1. 什么是 Active Directory?
1.1 基本概念
Active Directory(活动目录,简称 AD) 是 Microsoft Windows Server 提供的目录服务(Directory Service),用于在网络环境中集中存储和管理用户账户、计算机账户、打印机、共享文件夹等对象信息,并提供统一的身份认证和访问控制机制。
核心协议与技术:
| |
|---|
| LDAP (Lightweight Directory Access Protocol) | 轻量级目录访问协议,AD 中用于访问和查询目录数据的标准协议 |
| Kerberos | AD 默认的身份验证协议,支持相互认证和票据授予机制 |
| DNS | 域名解析服务,AD 使用 DNS 定位域控制器(DC)和服务发现 |
| AD DS (Active Directory Domain Services) | AD 域服务,AD 的核心组件,提供目录存储和身份认证服务 |
AD 的核心能力:
- • 统一身份认证:用户使用同一组凭据(用户名/密码)可登录域内任何一台加入域的计算机
- • 单一登录(SSO):一次认证后可访问所有已授权资源
- • 组策略(Group Policy):集中批量配置用户工作环境和计算机安全设置
- • 基于角色的访问控制(RBAC):通过安全组管理权限分配,简化权限管理
1.2 核心概念
域 (Domain)
├── 逻辑组织单元,集中管理一组共享同一安全策略的计算机和用户
├── 域中所有对象信息存储在域控制器 (Domain Controller, DC) 中
│
├── 组织单位 (Organizational Unit, OU)
│ ├── 域内的容器对象,用于分层组织用户、计算机、组等
│ └── 支持组策略继承和委派管理
│
├── 对象 (Object)
│ ├── 用户 (User)
│ ├── 计算机 (Computer)
│ ├── 安全组 (Security Group)
│ └── 打印机、共享文件夹等
│
└── 安全主体 (Security Principal)
└── 可被安全机制识别的对象:用户账户、计算机账户、安全组
1.3 域与工作组的区别
? 简单理解:工作组中每台电脑是"独立个体";域中所有电脑由 DC 统一管理,像一个"统一指挥系统"。
1.4 域加入 (Domain Join)
域加入是将计算机注册到 AD 域的过程。计算机加入域后,可使用域账户登录,并接受 DC 的统一管理。
域加入后的主要变化:
- • 用户可通过域账户登录域内任何一台加入域的计算机
- • 管理员可在 AD 中集中管理所有加入域的计算机
2. 将电脑加入域 - 一步步学会操作
2.1 准备工作
在开始之前,需要确认:
- • ✅ 你有域管理员账号,或者有"把电脑加入域"的权限
- • ✅ 电脑安装的是 Windows 专业版/企业版(家庭版不支持加域)
2.2 方法一:加域(WINDOWS 10/11)
图解操作步骤:
第一步:设置
第二步:打开系统设置
第三步:进入电脑名设置
点击"高级系统设置" → 弹出"系统属性"窗口
点击"计算机名称"选项卡 → 点击"更改..."
? 界面描述:显示当前电脑名和域/工作组信息
第四步:切换到域模式
在"隶属于"部分:
○ 工作组:WORKGROUP ← 选中这个圆圈
● 域:_______________ ← 选中这个圆圈,然后输入域名
第五步:输入域名
在"域"输入框中填写:contoso.com
点击"确定"
第六步:输入管理员账号
弹出Windows安全窗口:
用户名:administrator@contoso.com
密码:________
点击"确定"
第七步:完成!
看到"欢迎加入 contoso.com 域"提示 → 点击"确定"
系统提示要重启 → 点击"确定"
重启电脑
✅ 电脑现在已经成功加入域了!
2.3 方法二:使用命令行加域(适合进阶用户)
如果你喜欢用命令,或者需要批量加域,可以用命令行。
命令提示符方法:
第一步:以管理员身份打开命令提示符
开始菜单 → 搜索"cmd" → 右键"命令提示符" → 选择"以管理员身份运行"
第二步:输入加域命令
netdom join %COMPUTERNAME% /domain:contoso.com /userd:administrator@contoso.com /passwordd:*
? 界面描述:命令执行后会要求输入密码
第三步:输入密码并重启
输入域管理员的密码 → 回车
看到"成功加入域"提示
输入:shutdown /r /t 0 → 重启电脑
PowerShell 方法:
第一步:以管理员身份打开 PowerShell
开始菜单 → 搜索"PowerShell" → 右键"Windows PowerShell" → 选择"以管理员身份运行"
第二步:输入加域命令
Add-Computer -DomainName "contoso.com" -Credential (Get-Credential)
? 界面描述:会弹出凭据窗口,输入域管理员账号
第三步:重启电脑
2.4 加域后的登录变化
加域成功后,登录界面会多一个选项:
┌─────────────────────────────────┐
│ 选择用户或输入邮箱 │
├─────────────────────────────────┤
│ │
│ ? administrator@contoso.com │ ← 用这个登录
│ │
│ ? 此电脑的其他用户 │ ← 点击展开
│ │
└─────────────────────────────────┘
登录方式:
- • ? 域账号登录:
域名\用户名 或 用户名@域名 - • 例如:
CONTOSO\zhangsan 或 zhangsan@contoso.com
3. 认识默认用户账户
安装 Windows Server 域控制器时,系统会自动创建几个"内置"账号。这些账号有特殊用途,不要轻易删除或修改。
| |
|---|
| Administrator | |
| Guest | |
| KRBTGT | |
| HelpAssistant | |
3.1 管理员账户(Administrator)
域中权限最大的账号,可管理所有用户、电脑和设置。
安全建议:
- • 可重命名以增加安全性(如改为 "IT-Admin")
3.2 来宾账户(Guest)
默认已禁用、密码为空,权限极低。保持禁用状态即可。
3.3 HelpAssistant 账户
用于 Windows 远程协助功能,有人请求帮助时自动启用,帮助结束后自动禁用。无需管理。
3.4 KRBTGT 账户
? 位置
Active Directory 用户和计算机 → Users → KRBTGT
? 是什么?
KRBTGT 是 AD 中内置的 Kerberos 认证服务账户,本质上就是一个普通的域用户账户,但用途是给 Kerberos 认证服务使用。
| |
|---|
| 和普通用户账户一样,存储在 AD 的 Users 容器中 |
| |
| |
| |
| |
? 在 Kerberos 认证中的作用
Kerberos 是域环境默认的身份验证协议。域用户登录时,DC 的 KDC 服务使用 KRBTGT 账户的密码密钥来加密和解密票据授予票据 (TGT)。
简单理解:KRBTGT 账户的密码就是 DC 用来给用户"发身份证"的钥匙。
?️ 维护建议
⚠️ 重置后所有用户需重新登录,所有已颁发的 TGT 立即失效。
4. 认识安全组
4.1 什么是安全组?
安全组就像学校的"兴趣社团":
4.2 为什么用安全组?
? 高权限组(要小心!)
? 中等权限组
? 普通用户组
4.5 为什么要限制管理员组?
⚠️ 重要安全原则:权限越小越安全!
管理员权限过大的风险:
正确做法:
✅ 管理员账号只用于管理工作
✅ 日常工作用普通账号
✅ 限制管理员可以登录的电脑
✅ 不要用管理员账号收发邮件、浏览网页
5. 日常管理操作
5.1 打开管理工具
服务器管理器 → 右上角"工具" → "Active Directory 用户和计算机"
5.2 两类常用账号
| |
|---|
| 普通域账号 | |
| 域管理员账号 | IT管理用:登录域控制器、管理用户/电脑/组/策略等 |
⚠️ 重要原则:管理员账号仅用于管理,不要用来日常办公。
5.3 创建普通域账号
AD用户和计算机 → 右键 Users → 新建 → 用户
填写:名字、全名、用户登录名(如 zhangsan@contoso.com)、密码
建议勾选"用户下次登录时须更改密码",让员工首次自行设置密码。
5.4 重置密码
用户忘记密码或密码过期时:
右键目标用户 → 重置密码 → 输入新密码 → 勾选"用户下次登录时须更改密码"
如果用户被锁定,勾选"解锁用户账户"。
5.5 禁用/解锁账号
6. 常见问题与解决方案
6.1 信任关系失败
错误提示:
The trust relationship between this workstation and the primary domain failed.
(工作站和主域之间的信任关系失败)
原因:电脑的密码和域控制器上的密码不匹配
解决方法:
方法一:PowerShell(推荐)
# 以管理员打开PowerShell
Test-ComputerSecureChannel
# 如果返回 False,执行修复
Test-ComputerSecureChannel -Repair -Credential (Get-Credential)
# 会弹出凭据窗口,输入域管理员账号
Restart-Computer
方法二:命令行
# 先测试问题
netdom verify 电脑名 /domain:contoso.com
# 如果测试失败,重置密码
netdom resetpwd /server:dc01.contoso.com /userd:administrator /passwordd:*
# 重启
shutdown /r /t 0
6.2 加域时提示"找不到网络路径"
检查清单:
□ 电脑和域控服务器网络是否通?
□ 能否ping通域控服务器?ping dc01.contoso.com
□ DNS设置是否正确?电脑必须使用域控作为DNS
□ 防火墙是否阻止了连接?
解决方法:
1. 检查DNS设置:
控制面板 → 网络和共享中心 → 更改适配器设置
→ 右键网络连接 → 属性 → 双击"Internet协议版本4"
→ 确保使用域控服务器作为DNS
2. 测试网络:
打开命令提示符 → ping dc01.contoso.com
3. 检查服务:
确保"Computer Browser"和"Network Provider"服务在运行
6.3 加域时提示"拒绝访问"
原因:你没有加域的权限
解决方法:
6.4 账户被锁定
原因:密码输入错误次数过多
解决方法:
管理员在 AD 用户和计算机中:
右键用户 → 属性 → 帐户 → 取消勾选"解锁账户"
或者:右键用户 → 禁用帐户 → 再启用帐户
? 提示:可以在账户属性中查看"账户已锁定"状态
6.5 无法删除用户/电脑
原因:可能有保护机制
解决方法:
1. 检查是否受保护:
右键对象 → 属性 → 对象 → 取消勾选"防止意外删除"
2. 检查是否有依赖:
比如用户是否还登录着、是否有服务在用
3. 先禁用再删除:
右键 → 禁用帐户 → 等几分钟 → 再删除
7. 安全建议
7.1 保护管理员账号
✅ 重命名默认的Administrator账号
✅ 设置强密码(16位以上)
✅ 平时不要使用管理员账号
✅ 限制管理员可以登录的电脑
✅ 使用专用管理工作站
7.2 密码策略建议
7.3 KRBTGT密码维护
⚠️ 非常重要!KRBTGT密码关系到整个域的安全
建议:
? 每6个月更换一次(正常维护)
? 发生安全事件后立即更换
? 域控恢复后更换
7.4 定期安全检查
7.5 推荐的账号管理原则
1. 最小权限原则
→ 只给用户必要的权限,不要多给
2. 职责分离原则
→ 一个人不要有太多权限
3. 定期审查原则
→ 定期检查账号和权限,清理不需要的
4. 命名规范原则
→ 账号名要能识别是谁、属于哪个部门
→ 例如:zhangsan_sales(张三,销售部)
附录:常用工具和命令
图形工具
常用命令
# 加域
netdom join computername /domain:contoso.com /userd:admin /passwordd:*
# 退域
netdom remove computername /domain:contoso.com /userd:admin /passwordd:*
# 测试信任关系
netdom verify computername /domain:contoso.com
# 重置电脑密码
netdom resetpwd /server:dc01 /userd:admin /passwordd:*
# 加域
Add-Computer -DomainName "contoso.com" -Credential (Get-Credential)
# 退域
Remove-Computer -UnjoinDomainCredential (Get-Credential)
# 测试安全通道
Test-ComputerSecureChannel
# 重置电脑密码
Reset-ComputerMachinePassword -Credential (Get-Credential)
支付宝微信扫一扫,打赏作者吧~
您阅读本篇文章共花了: 
