建父域，再创建子域，在域名上应具有连续性。

林由一个或多个域树构成，在建立第2个域树的根域时可以建立与已有域树的根信任关系。

域林中各个域的域名没有关联关系。

5、信任关系是用于确保一个域的用户可以访问和使用另一个域中资源的安全机制。

信任是域之间建立的关系，可以使一个域中的用户由另一个域中的域控制器进行验证。

常用的信任类型包括：（1）父子信任在域林中，父子域之间存在信任关系，称之为父子信任关系。

默认情况下，当现有域树中添加新的子域时，将建立一个新的父子信任。

来自从属域的身份验证请求将通过其父项向上传递到信任域中。

1.创建域用户
（1）打开“开始”-“管理工具”-“Active Directory用户和计算机”
（2）先创建个公司的 ou,然后在 ou下建部门，部门下再建用户，本实例仅仅测试就不折腾那么多了，只创建了个 office的 ou,然后在 ou下创建win7的登录账号。

（3）单击创建新用户如下图：
在姓名处输入用户名称，也可在姓和名处单独输入姓和名，在用户登录名处输入用户名和所属域名称。

（4）点击下一步输入密码
（5）信息预览
2.将win7加入网域
（1）在系统属性中选择更改设置选项来更改计算机名
（2）单击更改按钮
（3）在隶属于选项，单击域，并输入域名的dns后缀，然后单击确定
（4）输入有权限将计算机加入网域的网域账户，然后单击确认。

（5）加入成功，出现提示，然后重启
（6）重启后出现的欢迎画面，默认是以本地管理员这个画面用户登录，我们需要单击切换用户来使用域用户登录
（7）单击其他用户输入创建的域账户和密码
（8）加入成功后在服务器的计算机OU下已经能看到计算机，还识别出了计算机版本。

项目一基于Windows Server 2008 R2域的安全管理Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。

网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。

由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。

其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述图1-1 基于域的网络拓扑图图1-1是网络拓扑图。

二、实训环境1、软件环境Windows Server 2008 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域，计算机系是域中的一个OU。

三、项目学时本项目预计学时24学时，包含评讲。

任务1 应用组策略管理用户工作环境（6学时）组策略是一个能够让系统管理员充分管理用户工作环境的技术，通过它来确保用户拥有与权限相符的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

[安全管理需求]用户使用统一的方式上网，在登录、注销时使用统一脚本，普通用户在离开时可以关闭本地服务器。

为便于备份和管理，要实现文件夹的重定向，将文件目录统一放至文件服务器上。

用户登录后环境要求统一，如桌面、磁盘配额等。

为了安全起见，不允许用户私自使用移动存储介质，如USB、光盘设备。

[任务描述]1、设置用户使用代理服务器上网设置域内的计算机系内的用户必须使用企业内部的代理服务器（Proxy Server）上网，代理服务器的网址为，端口号为8080，同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用，以免用户私自通过此处更改这些设置值。

Win7系统新建域用户的操作方法
Win7系统新建域用户的操作方法
在计算机中，账户有两种类型：一种是本地计算机上的用户，另一种是域用户，这里主要介绍如何新建域用户，操作步骤如下: 步骤1：在win7系统执行【开始】丨【程序】丨【管理工具】丨【Active Directory用户和计算机】命令，打开【Active Directory】窗口和计算机界面，如图1所示。

图1 【Active Directory用户和计算机】窗口
步骤2：选择Users结点，在窗口右侧的空白处右击，系统下载执行【新建】丨【用户】命令,如图2所示。

图2 新建用户
步骤3：windows7系统下载弹出【新建对象一用户】对话框，在
其中输入相应的信息，单击【下一步】按钮，如图3所示。

按提示操作直至完成。

图3 【新建对象一用户】对话框。

windows Server2008 R2 如何脱机加入域可以使用脱机加入域将计算机加入某个域，而不需要通过网络连接域控制器。

安装操作系统之后，可以在计算机首次启动时将其加入域。

不需要另外重新启动，即可实现加入域。

在诸如数据中心之类的场所中完成大规模计算机部署时，此功能有助于节省所需的时间和精力。

例如，组织可能需要在数据中心部署大量虚拟机。

脱机加入域使虚拟机能够在安装操作系统之后的初始启动过程中加入域。

不需要另外重新启动，即可实现加入域。

这样可以显著减少大规模部署虚拟机所需的总时间。

加入域会在运行Windows 操作系统的计算机与Active Directory 域之间建立信任关系。

此操作需要更改AD DS 和加入域的计算机的状态。

在过去，若要使用以前版本的Windows 操作系统完成加入域，加入域的计算机必须正在运行，并且拥有网络连接以连接域控制器。

脱机加入域相对于以前的要求提供了以下优势：a.计算机不需要进行任何网络通信，即可完成Active Directory 状态更改。

b.与域控制器之间不需要任何网络通信，即可完成计算机状态更改。

c.每个更改集可在不同的时间完成。

离线加域提供的优点：降低数据中心的总拥有成本改进了使用RODC 执行加入域的体验快速企业部署(Windows 7 和Windows Server 2008 R2 的Unattend.xml 文件包含一个新节以支持脱机加入域)步骤1：DC端操作,生成计算机帐号，客户端文件djoin.exe /provision /domain /machine /savefile步骤2：把服务器生成的文件导入到客户端，客户端操作请求本地计算机执行脱机加入域:djoin.exe /requestodj /loadfile /windowspath /localos连网，验证。

使用DC创建用户a登录客户端补充一图：djoin命令用法：。