Windowsserver2008搭建域控服務(wù)器

1、目錄一、搭建域控制器步驟1二、搭建額外域控制器步驟（可搭建多個(gè)額外域控制器）.9三、創(chuàng)建計(jì)算機(jī)賬號和用戶賬號15四、將員工電腦加入域21五、將員工電腦退出域23六、組策略-設(shè)置員工登錄域后加入本地管理員組（這樣員工自己可以安裝卸載軟件）27七、組策略員工電腦禁用可移動磁盤30八、組策略密碼復(fù)雜性31九、組策略域控制器不可用時(shí)客戶機(jī)仍可以繼續(xù)登錄31十、域共享文件夾和備份到額外域控制器32一、 搭建域控制器步驟主域控制器（也是DNS服務(wù)器）FERT公司拓?fù)淙缦滤荆侯~外域控制器（也用DNS服務(wù)器）交換機(jī)員工電腦員工電腦員工電腦員工電腦1. DNS前期準(zhǔn)備DNS服務(wù)器對域來說是不可或缺的，一方面，

2、域中的計(jì)算機(jī)使用DNS域名，DNS需要為域中的計(jì)算機(jī)提供域名解析服務(wù)；另外一個(gè)重要的原因是域中的計(jì)算機(jī)需要利用DNS提供的SRV記錄來定位域控制器，因此我們在創(chuàng)建域之前需要先做好DNS的準(zhǔn)備工作。那么究竟由哪臺計(jì)算機(jī)來負(fù)責(zé)做DNS服務(wù)器呢？一般工程師有兩種選擇，要么使用域控制器來做DNS服務(wù)器，要么使用一臺單獨(dú)的DNS服務(wù)器。這里直接使用域控制器來做DNS服務(wù)器。2.設(shè)置域控制器的TCP/IP屬性IP地址設(shè)為靜態(tài)，首選DNS設(shè)為127.0.0.13.Win鍵+R 輸入dcpromo，開始域控制器的創(chuàng)建閱讀操作兼容性說明，單擊下一步按鈕；在“選擇某一部署配置”頁面中，選擇“在新林中新建域”；在“

3、命名林根域”頁面輸入目錄林根域的FQDN名，這里命名為;在“選擇林功能級別”頁面中選擇林功能級別；注，以下是各種級別的支持度。在“其他域控制器選項(xiàng)”頁面中選擇“DNS服務(wù)器”；設(shè)置數(shù)據(jù)庫、日志文件和SYSVOL的存儲位置；這里選擇默認(rèn)；在“目錄還原模式的Administrator密碼“頁中，輸入密碼；在“摘要“頁，檢查所有的選擇，單擊下一步；開始安裝和配置活動目錄服務(wù)；安裝完成后單擊“完成”，如下圖所示，服務(wù)器需要重啟；二、 搭建額外域控制器步驟（可搭建多個(gè)額外域控制器）設(shè)置TCP/IP屬性為靜態(tài)IP地址，DNS設(shè)為第一臺域控制器的IP地址。運(yùn)行Dcpromo，如下圖所示。出現(xiàn)Active D

4、irectory的安裝向?qū)Вc(diǎn)擊下一步繼續(xù)。這次我們選擇創(chuàng)建現(xiàn)有域的額外域控制器，點(diǎn)擊下一步繼續(xù)。輸入域管理員賬號，用以證明自己有權(quán)限完成額外域控制器的部署。這臺服務(wù)器將成為域的額外域控制器。Active Directory數(shù)據(jù)庫的存儲路徑使用默認(rèn)值即可。Sysvol文件夾的存儲路徑也可以使用默認(rèn)值。輸入目錄服務(wù)還原模式的管理員密碼，以后我們從備份還原Active Directory時(shí)可以用到。確認(rèn)所有的設(shè)置無誤，點(diǎn)擊下一步繼續(xù)。如下圖所示，額外域控制器通過網(wǎng)絡(luò)從第一個(gè)域控制器那里復(fù)制Active Directory到本機(jī)。Active Directory安裝完畢，點(diǎn)擊完成后額外域控制器會重新

5、啟動，至此，額外域控制器部署結(jié)束。部署完畢后，我們打開Active Directory用戶和計(jì)算機(jī)，如下圖所示，我們可以看到額外域控制器已經(jīng)把第一域控制器的Active Directory內(nèi)容復(fù)制了過來。檢查第一臺域控制器上的DNS服務(wù)器，可以看到DNS中已經(jīng)有了Firneze的SRV記錄。至此，部署額外域控制器作為額外域控制器成功完成，從過程來看并不復(fù)雜。三、 創(chuàng)建計(jì)算機(jī)賬號和用戶賬號創(chuàng)建計(jì)算機(jī)賬號就是把成員服務(wù)器和用戶使用的客戶機(jī)加入域，這些計(jì)算機(jī)加入域時(shí)會在Active Directory中創(chuàng)建計(jì)算機(jī)賬號。這一步可以省略。設(shè)置客戶機(jī)的DNS為域控制器的DNS如下圖所示，在Berlin的計(jì)

6、算機(jī)屬性中切換到“計(jì)算機(jī)名”標(biāo)簽，點(diǎn)擊“更改”。我們選擇讓Berlin隸屬于域，域名是。這時(shí)系統(tǒng)需要我們輸入一個(gè)有權(quán)限在Active Directory中創(chuàng)建計(jì)算機(jī)賬號的用戶名和口令，我們輸入了域管理員的用戶名和密碼。系統(tǒng)彈出一個(gè)窗口歡迎Berlin加入域，這時(shí)在Florence上打開Active Directory用戶和計(jì)算機(jī)，如下圖所示，我們發(fā)現(xiàn)Berlin的計(jì)算機(jī)賬號已經(jīng)被創(chuàng)建出來了。創(chuàng)建用戶賬號創(chuàng)建完計(jì)算機(jī)賬號后，我們需要為企業(yè)內(nèi)的員工在Active Directory中創(chuàng)建關(guān)聯(lián)的用戶賬號。首先我們應(yīng)該在Active Directory中利用組織單位展示出企業(yè)的管理架構(gòu)，如下圖所示，我

7、們?yōu)榇蠹已菔疽幌氯绾蝿?chuàng)建一個(gè)組織單位。打開Active Directory用戶和計(jì)算機(jī)，選擇新建組織單位。輸入組織單位的名稱，點(diǎn)擊確定后一個(gè)組織單位就創(chuàng)建完成了，是不是很簡單呢。創(chuàng)建了組織單位后，我們就可以在組織單位中創(chuàng)建用戶賬號了，如下圖所示，我們在人事部的組織單位中選擇新建一個(gè)用戶。輸入用戶的姓名及登錄名等參數(shù)，點(diǎn)擊下一步繼續(xù)。輸入用戶密碼，選擇“密碼永不過期”。點(diǎn)擊完成后我們就可以輕松地創(chuàng)建出一個(gè)用戶賬號。其實(shí)，用戶賬號中有很多的配置工作需要做，我們在后續(xù)的課程中會有一個(gè)專題為大家介紹。四、 將員工電腦加入域設(shè)置員工電腦DNS為域控制器IP。以域管理員的身份登陸右擊“我的電腦”在計(jì)算機(jī)名

8、選項(xiàng)下單擊更改，輸入要加入的域名稱；五、 將員工電腦退出域1. 右鍵點(diǎn)擊我的電腦，選擇屬性。步驟閱讀2. 2點(diǎn)擊“更改設(shè)置”。3. 3選擇“屬性”選項(xiàng)卡，點(diǎn)擊“更改”。4. 4彈出“計(jì)算機(jī)名/域更改”選項(xiàng)卡。5. 5隸屬于 選擇“工作組”，輸入 test。6. 6彈出確認(rèn)對話框。點(diǎn)擊“確認(rèn)”。7. 7輸入 域的管理員用戶和密碼。加入工作組。8. 8重啟電腦。六、 組策略-設(shè)置員工登錄域后加入本地管理員組（這樣員工自己可以安裝卸載軟件）開始所有程序組策略管理我們給行政部的臧巖加入本地管理員權(quán)限，在行政部上右鍵，在這個(gè)域中創(chuàng)建GPO并在此處鏈接（C） 設(shè)置名稱為“加入本地管理員”，然后在上面點(diǎn)右鍵

9、編輯，找到用戶配置首選項(xiàng)控制面板設(shè)置本地用戶和組，在右面的空白處點(diǎn)右鍵，新建本地組，“操作”選更新，下面選中“添加當(dāng)前用戶”，點(diǎn)應(yīng)用，點(diǎn)確定。然后回到組策略管理，點(diǎn)開“行政部”，點(diǎn)擊“本地管理員”，在右邊的“安全篩選”中刪除Authenticated Users。點(diǎn)擊下面的添加，點(diǎn)“高級”，點(diǎn)“立即查找”，下拉找到“臧巖”，選中“臧巖”，點(diǎn)確定，再點(diǎn)確定。這樣臧巖登錄自己電腦的時(shí)候就具有了本地管理員的權(quán)限。最后win鍵+r，輸入gpupdate /force立即更新組策略七、 組策略員工電腦禁用可移動磁盤開始所有程序組策略管理我們給行政部的悟空禁用可移動磁盤，在行政部上右鍵，在這個(gè)域中創(chuàng)建GP

10、O并在此處鏈接（C） 設(shè)置名稱為“禁用可移動磁盤”，然后在上面點(diǎn)右鍵編輯，找到計(jì)算機(jī)配置策略管理模板系統(tǒng)可移動存儲訪問，雙擊右邊的“可移動磁盤：拒絕執(zhí)行權(quán)限”，選中“已啟用”，點(diǎn)確定，下面的“可移動磁盤：拒絕讀取權(quán)限”和“可移動磁盤：拒絕寫入權(quán)限”做相同操作。然后回到組策略管理，點(diǎn)開“行政部”，點(diǎn)擊“禁用可移動磁盤”，在右邊的“安全篩選”中刪除Authenticated Users。點(diǎn)擊下面的添加，點(diǎn)“高級”，點(diǎn)“立即查找”，下拉找到“悟空”，選中“悟空”，點(diǎn)確定，再點(diǎn)確定。這樣悟空就不能在自己的電腦上使用可移動磁盤了。最后win鍵+r，輸入gpupdate /force立即更新組策略八、 組

11、策略密碼復(fù)雜性打開組策略管理，找到域名下的“Default Domain Policy”，右鍵編輯找到計(jì)算機(jī)配置策略Windows設(shè)置安全設(shè)置帳戶策略密碼策略。如果不設(shè)置密碼復(fù)雜性，可以將“密碼必須符合復(fù)雜性要求”設(shè)置為已禁用。最后win鍵+r，輸入gpupdate /force立即更新組策略九、組策略域控制器不可用時(shí)客戶機(jī)仍可以繼續(xù)登錄打開組策略管理，找到域名下的“Default Domain Policy”，右鍵編輯找到計(jì)算機(jī)配置策略Windows設(shè)置安全設(shè)置本地策略安全選項(xiàng)。如果上圖中的這一項(xiàng)設(shè)置“沒有定義”，則客戶機(jī)可以在域控制器宕機(jī)情況下繼續(xù)無限次登錄，如果設(shè)置為10次，則客戶機(jī)可以

12、登錄10次。最后win鍵+r，輸入gpupdate /force立即更新組策略十、域共享文件夾和備份到額外域控制器1.域共享文件夾在此我們設(shè)置行政部的人都可以訪問software文件夾。打開Active Directory用戶和計(jì)算機(jī)，在Users上右鍵新建組，取名“行政部”，然后將行政部的臧巖和悟空加入到這個(gè)組內(nèi)。在磁盤上建立一個(gè)文件夾用作共享文件夾，右鍵屬性，共享，點(diǎn)擊“共享（S）”，點(diǎn)擊共享，點(diǎn)完成。點(diǎn)“安全”“高級”“更改權(quán)限”“添加（D）”“高級（A）”，點(diǎn)立即查找，找到“行政部”，雙擊，點(diǎn)確定。然后選中“完全控制”，點(diǎn)確定，點(diǎn)確定，點(diǎn)關(guān)閉。員工電腦win鍵+r，輸入域控制器IP，即

13、可訪問。2.備份到額外域控制器第一域控制器上的共享文件夾內(nèi)的文檔會實(shí)時(shí)備份到額外域控制器。當(dāng)然刪除文件時(shí)，額外域控制器上的文件也會自動刪除。首先在第一域控制器建立各部門共享文件夾，如下圖所示：將Allway Sync10.4.0和NetworkDriveManager復(fù)制到額外域控制器。兩款軟件都為免安裝版。打開NetworkDriveManager，點(diǎn)“驅(qū)動器”“添加網(wǎng)絡(luò)驅(qū)動器”網(wǎng)絡(luò)位置輸入第一域控制器上共享文件夾的地址，設(shè)置驅(qū)動器名稱，點(diǎn)執(zhí)行，點(diǎn)OK，如下圖：打開Allway Sync，將language設(shè)置為中文，點(diǎn)“同步組（Z）”，點(diǎn)“新建同步組”，然后按照下圖操作。之后點(diǎn)下面的“分析”，如果中間有提示，就點(diǎn)“確定”，然后點(diǎn)“同步”，這時(shí)，文件已經(jīng)同步完成了。