AD域控配置步骤

AD域控规划方案目录一、内容概要 (2)1.1 背景介绍 (2)1.2 目的和意义 (3)二、需求分析 (4)2.1 组织架构需求 (5)2.2 安全性需求 (6)2.3 可管理性需求 (8)2.4 其他需求 (9)三、域控制器的选择 (10)3.1 域控制器的重要性 (12)3.2 选择合适的域控制器 (13)3.3 域控制器的性能要求 (13)四、规划方案 (15)4.1 域控制器的部署策略 (16)4.2 域控制器的数量规划 (17)4.3 域控制器与Active (19)4.4 域控制器的冗余和备份策略 (21)五、安全性设计 (22)5.1 身份验证和授权机制 (23)5.2 数据加密 (25)5.3 访问控制列表(ACLs) (26)5.4 入侵检测和防御系统 (27)六、管理和维护 (28)6.1 监控和日志记录 (29)6.2 更新和升级策略 (31)6.3 故障恢复计划 (32)七、实施计划 (32)7.1 项目启动和准备 (34)7.2 部署步骤 (35)7.3 测试和验证 (36)八、总结 (37)8.1 方案优点 (38)8.2 方案缺点 (40)一、内容概要AD域控概述：阐述Active Directory（AD）域控制器的概念、功能以及在企业网络中的重要性。

规划目标与要求：明确AD域控规划的目标、预期效果以及需满足的技术和管理要求。

域控布局设计：根据企业的网络架构、业务需求等因素，设计合理的AD域控布局方案。

域名资源管理：规划域名资源的分配、管理与维护策略，确保企业域名的唯一性和可用性。

安全策略与防护措施：制定健全的AD域控安全策略，包括访问控制、数据加密、备份恢复等方面，以保障企业网络安全。

方案实施计划：详细规划AD域控实施方案，包括时间节点、人员分工、资源配置等内容。

方案评估与优化：对AD域控规划方案进行评估，根据实际情况进行调整和优化，确保方案的可行性和有效性。

Server 2008 R2 AD 域控搭建方法1、搭建域控前，需要固定域控的IP地址，并将域控本身的主DNSS置域控本身的IP地址，2、打开运行窗口，输入dcpromo并回车，会启动域控安装程序4、进入域控安装向导，直接下一步5、»Qp Active Directory 甘謂翳左装向异理年系蛭兼官ttWindows Serrti 1 S08 和 骨indent Server 2C08 R2 中改遊的安莹设置尉 丽旧版Windows姿浮工& P^cfc 1 _ ^r —_包估 Si Aitirfi Ci rectory Jli 扬_具或 WxliiowS有关此碣査的更多信息，请参阚知识库文章9血昭©t ip.//刖.11 iLi 1 oso £1. coft/frlicik/?LiiLkId-104751< 上一劣 CB) >| 託肖6、7、选择在新林中新建域9、输入自己的域名O H M氢法WE二匿£ rs 穿.djoWS加邮tjgrfJS 勿世了更寅WIx|SjCindo^ H 4.0 ®± Microsoft.swWindows Vistt12、11、林功能级别选择 Windows Server 2008 R2司盘cli* Directory 域曜务安装向导13、其他域控制器选择直接默认即可10、00功 2有，曇O *r“的畋整O探se 用回芸下下E 可 即中-I n别ui nLrE , rxZA 亚’后os^IT^g- Vindow*s Sarver 200€ ive Directory 城服务H 寸 Windows S 赵化F SMB E2 域林添加运行WindowE Server 20D3 E2或更高版有关城錘功能盪别的详细信息＜上一歩⑻［厂扇闻〉取消|详齟信息6）： [□出只懺16、17、数据库，日志文件和sysvol 的存储路径，可以直接默认15、第一次安装AD DNS 勺时候，可能遇到以下的提示，无法创建该 DNS 服务器 的委派，这是一个提示，而不是一个报错。

域控配置步骤集团文件版本号：（M928-T898-M248-WU2669-I2896-DQ586-M1988）AD域控配置步骤：一、系统环境配置a)关闭UAC，并重新启动。

b)设置IP地址。

c)更改计算机名称，并重新启动。

二、准备安装AD服务a)通过“服务管理器”的角色添加来完成初始化的准备工作。

b)进入添加角色向导，选择“下一步“。

c)勾选Active Directory域服务，再弹出的窗口点击“添加必须的功能”。

d)然后根据提示进行安装。

e)点击，运行Active Directory域服务安装向导(dcpromo.exe)，也可在cmd里面运行dcpromo。

f)选择高级模式安装。

g)选择在新林中新建域。

h)命名林根域。

i)设置林功能级别。

j)选择安装DNS服务器。

k)完成安装向导，重启计算机。

三、参考问题：a)加入域之后，谁都ping不通原因，SID重复。

1)因为我装好系统后，没有修改机器名，是先加入的域，所以会出现这个错误。

2)域和其它的虚机，不可以使用同一个系统模版进行安装，不然SID会重复。

解决：创建系统镜像的时候，需要比较系统镜像SID重复问题，c:\windows\system32\sysprep\sysprep.exe 运行安装，最后会关机，然后把该虚机转换成模版，就可以了。

（参考内部文档：XenCenter使用说明.docx）如果局域网内同时有两个域控，则把本机ip改为你需要的域ip，来进行远程桌面拷贝东西。

集团ad域控实施方案集团AD域控实施方案。

一、引言。

在当今信息化时代，企业对于IT基础设施的需求日益增长，特别是对于集团公司而言，如何有效管理和维护大量的计算机和用户账号成为了一项重要的挑战。

在这样的背景下，集团AD域控实施方案成为了一个必不可少的解决方案。

本文将针对集团AD域控实施方案进行详细介绍和分析。

二、AD域控简介。

AD（Active Directory）域控是微软公司推出的一种目录服务，它提供了集中式的网络管理和安全管理。

通过AD域控，管理员可以集中管理网络上的所有计算机、用户账号、安全策略等，极大地简化了网络管理工作。

三、集团AD域控实施方案。

1. 网络规划与设计。

在实施集团AD域控之前，首先需要进行网络规划与设计。

这包括确定域控服务器的数量和位置、确定域的结构、确定域控的冗余和容错设计等。

合理的网络规划与设计是成功实施AD域控的基础。

2. 硬件设备采购。

根据网络规划与设计的结果，需要采购相应的硬件设备，包括域控服务器、网络设备等。

在采购过程中，需要考虑设备的性能、可靠性以及扩展性，以满足未来业务发展的需求。

3. 系统部署与配置。

在硬件设备采购完成后，需要进行系统部署与配置工作。

这包括安装操作系统、配置网络参数、安装AD域服务、创建域、配置域控策略等。

系统部署与配置的质量直接影响到后续的使用效果，因此需要严格按照设计要求进行操作。

4. 用户账号和计算机管理。

AD域控的一个重要功能是集中管理用户账号和计算机。

在实施过程中，需要将现有的用户账号和计算机导入到域控中，并进行合理的组织和管理。

同时，需要制定相应的账号和计算机管理策略，确保安全和高效的使用。

5. 安全策略配置。

安全是AD域控实施的重要考虑因素之一。

管理员需要根据实际需求，制定和配置相应的安全策略，包括访问控制、密码策略、审计策略等，以保障系统和数据的安全。

6. 运维管理。

AD域控实施完成后，需要进行相应的运维管理工作。

这包括定期的系统维护、备份和恢复、性能监控和优化等。

企业AD域的实施步骤主要包括以下部分，具体长度为500-800字：1. 安装和配置DNS服务：AD域控制器需要依赖于DNS服务来正确解析域和控制器的名称。

这一过程涉及到安装DNS服务器、配置DNS区域和记录，以及安装和配置反向查找等步骤。

2. 安装和配置Active Directory：这是实施AD域的核心步骤，需要安装Active Directory服务，创建域控制器，设置域控的属性，然后加入到域中。

3. 创建用户和计算机账户：在Active Directory中创建相应的用户和计算机账户，并对账户的属性进行必要的设置，如密码策略、安全策略等。

4. 安装并配置网络策略：这一步骤可以用来限制对网络资源的访问，增强网络安全，并确保网络设备的配置符合AD域的要求。

5. 实施备份策略：为了应对可能出现的系统故障或数据丢失，需要实施备份策略，以确保数据的安全。

6. 培训员工：为了让员工熟悉新的AD域环境，需要进行相应的培训，包括如何使用新的网络资源，如何访问网络资源等。

7. 监控和优化：在AD域实施后，需要持续监控网络性能，优化网络环境，确保AD域的稳定运行。

具体步骤如下：1. 安装和配置DNS服务：首先，需要安装DNS服务器，并设置正确的DNS区域和记录。

确保DNS服务能够正确解析域名。

在进行这些步骤时，需要遵循微软官方文档和资源，并参考相关的安全最佳实践。

2. 安装和配置Active Directory：这一步骤需要一定的技术知识，并需要参考微软官方文档和资源。

首先，需要创建一个新的域控制器，并设置正确的DNS和安全设置。

然后，将域控制器加入到现有的Active Directory森林中。

在此过程中，需要保证所有工作站的配置正确，并能够与域控制器正常通信。

3. 创建用户和计算机账户：在Active Directory中创建相应的用户和计算机账户，并设置相应的属性。

需要遵循微软的安全策略和最佳实践，并确保所有账户的安全性。

管理员操作手册-AD域控及组策略管理_51CTO下载1.前言AD域控及组策略管理是IT管理员日常工作的重要组成部分，通过对AD域控和组策略的合理配置和管理，可以实现企业网络环境的安全性、可靠性和高效性。

本手册旨在提供AD域控和组策略管理的相关操作指南，帮助管理员更好地完成日常工作。

2.AD域控管理2.1AD域控的创建与配置- 在服务器管理工具中打开“Active Directory 域服务配置向导”。

-选择“新建林”并按照向导进行域控的创建与配置。

2.2AD域控的管理与维护- 在服务器管理工具中打开“Active Directory 用户和计算机”。

-可以进行用户账户、计算机账户、组织单位等的管理与维护。

2.3AD域控的备份与恢复- 使用Windows Server Backup工具进行备份和恢复。

-定期备份AD域控以防止数据丢失和系统崩溃。

3.组策略管理3.1组策略的创建与配置-在服务器管理工具中打开“组策略管理”。

-可以创建和配置适用于不同组织单位的组策略。

3.2组策略的应用与更新-使用“更新策略”命令可以立即使变更的组策略生效。

-配置组策略的过程中可以指定应用的对象，如用户组、计算机组等。

3.3组策略的审计与报告-使用组策略管理工具中的“结果集”功能可以查看策略的审计结果。

-可以生成策略的报告并进行分析以优化策略配置。

4.网络安全与用户权限管理4.1基于域的安全-配置域用户账户和组的访问权限和密码策略。

-设置账户锁定策略和审计策略以防止未授权访问。

4.2网络访问控制-配置网络访问控制列表（ACL）以限制网络资源的访问。

-配置防火墙规则和端口策略以增强网络安全性。

4.3用户权限管理-使用“本地安全策略”工具配置本地用户的权限。

-配置用户账户的分组和权限以实现最小权原则。

5.故障排除与性能优化5.1AD域控故障排除- 使用Windows Event Viewer查看与AD域控相关的事件日志。

-使用工具检查AD域控的硬件和网络连接是否正常。

AD域控及组策略管理目录一、Active Directory(AD)活动目录简介1、工作组与域的区别........................................2、公司采用域管理的好处....................................3、Active Directory(AD)活动目录的功能......................二、AD域控（DC）基本操作....................................1、登陆AD域控.............................................2、新建组织单位（OU）......................................3、新建用户................................................4、调整用户................................................5、调整计算机..............................................三、AD域控常用命令..........................................1、创建组织单位：(dsadd)...................................2、创建域用户帐户(dsadd)...................................3、创建计算机帐户(dsadd)...................................4、创建联系人(dsadd).......................................5、修改活动目录对象（dsmod）...............................6、其他命令（dsquery、dsmove、dsrm）.......................四、组策略管理 ..............................................1、打开组策略管理器........................................2、受信任的根证书办法机构组策略设置........................3、IE安全及隐私组策略设置 .................................4、注册表项推送............................................五、设置DNS转发 ............................................一、Active Directory(AD)活动目录简介1、工作组与域的区别域管理与工作组管理的主要区别在于：1）、工作组网实现的是分散的管理模式，每一台计算机都是独自自主的，用户账户和权限信息保存在本机中，同时借助工作组来共享信息，共享信息的权限设置由每台计算机控制。

AD域控制服务器教程
AD域控制服务器教程
⒈介绍
本文档旨在向读者介绍如何设置和管理Active Directory（AD）域控制服务器。

AD域控制服务器是一种用于集中管理网络上所有计
算机、用户和组的服务器，它提供了一种安全的身份验证和授权机制，为网络管理员带来了很大的便利和管理效率。

本文将详细介绍
AD域控制服务器的安装、配置和管理过程。

⒉准备工作
在安装和配置AD域控制服务器之前，需要进行以下准备工作：
⑴确保服务器符合最低硬件要求
⑵确保服务器操作系统支持AD域控制
⑶确定域名和域控制器的名称
⑷确定网络设置，包括IP地质、子网掩码、默认网关等
⒊安装AD域控制服务器
⑴并安装Windows Server操作系统
⑵添加域控制器角色
⑶运行域控制器安装向导，进行域控制器的安装
⑷完成安装过程并重新启动服务器
⒋配置AD域控制服务器
⑴连接到AD域控制服务器
⑵配置域名系统 (DNS)
⑶配置动态主机配置协议 (DHCP)
⑷配置组策略
⑸配置安全性设置
⑹配置用户和组
⒌管理AD域控制服务器
⑴添加和删除AD域用户和组
⑵设置用户和组的权限
⑶配置域控制器的复制
⑷监视域控制器的性能
⑸进行域控制器备份和恢复
⒍故障排除和常见问题解决
⑴常见错误消息及其解决方案
⑵域控制器无法启动的解决方法
⑶用户无法登录的解决方法
⑷域控制器复制失败的解决方法
附件：<附件名称>
法律名词及注释：
⒈AD（Active Directory）：是由微软公司开发的一种用于集中管理计算机、用户和组的目录服务。

域控制器软件限制策略的配置
1、开始-运行gpedit.msc 打开组策略
在组策略编辑器中展开软件限制策略的安全级别节点。

2、选择右边不允许的或不受限的单击设为默认
打开对话框 单击浏览按钮导入3、单击其他规则
单击新建哈希规则 打开对话框
选择上方的操作选项 单击新建哈希规则
单击其他规则 选择上方的操作选项
要限制的文件
要限制的文件
单击新建路径规则，，可以在路径文本框中文件路径或注册表路径如果使用注册表路径4、单击新建路径规则
必须用%江注册表路径括起来 ...
5、软件策略里面有个指派的文件类型选项根据自己的需要可以在里面添加或删除文件后缀名
6、双击强制选项打开强制属性对话框选择软件限制策略应用的范围和用户
7、在受信任的发布者属性里面可以选择软件发布者的用户选项
在受信任的发布者属性里面可以选择软件发布者的用户选项，，并选择证书发行商的检查项目。

AD域控制服务器教程把一台成员服务器提升为域控制器(一)目前很多公司的网络中的PC数量均超过10台:按照微软的说法，一般网络中的PC数目低于10台，则建议建议采对等网的工作模式，而如果超过10台，则建议采用域的管理模式，因为域可以提供一种集中式的管理，这相比于对等网的分散管理有非常多的好处，那么如何把一台成员服务器提升为域控?：服务器采用Windows2003Server为例，客户端以XP为例（专业版，home版的不支持）。

域控制器名字：serverIP：192。

168。

88。

119子网掩码：255。

255。

255。

0网关：192。

168。

88。

159（当然，这些可以根据具体需要设置）DNS：192。

168。

88。

119(因为我要把这台机器配置成DNS服务器，升级成DC以后首选DNS变成127。

0。

0。

1不用怕这是正常的由于Windows Server 2003在默认的安装过程中DNS是不被安装的，所以我们需要手动去添加，添加方法如下:“开始—设置—控制面板—添加删除程序”，然后再点击“添加/删除Windows组件”，则可以看到如下画面:向下拖动右边的滚动条，找到“网络服务”，选中:默认情况下所有的网络服务都会被添加，可以点击下面的“详细信息”进行自定义安装，由于在这里只需要DNS，所以把其它的全都去掉了，以后需要的时候再安装:然后就是点“确定”，一直点“下一步”就可以完成整个DNS的安装。

在整个安装过程中请保证Windows Server 2003安装光盘位于光驱中，否则会出现找不到文件的提示，那就需要手动定位了。

安装完DNS以后，就可以进行提升操作了，先点击“开始—运行”，输入“Dcpromo”，然后回车就可以看到“Active Directory安装向导”直接下一步就可以了`这里是一个兼容性的要求，Windows 95及NT 4 SP3以前的版本无法登陆运行到Windows Server 2003的域控制器，我建议大家尽量采用Windows 2000及以上的操作系统来做为客户端。

AD域控规划方案解析AD域控规划是指在组织架构中规划和设计Active Directory（AD）域控制器的布局和配置。

AD域控规划方案是根据组织的需求和目标，确定域控制器的数量、位置、角色分配以及域的拓扑结构等因素的方案。

一、组织架构首先，需要了解组织的架构，包括不同地点、不同部门、不同的人员和资源分布情况。

这将有助于决定AD域的数量和位置。

二、域控制器数量根据组织规模和复杂度，需要确定所需的域控制器数量。

通常情况下，建议每个域至少配置两个域控制器以提供冗余和高可用性。

对于较大的组织，可能需要更多的域控制器。

三、域控制器位置根据组织的地理位置和网络拓扑结构，需要决定域控制器的位置。

域控制器应该尽量分布在不同的地理位置，以减少网络延迟和故障的影响。

四、域的拓扑结构在多域环境中，需要决定域的拓扑结构。

可以选择单一域、树状域或林状域结构，具体取决于组织的需求。

在设计域的拓扑结构时，需要权衡管理复杂性、安全性和资源访问的要求。

五、角色分配确定域控制器的角色分配也是AD域控规划的重要步骤。

域控制器可以承担多个角色，如域控制器、全局目录服务器、DNS服务器等。

确定角色分配需要根据组织的需求和目标，灵活进行设置。

六、安全性考虑1.使用强密码策略，要求用户使用复杂密码并定期更换。

2.启用账户锁定功能，限制密码错误次数。

3.使用多因素认证来增加登录的安全性。

4.配置域控制器的安全策略，限制不必要的权限。

5.定期更新和安装补丁以确保域控制器的安全性。

6.使用防火墙等网络安全设备来保护域控制器的访问。

七、容量规划根据组织的用户数量，需要规划域控制器的容量，如硬件要求、存储需求等。

域控制器的资源应该足够满足组织的需求，并具备扩展性。

八、备份和恢复策略制定合适的备份和恢复策略是AD域控规划的重要部分。

需要考虑定期备份域控制器数据和系统状态，并测试恢复过程的有效性。

合理的备份策略可以减少数据丢失的风险，并提高系统的可用性。

1. 目的
提高信息管理人员域控账号配置的熟练度与域控账号配置的标准。

2. 适用范围
适用于浙江耀阳新材料信息管理部，
3. 职责
3.1信息管理部：
3.1.1 信息管理员对新入职配备电脑的员工，配置AD域账号；
4. 定义
无
5. AD域账号配置流程
1、首先使用组合快捷键Win+R调出运行对话框（如图1）。

（图1）
2、然后在打开的运行窗口中输入：mstsc，输入完后，点击确定，这样就可以跳出“远程桌面连接”(如图2)；
（图2）
3、跳出远程桌面连接后在计算机一栏里输入远程连接计算机的IP地址：10.10.2.50，点击连接（如图3）；出现“输入你的凭证”请输入管理员用户名：administrator密码：password1!，点击确定远程桌面连接(如图4）。

（图3）（图4）
4、双击打开“用户和计算机（如图5）→Users Sunliky JX找到对用分组，“右键鼠标→新建→用户”（如图6）→输入真实姓名，用户登录名以例如：peipei Liu的格式建立（如图7），下一步→输入初始密码：sunliky1! 将下列选项改为“密码永不过期”下一步→完成（如图8）”AD域账号建立完成。

（图5）（图6）（图7）（图8）
5、将新创建的用户加入部门组，用于文件共享使用，“找到域组双击打开（如图9）→添加（如图10）→输入检查的名称→确定（如图11）”用户即可加入部门组。

6、相关文件
无
7、相关记录
无。

AD域控规划方案AD（Active Directory）域控是一种用于管理和组织网络资源的目录服务。

它是基于Microsoft的Windows域架构开发的，可以在整个网络中管理和控制用户帐号、计算机、组织单元和其他网络资源。

在进行AD域控规划时，需要考虑以下几个方面：1.网络架构：首先确定网络的拓扑结构，例如是否采用分布式架构、中心化架构还是混合架构。

网络拓扑结构决定了域控的部署策略。

2.组织单元（OU）设计：OU是AD域中的容器，用于组织和管理对象，如用户、计算机和组等。

合理的OU设计可以方便管理和控制权限。

一般可以根据组织结构、业务需求或地理位置等因素进行划分。

3.域名称：域名称是AD架构的基础，它应该与组织的名称相关联，方便记忆和管理。

建议选择一个能够代表组织的名称，并确保唯一性。

4.域控部署策略：域控可以部署在物理服务器上，也可以采用虚拟化技术。

需要根据网络规模、性能需求和容错能力来确定部署策略。

5.域控的数量和位置：域控的数量和位置应该能够满足业务需求和可扩展性要求。

一般建议至少部署两个域控以提高容错能力，可以选择不同的物理位置或数据中心。

6.域控的安全性：域控是网络中最关键的服务器之一，应该采取一系列安全措施来保护其安全性。

例如使用强密码、限制远程访问、定期备份和监控等。

7.域控容灾和恢复：在域控发生故障或灾难时，需要有相应的容灾和恢复策略。

可以采用备份和还原、冗余部署或灾难恢复计划等方式来确保域控的可用性。

8. 域控的更新和维护：域控的更新和维护是保持系统稳定和安全的重要任务。

可以使用Windows更新服务、定期巡检和故障排除来确保域控的运行良好。

在具体的AD域控规划中，可以按照以下步骤进行：1.定义AD域的目标和需求：明确组织的需求和目标，确定AD域的作用和范围。

2.设计OU结构和组织方式：根据组织结构、权限需求和业务流程来设计OU结构。

确保OU结构清晰、简洁和易于管理。

3.确定域名称和架构：选择一个能够代表组织的域名称，并确定AD 域的架构和拓扑结构。

AD域控配置步骤: 、系统环境配置a)关闭UAC并重新启动b) 设置IP地址c）更改计算机名称，并重新启动准备安装AD服务a）通过“服务管理器”的角色添加来完成初始化的准备工作。

b ）进入添加角色向导，选择“下一步“。

c ）勾选Active Directory 域服务，再弹出的窗口点击“添加必须的功能”上-豪对申赏JkCR-W hiriCiWirIP 苦#加 Act ire Dlreflory tt ■玮曲菖(H 改闢？丢去番黄 Aetiw *.ir*-e-l*ry M ■主"p*(n ：«m w«»* J 9 : ortl R Fr«i-«vart ) V |■ieiz ■芝L IK F±—・“」直」L 畀丄 料 VTT Iri “h H 痛*1 阿吐与乐 手o ■程卞功•輿州旻iWWt*HMQ -C ■网"・1・刊福・1>rionffit-ATt r （t^. i=抻云笹祈石乍 ei"为一人“止片射! ■;«戸r 闵 曲* H QAIV^B 上聆l 十氏舁*fi * U Efcirv lira^lKrT H J L B HrM<«F7 •&挣Wftil ■轉 Mib*t IMMJtMMi hrtiifcTT UHR- 过=tt 最致谢H 北吋简d)然后根据提示进行安装e) 点击，运行 Active Directory 域服务安装向导(dcpromo.exe)，也可在 cmd 里面运行dcpromo。

f）选择高级模式安装。

g）选择在新林中新建域・AfilEi 亍會申刑缈轧J 吊定的■E US M ■ IUI—0ffeD C«P CW£上二声9计 仔_歩m 计1 W* 1i ）设置林功能级别h) 命名林根域"申的鋼一平堆塞甘皿甜腔楚谯料的各IF ・j）选择安装DNS服务器k）完成安装向导，重启计算机参考问题:a）加入域之后，谁都ping不通2; sJIslars Xs inc Loudadn inin<j 192 4l£S .・ 00 J, 无注联* IP业；幼*吕床・Gonoral fellura,C*MIS*F>M inc loiidndiniii >y ipiij 192飢盹ffi ll 弋卷联岳IF服动即'*• Qgnoral failure*： Ml s n S B incloMdridnin^u^nq IntJFiQ 甘弋注联车IP呃动程序.General failura.:;MlsDr-ifVf inc lQudddnin> ____________________________原因，SID重复。

AD域控及组策略管理目录一、ActiveDirectory(AD)活动目录简介错误!未指定书签。

1、工作组与域的区别...................... 错误!未指定书签。

2、公司采用域管理的好处.................. 错误!未指定书签。

3、ActiveDirectory(AD)活动目录的功能..... 错误!未指定书签。

二、AD域控（DC）基本操作 .............. 错误!未指定书签。

1、登陆AD域控........................... 错误!未指定书签。

2、新建组织单位（OU）.................... 错误!未指定书签。

3、新建用户.............................. 错误!未指定书签。

4、调整用户.............................. 错误!未指定书签。

5、调整计算机............................ 错误!未指定书签。

三、AD域控常用命令.................... 错误!未指定书签。

1、创建组织单位：(dsadd)................. 错误!未指定书签。

2、创建域用户帐户(dsadd)................. 错误!未指定书签。

3、创建计算机帐户(dsadd)................. 错误!未指定书签。

4、创建联系人(dsadd)..................... 错误!未指定书签。

5、修改活动目录对象（dsmod）............. 错误!未指定书签。

6、其他命令（dsquery、dsmove、dsrm）..... 错误!未指定书签。

四、组策略管理......................... 错误!未指定书签。

1、打开组策略管理器...................... 错误!未指定书签。

AD域控管理方案
一、概述
域控管理是一种尽可能安全地管理计算机网络的工具，主要是依靠服
务器来控制网络中的计算机，包括文件共享、用户和组的创建、登录控制、安全策略等等。

因此，采用Active Directory（AD）域控管理方案，可
以实现统一管理、安全控制网络中的资源。

本文的主要目的是介绍AD域
控管理方案的架构、功能和实现过程。

二、AD域控管理方案的架构
AD域控管理方案的架构由三部分组成：活动目录服务（Active Directory Services，ADDS）、活动目录域服务（Active Directory Domain Services，ADDS）以及活动目录安全服务（Active Directory Security Services，ADDS）。

（1）活动目录服务（ADDS）为用户提供网络配置和管理服务，包括
域控应用程序、日志记录、用户认证和授权等。

（2）活动目录域服务（ADDS）为客户端提供一个安全的、集中式的
域环境，用于存储和管理系统资源，从而使组织内网络管理更加容易和有效。

（3）活动目录安全服务（ADDS）为网络系统提供安全性保障，通过
定义用户帐户、密码策略、数据完整性检查和审计等来实现网络安全控制。

三、AD域控管理方案的功能
（1）域控管理方案实现了统一的程序管理，可以统一定义和管理组
织内的用户和组，以及定义用户权限和安。

AD域控配置步骤
第一步：安装Active Directory服务
1、打开“服务器管理器”，右击“服务器管理器”，点击“添加角色”；
2、弹出“添加角色向导”，在“重要提示”中，点击“下一步”；
3、在“选择角色”页面，勾选“活动目录服务”，点击“下一步”；
4、在“活动目录服务”页面，勾选“安装DNS服务”，点击“下一步”；
5、在“确认功能选择”页面，点击“安装”，安装完毕后，点击
“关闭”。

第二步：配置Active Directory服务
1、在“服务器管理器”中，右击“活动目录服务”，点击“配置Active Directory”；
2、弹出“配置Active Directory”对话框，点击“下一步”；
3、在“操作类型”页面，勾选“创建新的活动目录域”，点击“下
一步”；
4、在“域名信息”页面，输入域名，点击“下一步”；
5、在“新域名称空间”页面，勾选“使用现有的域名空间”，点击“下一步”；
6、在“数据库和日志文件位置”页面，点击“浏览”，选择
“C:\Windows\NTDS”，点击“确定”，点击“下一步”；
7、在“恢复模式管理员密码”页面，输入恢复模式管理员密码，点击“下一步”；
8、点击“完成”，完成AD服务的配置。

第三步：创建。

AD域日常管理一、我们的域用户可以做什么？1、访问油田门户网站10.75.1.12，发布信息；2、申请中石化邮箱；二、域控基本操作（一）加入域控A．计算机加入AD域步骤：1. 更改本地计算机DNS：将DNS配置为10.75.1.1 或者10.75.1.22.将计算机名中的计算机描述改成AD域账户中使用的名字：如 lum.zyyt我的电脑—〉属性—〉计算机名3.加入域：sinopec.ad此时进入AD 域帐户发现桌面上好多东西都没有你会发现连网络连接ＩＰ地址根本无法更改，因为此时的AD域账户不是管理员账户，这是就需要把AD域账户提升为管理员账户4．将AD域账户加入管理员账户进入本地计算机，我的电脑（右键）——管理——本地用户和组——组——administrator——属性——添加——lum.zyyt——确定5.用域账户登录注意事项：1．修改计算机名时修改的是计算机描述，而在更改中的计算机名不改，只添上隶属的域名；2．在提升域账户管理权限时，是在本地计算机的组Administrators中添加域名账户，而不是在域账户下的组中添加；3、XP系统需安装包adminpakx86.msi（二）批量添加AD域账户1.先编辑附件中的lastimp.xls文件。

第一行要有栏目名称，具体如下：其中，标红的displayname（列出名字）、samaccountname（账户名）、company、department、physicaldeliveryofficename和title（劳动合同号）六栏需要根据用户上报的数据填入。

Objectclass栏所有都填为user，useraccountcontrol栏都填为514（514的含义：账户创建后为禁用状态），其他各栏均根据公式自动生成。

DN添好一个ou，其余拖动鼠标，自动生成。

注意：ou的顺序是从小到大，例如：中原油田采油九厂，ou=采油九厂，ou=zyyt，ou=组织机构。