AD-多域配置

. Windows Terminal Service 终端服务器安装配置文档一：将服务器提升为域服务器如果你的Win2003高级服务器版，没有升级到域控制器，就是nt下常说的dc。

在开始菜单的管理工具中选择“配置服务器”。

next选择“active directory”。

下一步选择“启动active directory向导”。

nextnext默认即可。

next nextnext这里指定一个dns名机子会去搜寻dns服务器，next我的输入"kelaode"，你们自定。

默认得，nextnext 确定。

这里我不配置dns，根据自己的情况配置。

next 默认即可。

nextnext next这个需要一些时间。

完成。

重起。

二：用户登录1：设置策略组添加受策略控制组时注意画圈位置，必须使用“应用组策略”，否则策略不能生效右面，可以继续“添加”受此策略控制的组，该组现可管理“政治处”和“指挥处”两个组2：编辑策略组交互登录设置（1）编辑本地策略（如在“管理策略”），添加“通过终端服务容许登录”和“允许本地登录“（2）打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“（下图）（3）打开“默认域安全策略”，在下图中添加远程登录的组此时，即可已完成交互登录的设定！受策略控制组的权限设定1：Netmeeting 禁止文件发送设定2：在“管理模板—资源管理器”中做磁盘访问权限设定，网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定禁用注册表设定，禁用命令提示符，禁止自动播放等在“系统”中如图设定桌面禁用“我的文档、我的电脑、回收站”等属性设定，在“用户配置---管理模板---桌面”中如下配置控制面板设定1、完全禁用控制面板设定，将“禁止访问控制面板“起用”即可！2、控制面板部分禁用设定，不起用“禁止访问控制面板”，然后在起用“直显示指定控制面板程序”，并添加相应的程序名，只显示“键盘、鼠标和字体”等设定如下如，添加intl.cpl 为只显示“字体”，添加main.cpl为显示键盘和鼠标！设置后效果如下图：控制面板程序对照表(见最后附加表)禁止添加删除程序设定，如下图：打印机添加设定在“控制面板——打印机”中，可进行禁止用户添加、删除打印机设定，如下图Ctrl+Alt+Del设定使用Ctrl+Alt+Del时，只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定，将“注销“添加到开始菜单的设定，开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定，如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令！网络设定禁止普通用户访问Tcp/IP高级设置，禁用新建连接，禁止访问LAN连接属性等的设置文件夹重定向1.网络设定：注意DNS设定！2.重定向文件夹权限设定此处注意，最好加入Domain User的共享权限（默认为Everyone）为完全控制，否则会发生不能重定向的现象。

一为什么需要域？对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Directory系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Pert h。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

然后在共享文件夹中进行权限分配，如下图所示，我们只把共享文件夹的读权限授予了用户张建国。

选择Active Directory 域服务部署配置安装Active Directory 域服务(AD DS) 时，可以选择以下可能的部署配置之一：向域中添加新的域控制器向林中添加新的子域，或作为一个选项添加新的域树注意只有在选中位于Active Directory 域服务安装向导的“欢迎使用Active Directory 域服务安装向导”页上的“使用高级模式安装”复选框时，用于安装新域树的选项才会出现。

创建新的林下列各部分将详细介绍上述的每个部署配置。

向域中添加新的域控制器如果域中已有一个域控制器，则可以向该域添加其他域控制器，以提高网络服务的可用性和可靠性。

通过添加其他域控制器，有助于提供容错，平衡现有域控制器的负载，以及向站点提供其他基础结构支持。

当域中有多个域控制器时，如果某个域控制器出现故障或必须断开连接，该域可继续正常工作。

此外，多个域控制器使客户端在登录网络时可以更方便地连接到域控制器，从而还可以提高性能。

准备现有域向现有的Active Directory 域添加运行Windows Server 2008 R2 的域控制器之前，必须通过运行Adprep.exe 来准备林和域。

请务必运行Windows Server 2008 R2 安装介质随附的Adprep 版本。

此版本的Adprep 可以添加运行Windows Server 2008 R2 的域控制器所需的架构对象和属性，并且可以修改对新对象和现有对象的权限。

根据需要为环境运行以下adprep 参数：添加运行Windows Server 2008 R2 的域控制器之前，请在承载架构操作主机角色（架构主机）的林中的域控制器上运行一次adprep /forestprep。

若要运行此命令，您必须是包括架构主机的域的Enterprise Admins 组、Schema Admins 组和Domain Admins 组的成员。

此外，请在每个计划将运行Windows Server 2008 R2 的域控制器添加到其中的域中，在承载基础结构操作主机角色（基础结构主机）的域控制器上运行一次adprep /domainprep /gpprep。

一、实验环境AD域控制器和DNS服务器ip：13.200.1.100Windows7主机一：13.200.1.104Windows7主机二：13.200.1.105二．AD域控制器和DNS的安装这一步不是必须的，在安装Active Directory 域服务时可以同时装上DNS服务器。

Active Directory 域服务安装向导-->其它域控制服务器，勾上DNS服务器也有同样效果，鉴于服务器配置容易出现一些未知小错误，还是提前安装上比较省心。

•开始菜单-->管理工具-->服务器管理器•选择左侧树形菜单“角色”节点，右键“添加角色”点击“下一步按钮”勾选“DNS 服务器”点击“下一步”按钮点击“下一步”按钮点击“安装”按钮点击“关闭”按钮，重启服务器！二、AD域控制的配置开始菜单-->运行-->输入命令“dcpromo”à点击“确定” 按钮进入安装界面弹出Active Directory 域服务安装向导，并点击“下一步”按钮点击“下一步”按钮选择“在新林中新建域”并点击“下一步”按钮输入域名并点击“下一步”按钮我们这里的域为：林功能级别选择“Windows Server 2008 R2” 并点击“下一步”按钮点击“下一步”按钮，如果最初没有安装DNS服务器，此处可以勾选并安装点击“下一步”按钮弹出DNS提示框，点击“是“按钮，继续安装点击“下一步”按钮输入Administrator密码和确认密码，点击“下一步”按钮点击“下一步”按钮点击“完成”按钮，重启服务器四、权限分配设置共享文件夹用户权限Test1为只读Test2为可读可写六、加入域Test1用户加入域Test2用户加入域七、验证文件夹权限Test1上面的文件操作可以下载文件不能上传文件Test2可以上传也可以下载。

Windows Terminal Service 终端服务器安装配置文档一：将服务器提升为域服务器如果你的Win2003高级服务器版，没有升级到域控制器，就是nt 下常说的dc。

在开始菜单的管理工具中选择“配置服务器”。

next选择“active directory”。

下一步选择“启动active directory向导”。

nextnext默认即可。

nextnextnext这里指定一个dns名机子会去搜寻dns服务器，next我的输入"kelaode"，你们自定。

默认得，nextnext确定。

这里我不配置dns，根据自己的情况配置。

next默认即可。

nextnextnext这个需要一些时间。

完成。

重起。

二：用户登录1：设置策略组添加受策略控制组时注意画圈位置，必须使用“应用组策略”，否则策略不能生效右面，可以继续“添加”受此策略控制的组，该组现可管理“政治处”和“指挥处”两个组2：编辑策略组交互登录设置（1）编辑本地策略（如在“管理策略”），添加“通过终端服务容许登录”和“允许本地登录“（2）打开“开始---管理工具----域安全策略”中添加“通过终端服务容许登录”和“允许本地登录“（下图）（3）打开“默认域安全策略”，在下图中添加远程登录的组此时，即可已完成交互登录的设定！受策略控制组的权限设定1：Netmeeting 禁止文件发送设定2：在“管理模板—资源管理器”中做磁盘访问权限设定，网上邻居中不显示“整个网络“等的设定磁盘访问设定隐藏磁盘设定“系统”中如图设定在“用户配置---管理模板---桌面”中如下配置1、完全禁用控制面板设定，将“禁止访问控制面板“起用”即可！2、控制面板部分禁用设定，不起用“禁止访问控制面板”，然后在起用“直显示指定控制面板程序”，并添加相应的程序名，只显示“键盘、鼠标和字体”等设定如下设置后效果如下图：控制面板程序对照表(见最后附加表)禁止添加删除程序设定，如下图：打印机添加设定在“控制面板——打印机”中，可进行禁止用户添加、删除打印机设定，如下图使用Ctrl+Alt+Del时，只显示“注销“的设定任务栏和开始菜单设定禁用网络连接、禁用帮助、禁用运行的设定，将“注销“添加到开始菜单的设定，开始菜单中不显示用户文件夹设定图一图二在此我们可以对开始菜单进行必要的设定，如为了安全我们可以在开始菜单禁止使用“运行菜单”、禁止访问关机命令等可能会危及系统的工具和命令！网络设定禁止普通用户访问Tcp/IP高级设置，禁用新建连接，禁止访问LAN连接属性等的设置1. 网络设定：注意DNS设定！2. 重定向文件夹权限设定此处注意，最好加入Domain User的共享权限（默认为Everyone）为完全控制，否则会发生不能重定向的现象。

AD域搭建1.添加用户和角色2.默认下一步3.安装类型选择“基于角色或基于功能的安装”，下一步4.选择服务器5.选择域服务6.在选择功能界面，不需要选择任何功能，直接下一步7.确认已经选择所有需要安装的组件后，点击安装8.点击关闭9.提升为域控制器10.添加新林（此林根域名不要与对外服务器的DNS名称相同）11.选择林功能级别，域功能级别默认会直接在此服务器上安装DNS服务器第一台域控制器必须是全局编录服务器角色第一台域控制器不可以是只读域控制器（RODC）设置目录还原密码（目录还原模式是一个安全模式，可以开机进入安全模式时修复AD数据库，但是必须使用此密码）12.出现此警告无需理会，下一步13.系统会自动创建一个netbios名称14.数据库文件夹：用来存储AD数据库日志文件文件夹：用来存储AD的更改记录，此记录可以用来修复AD数据库SYSVOL文件夹：用来存储域共享文件（例如组策略）（如果计算机内有多个硬盘，建议将数据库与日志文件夹分别放置在不同的硬盘内，分两个硬盘可以提供运行效率，而且分开存储可以避免两份数据同时出现问题，以提高修复AD的能力，或只与操作系统分区分开就可以）15.顺利通过检查，直接安装若提示无法新建域，因本地Administrator帐户密码不符合要求执行cmd—net user administrator /password req:yes16.完成安装后重启17.检查DNS服务器内的记录是否完备域控会将自己扮演的角色注册到DNS服务器内，以便让其他计算机能够通过DNS 服务器来找到域控。

因此先检查DNS服务器内是否已经存在这些记录，需要用域管理员帐户来登录检查主机记录选择管理工具—DNS18.默认会有一个的区域，主机记录表示域控已经正确的将其主机名与ip地址注册到DNS服务器内。

AD域控配置步骤：
一、系统环境配置
a)关闭UAC，并重新启动。

b)设置IP地址。

c)更改计算机名称，并重新启动。

二、准备安装AD服务
a)通过“服务管理器”的角色添加来完成初始化的准备工作。

b)进入添加角色向导，选择“下一步“。

c)勾选Active Directory域服务，再弹出的窗口点击“添加必须的功能”。

d)然后根据提示进行安装。

e)点击，运行Active Directory域服务安装向导(dcpromo.exe)，也可在cmd
里面运行dcpromo。

f)选择高级模式安装。

g)选择在新林中新建域。

h)命名林根域。

i)设置林功能级别。

j)选择安装DNS服务器。

k)完成安装向导，重启计算机。

三、参考问题：
a)加入域之后，谁都ping不通
原因，SID重复。

1)因为我装好系统后，没有修改机器名，是先加入的域，所以会出现这个错
误。

2)域和其它的虚机，不可以使用同一个系统模版进行安装，不然SID会重复。

解决：创建系统镜像的时候，需要比较系统镜像SID重复问题，
c:\windows\system32\sysprep\sysprep.exe 运行安装，最后会关机，然后把该虚机转换成模版，就可以了。

（参考内部文档：XenCenter使用说明.docx）
如果局域网内同时有两个域控，则把本机ip改为你需要的域ip，来进行远程桌面拷贝东西。

欢迎您的下载，
资料仅供参考！
致力为企业和个人提供合同协议，策划案计划书，学习资料等等
打造全网一站式需求。

软件设置打开组策略软件安装打开组策略软件安装1.打开“组策略管理控制台”。

右键单击要编辑的组策略对象，然后单击“编辑”。

2.若要将软件应用程序指派给计算机，请在控制台树中展开“计算机配置\策略”。

若要向用户指派或发布软件应用程序，请在控制台树中展开“用户配置\策略”。

3.展开“软件设置”，然后单击“软件安装”。

其他注意事项要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

设置组策略软件安装的默认值若要将软件安装程序包添加到用户设置，可以发布或指派程序包。

选定站点、域和组织单位的用户使用控制面板中的“添加/删除程序”或使用文件激活可以安装已发布的程序包。

选定站点、域或组织单位中的用户在下次登录时（指派给用户）或计算机重新启动时（指派给计算机）将收到已指派的程序包。

设置组策略软件安装的默认值1.打开“组策略软件安装”。

（在控制台树中，右键单击“软件安装”。

）2.单击“属性”，然后在“常规”选项卡上指定下列选项：o在“默认程序包位置”中，指定默认的软件分发点。

o在“新增数据包”中，指定将新数据包添加到用户设置中的方法。

默认情况下，数据包可以被发布或指派。

（对于计算机，只能指派。

）如果要对每个数据包都选择这些选项，请单击“显示部署软件”对话框。

若要分别对各个数据包进行更多的控制，请单击“高级”。

o根据希望安装过程对用户所显示的外观，单击“安装用户界面选项”中的“基本”或“最大”。

其他注意事项∙要完成此过程，您必须具有编辑 GPO 的编辑设置权限。

默认情况下，Domain Administrators 安全组、Enterprise Administrators 安全组或 GroupPolicy Creator Owners 安全组成员具有编辑 GPO 的编辑设置权限。

一为什么需要域？此文档转自网上，希望能对需要的朋友有所帮助！对很多刚开始钻研微软技术的朋友来说，域是一个让他们感到很头疼的对象。

域的重要性毋庸置疑，微软的重量级服务产品基本上都需要域的支持，很多公司招聘工程师的要求中也都明确要求应聘者熟悉或精通Active Directory。

但域对初学者来说显得复杂了一些，众多的技术术语，例如Active Directory，站点，组策略，复制拓扑，操作主机角色，全局编录….很多初学者容易陷入这些技术细节而缺少了对全局的把握。

从今天开始，我们将推出Active Directory 系列博文，希望对广大学习AD的朋友有所帮助。

今天我们谈论的第一个问题就是为什么需要域这个管理模型？众所周知，微软管理计算机可以使用域和工作组两个模型，默认情况下计算机安装完操作系统后是隶属于工作组的。

我们从很多书里可以看到对工作组特点的描述，例如工作组属于分散管理，适合小型网络等等。

我们这时要考虑一个问题，为什么工作组就不适合中大型网络呢，难道每台计算机分散管理不好吗？下面我们通过一个例子来讨论这个问题。

假设现在工作组内有两台计算机，一台是服务器Florence，一台是客户机Perth。

服务器的职能大家都知道，无非是提供资源和分配资源。

服务器提供的资源有多种形式，可以是共享文件夹，可以是共享打印机，可以是电子邮箱，也可以是数据库等等。

现在服务器Florence提供一个简单的共享文件夹作为服务资源，我们的任务是要把这个共享文件夹的访问权限授予公司内的员工张建国，注意，这个文件夹只有张建国一个人可以访问！那我们就要考虑一下如何才能实现这个任务，一般情况下管理员的思路都是在服务器上为张建国这个用户创建一个用户账号，如果访问者能回答出张建国账号的用户名和密码，我们就认可这个访问者就是张建国。

基于这个朴素的管理思路，我们来在服务器上进行具体的实施操作。

首先，如下图所示，我们在服务器上为张建国创建了用户账号。

ad域部署方案AD 域部署方案自从计算机技术的发展，网络的使用已经成为了现代社会中必需的一部分。

企业内部的网络环境需要具备高效的管理和安全性能，AD （Active Directory）域的部署方案便成为了重要的课题之一。

本文将探讨 AD 域部署的相关概念、步骤以及最佳实践。

一、AD 域概述AD 域是微软在 Windows Server 操作系统中提供的一种集中式身份验证、授权和资源管理的目录服务。

它允许管理员轻松维护和管理组织内的计算机、用户和安全策略等信息，有效提高了网络管理的效率。

AD 域的核心构建包括域控制器（Domain Controller）、域、组织单位（OU）和对象等。

域控制器是 AD 域的核心组件，它负责处理用户认证、授权和资源访问等功能。

域是 AD 域中最高级别的逻辑分区，负责管理与安全策略相关的信息。

OU 是 AD 域中的容器，用于组织和管理用户、计算机、组和其他对象。

二、AD 域部署步骤在进行 AD 域部署之前，我们需要先规划和准备好网络环境，包括IP 地址规划、网络拓扑结构和硬件资源等。

然后可以按照以下步骤进行 AD 域的部署：1. 安装 Windows Server 操作系统：选择适合的版本，按照Microsoft 提供的安装指南进行操作系统的安装。

2. 设置静态 IP 地址：为域控制器分配一个稳定的静态 IP 地址，确保它与网络中的其他设备互通。

3. 安装 Active Directory 相关的角色和功能：在服务器管理器中选择“添加角色和功能”，按照向导的提示选择“Active Directory 域服务”并完成安装过程。

4. 创建新的域或加入现有域：根据实际需求选择是创建新的域还是加入已有域，如果是创建新的域，则需要指定域的名称和域管理员账户等信息。

5. 配置域控制器的选项：根据实际需求对域控制器的选项进行配置，包括域的功能级别、安全性策略和全局编录服务位置等。

AD域控规划方案解析AD域控规划是一个组织中部署和管理Active Directory（AD）结构的过程。

AD是Windows操作系统的目录服务，用于存储和组织网络中的所有用户、计算机和其他资源。

通过正确规划AD域控结构，可以提高网络管理的效率和安全性。

以下是一个AD域控规划方案的详细解析。

1.了解组织需求：在开始规划AD域控之前，需要彻底了解组织的需求和目标。

需要考虑组织的规模、复杂性、分支机构的数量和位置、网络连接情况等因素。

这些信息将有助于确定所需的域控数量和位置。

2.定义域林架构：根据组织的规模和复杂性，可以选择单一域林、多域林或多棵树的架构。

单一域林适用于较小的组织，多域林适用于较大的组织，而多棵树的架构则适用于不同业务要求较高的组织。

需要考虑每种架构的管理和复杂性，并选择最适合组织需求的架构。

3.确定域控数量和位置：在设计AD域控规划时，需要确定所需的域控数量和位置。

通常建议至少包含两台域控，以提供冗余和容错能力。

域控的数量和位置应根据组织的规模和分支机构来确定。

在分布的地理位置上，应考虑到网络连接的可靠性和延迟。

4.设计域和组织单元（OU）：域是一组用户、计算机和其他资源的逻辑容器，它们共享共同的管理策略和安全策略。

在设计域时，应考虑组织的结构和业务要求，以确保域的逻辑分割得当。

同时，还需要设计OU，用于组织和管理用户、计算机和组策略等对象。

5.确定域控容量规划：域控的容量规划非常重要，它涉及硬件资源需求和性能要求。

需要考虑域控所需的CPU、内存和存储等资源。

同时，还需要考虑预计的用户数量、组织单元和组策略的数量，以确保域控能够满足组织的需求。

6.考虑灾难恢复和备份策略：在规划AD域控时，需要考虑灾难恢复和备份策略。

这包括定期备份域控和系统状态，以及制定灾难恢复计划。

备份和恢复策略应覆盖域控、系统状态和AD数据库等关键数据，以确保在发生故障或灾难时能够迅速恢复。

7.考虑安全性和权限管理：在规划AD域控时，必须考虑安全性和权限管理。

AD域控配置步骤: 、系统环境配置a)关闭UAC并重新启动b) 设置IP地址c）更改计算机名称，并重新启动准备安装AD服务a）通过“服务管理器”的角色添加来完成初始化的准备工作。

b ）进入添加角色向导，选择“下一步“。

c ）勾选Active Directory 域服务，再弹出的窗口点击“添加必须的功能”上-豪对申赏JkCR-W hiriCiWirIP 苦#加 Act ire Dlreflory tt ■玮曲菖(H 改闢？丢去番黄 Aetiw *.ir*-e-l*ry M ■主"p*(n ：«m w«»* J 9 : ortl R Fr«i-«vart ) V |■ieiz ■芝L IK F±—・“」直」L 畀丄 料 VTT Iri “h H 痛*1 阿吐与乐 手o ■程卞功•輿州旻iWWt*HMQ -C ■网"・1・刊福・1>rionffit-ATt r （t^. i=抻云笹祈石乍 ei"为一人“止片射! ■;«戸r 闵 曲* H QAIV^B 上聆l 十氏舁*fi * U Efcirv lira^lKrT H J L B HrM<«F7 •&挣Wftil ■轉 Mib*t IMMJtMMi hrtiifcTT UHR- 过=tt 最致谢H 北吋简d)然后根据提示进行安装e) 点击，运行 Active Directory 域服务安装向导(dcpromo.exe)，也可在 cmd 里面运行dcpromo。

f）选择高级模式安装。

g）选择在新林中新建域・AfilEi 亍會申刑缈轧J 吊定的■E US M ■ IUI—0ffeD C«P CW£上二声9计 仔_歩m 计1 W* 1i ）设置林功能级别h) 命名林根域"申的鋼一平堆塞甘皿甜腔楚谯料的各IF ・j）选择安装DNS服务器k）完成安装向导，重启计算机参考问题:a）加入域之后，谁都ping不通2; sJIslars Xs inc Loudadn inin<j 192 4l£S .・ 00 J, 无注联* IP业；幼*吕床・Gonoral fellura,C*MIS*F>M inc loiidndiniii >y ipiij 192飢盹ffi ll 弋卷联岳IF服动即'*• Qgnoral failure*： Ml s n S B incloMdridnin^u^nq IntJFiQ 甘弋注联车IP呃动程序.General failura.:;MlsDr-ifVf inc lQudddnin> ____________________________原因，SID重复。

AD域服务简介和使⽤——其实都是配置dns和域控服务器，各pc 加⼊域，然后设置账号，⽤AD。

CN：为可辨别名。

OU：为组织单元。

DC：为从属于哪个域默认端⼝是TCP、UDP为389OU\DC为图1，分解为 dc=adtest,dc=comOU为组织名称 ou=测试部CN是你⾃⼰设为管理员的⼀个⽤户名称如:lihb 密码为lihb的密码如a123456⼀、前⾔1.1 AD 域服务什么是⽬录（directory）呢？⽇常⽣活中使⽤的电话薄内记录着亲朋好友的姓名、电话与地址等数据，它就是 telephone directory（电话⽬录）；计算机中的⽂件系统（file system）内记录着⽂件的⽂件名、⼤⼩与⽇期等数据，它就是 file directory（⽂件⽬录）。

如果这些⽬录内的数据能够由系统加以整理，⽤户就能够容易且迅速地查找到所需的数据，⽽ directory service（⽬录服务）提供的服务，就是要达到此⽬的。

在现实⽣活中，查号台也是⼀种⽬录；在 Internet 上，百度和⾕歌提供的搜索功能也是⼀种⽬录服务。

Active Directory 域内的 directory database（⽬录数据库）被⽤来存储⽤户账户、计算机账户、打印机和共享⽂件夹等对象，⽽提供⽬录服务的组件就是 Active Directory （活动⽬录）域服务（Active Directory Domain Service，AD DS），它负责⽬录数据库的存储、添加、删除、修改与查询等操作。

⼀般适⽤于⼀个局域⽹内。

在 AD 域服务（AD DS）内，AD 就是⼀个命名空间（Namespace）。

利⽤ AD，我们可以通过对象名称来找到与这个对象有关的所有信息。

在 TCP/IP ⽹络环境内利⽤ Domain Name System（DNS）来解析主机名与 IP 地址的对应关系，也就是利⽤ DNS 来解析来得到主机的 IP 地址。

AD域的配置与管理
环境：windows server 2008 R2
软件：VMware一.创建域控制器
1.启动服务器管理器，选择操作，添加角色
2.选中AD域下一步
3.单击安装
4.安装完成后，在运行中输入Dcpromo点确定
5.弹出AD域安装向导点下一步
6.选择在新林中xx域
7.输入域名
8.选择林功能级别
这里选择2008 R2
9.没有配置dns服务的勾选dns服务器，点下一步
10.目录位置，无特殊需求的话都默认
11.为域下管理员创建密码
12.在完成后重新启动打勾
13.完成重启后输入域管理员密码，AD域就配置完成了二.客户端加入AD域
1.配置客户端IP和dns
将客户端的IP与AD域服务器的IP写在同一网段，并把客户端的dns指向AD域服务器的IP
2.在我的电脑右击鼠标，选择属性，单击更改设置，选择域并输入域名
1/ 2
3.按提示输入账户和密码
4.当显示欢迎加入域时，说明客户端已经加入AD域了
5.重启计算机
6.在登陆页面切换用户，输入AD域管理员账户密码，输入账户时，在账户名后面加@域名
7.再打开系统设置，就可以看到本机处于域模式了
2/ 2。