1.1 什么是 AD DS
AD DS(Active Directory Domain Services,Active Directory 域服务)是 Windows Server 提供的目录服务,用于存储网络上有关对象的信息,并使管理员和用户能够轻松查找和使用这些信息。
一句话理解:AD DS 就是网络的"电话簿",帮你管理网络中的用户、计算机、打印机等资源。
1.2 AD DS 核心功能
| |
|---|
| 身份认证 | 提供集中统一的用户身份验证(Kerberos、NTLM) |
| 授权管理 | |
| 组策略 | |
| 目录搜索 | |
| 复制服务 | |
1.3 AD DS 数据存储结构
AD DS 采用分层结构存储信息:
林(Forest)
│
┌────────────┴────────────┐
│ │
域(Domain) 域(Domain)
sales.contoso.com hr.contoso.com
│ │
┌──────┴──────┐ ┌────┴────┐
│ │ │ │
用户 计算机 用户 计算机
1.4 AD DS 能解决什么问题
2. AD DS 核心组件
2.1 架构(Schema)
架构是一组规则,定义:
- • 目录中可以有哪些对象(如用户、计算机、打印机)
- • 每个对象有哪些属性(如用户的姓名、邮箱、电话)
形象理解:Schema 就像"户口本格式",规定好了每个人必须有哪些信息。
2.2 全局目录(Global Catalog,GC)
全局目录包含林中每个对象的最常用属性,方便快速搜索。
形象理解:GC 就像书的"索引",找东西特别快。
2.3 复制服务
复制服务用于跨网络分发目录数据,确保所有域控制器数据一致。
复制示意图:
DC1(主数据)←——复制——→ DC2
│ │
└────────复制──────────────┘
DC3、DC4、DC5...
特点:
- • 多主复制:所有 DC 地位平等,都可以接受更改
2.4 查询和索引机制
通过 LDAP(轻量级目录访问协议) 提供目录查询功能:
3. 安装前准备
3.1 系统要求
3.2 网络配置(必须先完成!)
重要:AD DS 依赖 DNS,必须先配置好网络!
IP 配置示例:
┌─────────────────────────────────────┐
│ 网络适配器属性 │
├─────────────────────────────────────┤
│ IP 地址:192.168.1.10(静态) │
│ 子网掩码:255.255.255.0 │
│ 默认网关:192.168.1.1 │
└─────────────────────────────────────┘
3.3 安装前检查清单
在开始安装前,确认以下项目:
3.4 命名规范建议
4. 安装 AD DS 角色
4.1 打开服务器管理器
- 2. 服务器管理器自动启动(如果没有,点击任务栏图标)
4.2 启动添加角色和功能向导
点击 "添加角色和功能"
4.3 选择安装类型
选择 "基于角色或基于功能的安装",点击 "下一步"
4.4 选择目标服务器
4.5 选择服务器角色
勾选 "Active Directory 域服务",点击 "下一步"
4.6 添加功能(可选)
如果需要管理工具,勾选 "AD DS 和 AD LDS 的工具"
4.7 确认安装选择
点击 "安装(I)"
4.8 查看安装进度
等待安装完成...
4.9 安装完成
✅ AD DS 角色安装成功!
点击 "将此服务器提升为域控制器" 继续...
5. 提升为域控制器
5.1 选择部署操作
首次安装,选择 "添加新林",点击 "下一步"
5.2 配置根域名
输入域名(如 contoso.com、corp.local)
注意:域名一旦创建无法重命名,请谨慎选择!
5.3 配置功能级
建议选择 Windows Server 2016 或更高版本。
5.4 配置域控制器选项
┌─────────────────────────────────────────────────────┐
│ 域控制器选项 │
│ ─────────────────────────────────────────────── │
│ │
│ 功能: │
│ ☑ [●] DNS 服务器 (推荐,勾选) │
│ ☑ [●] 全局编录 (第一台 DC 推荐勾选) │
│ │
│ 站点名称(S): │
│ [Default-First-Site-Name____________▼] │
│ │
│ 目录服务还原模式(DSRM)密码: │
│ 密码(P): ●●●●●●●● │
│ 确认密码(C): ●●●●●●●● │
│ │
│ ⚠ 请记住此密码!用于紧急恢复时启动 DC。 │
│ │
│ [下一步(N) >] │
└─────────────────────────────────────────────────────┘
5.5 DNS 选项(如果出现)
如果提示 DNS 委派问题,选择 "继续而不创建 DNS 委派"(内部网络测试环境可以这样选)
5.6 配置其他选项
┌─────────────────────────────────────────────────────┐
│ 其他选项 │
│ ─────────────────────────────────────────────── │
│ │
│ NetBIOS 域名(相对于新域): │
│ [CONTOSO________________] (自动生成) │
│ │
│ 数据库文件夹:C:\Windows\NTDS │
│ 日志文件文件夹:C:\Windows\NTDS │
│ SYSVOL 文件夹:C:\Windows\SYSVOL │
│ │
│ [下一步(N) >] │
└─────────────────────────────────────────────────────┘
保持默认设置,点击 "下一步"
5.7 查看选项摘要
确认所有设置无误,点击 "下一步"
5.8 先决条件检查
如果全部通过,点击 "安装(I)"
5.9 安装完成
✅ AD DS 安装成功! 服务器将自动重启。
6. 验证安装结果
6.1 检查服务器管理器
重启后登录,打开服务器管理器:
6.2 PowerShell 验证命令
以管理员身份打开 PowerShell,运行:
# 检查 AD DS 服务状态
Get-Service-Name NTDS
# 验证域控制器信息
Get-ADDomainController -Identity $env:COMPUTERNAME |
Select-Object Name, Domain, Forest, IsGlobalCatalog, IsPdc
# 获取域信息
Get-ADDomain zzznan.com |
Select-Object DNSRoot, NetBIOSName, DomainMode
预期输出:
6.3 打开 AD 用户和计算机
服务器管理器 → 工具 → Active Directory 用户和计算机
或者运行:
7. 创建用户和组织单位
7.1 创建组织单位(OU)
- 1. 打开 Active Directory 用户和计算机
建议创建的 OU 结构:
contoso.com
├── IT (IT部门)
├── Finance (财务部门)
├── Sales (销售部门)
└── Servers (服务器)
7.2 创建用户账户
根据公司密码策略设置,点击 "完成"
7.3 批量创建用户(PowerShell)
# CSV 格式:SamAccountName,DisplayName,Department,Password
# lisi,李四,IT,P@ssw0rd123!
# wangwu,王五,Finance,P@ssw0rd123!
Import-Csv -Path "C:\Scripts\users.csv" | ForEach-Object {
New-ADUser -Name $_.DisplayName `
-SamAccountName $_.SamAccountName `
-Department $_.Department `
-Enabled $true `
-AccountPassword (ConvertTo-SecureString $_.Password -AsPlainText -Force) `
-Path "OU=IT,DC=contoso,DC=com"
}
8. 组策略基础
8.1 打开组策略管理
或者运行:
8.2 创建 GPO 并链接到 OU
8.3 常见 GPO 配置示例
密码策略
路径:计算机配置 → 策略 → Windows 设置 → 安全设置 → 账户策略 → 密码策略
审核策略
路径:计算机配置 → 策略 → Windows 设置 → 安全设置 → 本地策略 → 审核策略
8.4 刷新组策略
在客户端计算机上以管理员身份运行:
# 强制刷新组策略
gpupdate /force
# 查看策略应用结果
gpresult /r
9. 故障排除
9.1 常见问题及解决方法
| |
|---|
| 重启服务器管理器服务:Restart-Service ServerManager |
| |
| |
| |
9.2 常用诊断命令
# 检查 DNS 解析
nslookup contoso.com
nslookup _ldap._tcp.contoso.com
# 检查复制状态 [双域控使用]
repadmin /showrepl
# 查看 DC 角色
netdom query fsmo
9.3 常见错误代码
附录
官方参考资料
| |
|---|
| https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/get-started/virtual-dc/active-directory-domain-services-overview |
| https://learn.microsoft.com/zh-cn/windows-server/identity/ad-ds/replication/active-directory-replication-concepts |
| https://learn.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2003/cc786438(v=ws.10) |
| https://learn.microsoft.com/zh-cn/previous-versions/windows/it-pro/windows-server-2008-r2-and-2008/cc771568(v=ws.10) |
|
|
常用命令速查
| |
|---|
Get-Service -Name "AD DS" | |
Get-ADDomainController | |
Get-ADDomain | |
New-ADUser | |
gpupdate /force | |
repadmin /replsum | |
支付宝微信扫一扫,打赏作者吧~
您阅读本篇文章共花了: 
