Windowsserver2008搭建域控服務(wù)器

1、目錄一、搭建域控制器步驟1二、搭建額外域控制器步驟（可搭建多個(gè)額外域控制器）.9三、創(chuàng)建計(jì)算機(jī)賬號(hào)和用戶賬號(hào)15四、將員工電腦加入域21五、將員工電腦退出域23六、組策略-設(shè)置員工登錄域后加入本地管理員組（這樣員工自己可以安裝卸載軟件）27七、組策略員工電腦禁用可移動(dòng)磁盤(pán)30八、組策略密碼復(fù)雜性31九、組策略域控制器不可用時(shí)客戶機(jī)仍可以繼續(xù)登錄31十、域共享文件夾和備份到額外域控制器32一、 搭建域控制器步驟主域控制器（也是DNS服務(wù)器）FERT公司拓?fù)淙缦滤荆侯~外域控制器（也用DNS服務(wù)器）交換機(jī)員工電腦員工電腦員工電腦員工電腦1. DNS前期準(zhǔn)備DNS服務(wù)器對(duì)域來(lái)說(shuō)是不可或缺的，一方面，

2、域中的計(jì)算機(jī)使用DNS域名，DNS需要為域中的計(jì)算機(jī)提供域名解析服務(wù)；另外一個(gè)重要的原因是域中的計(jì)算機(jī)需要利用DNS提供的SRV記錄來(lái)定位域控制器，因此我們?cè)趧?chuàng)建域之前需要先做好DNS的準(zhǔn)備工作。那么究竟由哪臺(tái)計(jì)算機(jī)來(lái)負(fù)責(zé)做DNS服務(wù)器呢？一般工程師有兩種選擇，要么使用域控制器來(lái)做DNS服務(wù)器，要么使用一臺(tái)單獨(dú)的DNS服務(wù)器。這里直接使用域控制器來(lái)做DNS服務(wù)器。2.設(shè)置域控制器的TCP/IP屬性IP地址設(shè)為靜態(tài)，首選DNS設(shè)為127.0.0.13.Win鍵+R 輸入dcpromo，開(kāi)始域控制器的創(chuàng)建閱讀操作兼容性說(shuō)明，單擊下一步按鈕；在“選擇某一部署配置”頁(yè)面中，選擇“在新林中新建域”；在“

3、命名林根域”頁(yè)面輸入目錄林根域的FQDN名，這里命名為;在“選擇林功能級(jí)別”頁(yè)面中選擇林功能級(jí)別；注，以下是各種級(jí)別的支持度。在“其他域控制器選項(xiàng)”頁(yè)面中選擇“DNS服務(wù)器”；設(shè)置數(shù)據(jù)庫(kù)、日志文件和SYSVOL的存儲(chǔ)位置；這里選擇默認(rèn)；在“目錄還原模式的Administrator密碼“頁(yè)中，輸入密碼；在“摘要“頁(yè)，檢查所有的選擇，單擊下一步；開(kāi)始安裝和配置活動(dòng)目錄服務(wù)；安裝完成后單擊“完成”，如下圖所示，服務(wù)器需要重啟；二、 搭建額外域控制器步驟（可搭建多個(gè)額外域控制器）設(shè)置TCP/IP屬性為靜態(tài)IP地址，DNS設(shè)為第一臺(tái)域控制器的IP地址。運(yùn)行Dcpromo，如下圖所示。出現(xiàn)Active D

4、irectory的安裝向?qū)Вc(diǎn)擊下一步繼續(xù)。這次我們選擇創(chuàng)建現(xiàn)有域的額外域控制器，點(diǎn)擊下一步繼續(xù)。輸入域管理員賬號(hào)，用以證明自己有權(quán)限完成額外域控制器的部署。這臺(tái)服務(wù)器將成為域的額外域控制器。Active Directory數(shù)據(jù)庫(kù)的存儲(chǔ)路徑使用默認(rèn)值即可。Sysvol文件夾的存儲(chǔ)路徑也可以使用默認(rèn)值。輸入目錄服務(wù)還原模式的管理員密碼，以后我們從備份還原Active Directory時(shí)可以用到。確認(rèn)所有的設(shè)置無(wú)誤，點(diǎn)擊下一步繼續(xù)。如下圖所示，額外域控制器通過(guò)網(wǎng)絡(luò)從第一個(gè)域控制器那里復(fù)制Active Directory到本機(jī)。Active Directory安裝完畢，點(diǎn)擊完成后額外域控制器會(huì)重新

5、啟動(dòng)，至此，額外域控制器部署結(jié)束。部署完畢后，我們打開(kāi)Active Directory用戶和計(jì)算機(jī)，如下圖所示，我們可以看到額外域控制器已經(jīng)把第一域控制器的Active Directory內(nèi)容復(fù)制了過(guò)來(lái)。檢查第一臺(tái)域控制器上的DNS服務(wù)器，可以看到DNS中已經(jīng)有了Firneze的SRV記錄。至此，部署額外域控制器作為額外域控制器成功完成，從過(guò)程來(lái)看并不復(fù)雜。三、 創(chuàng)建計(jì)算機(jī)賬號(hào)和用戶賬號(hào)創(chuàng)建計(jì)算機(jī)賬號(hào)就是把成員服務(wù)器和用戶使用的客戶機(jī)加入域，這些計(jì)算機(jī)加入域時(shí)會(huì)在Active Directory中創(chuàng)建計(jì)算機(jī)賬號(hào)。這一步可以省略。設(shè)置客戶機(jī)的DNS為域控制器的DNS如下圖所示，在Berlin的計(jì)

6、算機(jī)屬性中切換到“計(jì)算機(jī)名”標(biāo)簽，點(diǎn)擊“更改”。我們選擇讓Berlin隸屬于域，域名是。這時(shí)系統(tǒng)需要我們輸入一個(gè)有權(quán)限在Active Directory中創(chuàng)建計(jì)算機(jī)賬號(hào)的用戶名和口令，我們輸入了域管理員的用戶名和密碼。系統(tǒng)彈出一個(gè)窗口歡迎Berlin加入域，這時(shí)在Florence上打開(kāi)Active Directory用戶和計(jì)算機(jī)，如下圖所示，我們發(fā)現(xiàn)Berlin的計(jì)算機(jī)賬號(hào)已經(jīng)被創(chuàng)建出來(lái)了。創(chuàng)建用戶賬號(hào)創(chuàng)建完計(jì)算機(jī)賬號(hào)后，我們需要為企業(yè)內(nèi)的員工在Active Directory中創(chuàng)建關(guān)聯(lián)的用戶賬號(hào)。首先我們應(yīng)該在Active Directory中利用組織單位展示出企業(yè)的管理架構(gòu)，如下圖所示，我

7、們?yōu)榇蠹已菔疽幌氯绾蝿?chuàng)建一個(gè)組織單位。打開(kāi)Active Directory用戶和計(jì)算機(jī)，選擇新建組織單位。輸入組織單位的名稱(chēng)，點(diǎn)擊確定后一個(gè)組織單位就創(chuàng)建完成了，是不是很簡(jiǎn)單呢。創(chuàng)建了組織單位后，我們就可以在組織單位中創(chuàng)建用戶賬號(hào)了，如下圖所示，我們?cè)谌耸虏康慕M織單位中選擇新建一個(gè)用戶。輸入用戶的姓名及登錄名等參數(shù)，點(diǎn)擊下一步繼續(xù)。輸入用戶密碼，選擇“密碼永不過(guò)期”。點(diǎn)擊完成后我們就可以輕松地創(chuàng)建出一個(gè)用戶賬號(hào)。其實(shí)，用戶賬號(hào)中有很多的配置工作需要做，我們?cè)诤罄m(xù)的課程中會(huì)有一個(gè)專(zhuān)題為大家介紹。四、 將員工電腦加入域設(shè)置員工電腦DNS為域控制器IP。以域管理員的身份登陸右擊“我的電腦”在計(jì)算機(jī)名

8、選項(xiàng)下單擊更改，輸入要加入的域名稱(chēng)；五、 將員工電腦退出域1. 右鍵點(diǎn)擊我的電腦，選擇屬性。步驟閱讀2. 2點(diǎn)擊“更改設(shè)置”。3. 3選擇“屬性”選項(xiàng)卡，點(diǎn)擊“更改”。4. 4彈出“計(jì)算機(jī)名/域更改”選項(xiàng)卡。5. 5隸屬于 選擇“工作組”，輸入 test。6. 6彈出確認(rèn)對(duì)話框。點(diǎn)擊“確認(rèn)”。7. 7輸入 域的管理員用戶和密碼。加入工作組。8. 8重啟電腦。六、 組策略-設(shè)置員工登錄域后加入本地管理員組（這樣員工自己可以安裝卸載軟件）開(kāi)始所有程序組策略管理我們給行政部的臧巖加入本地管理員權(quán)限，在行政部上右鍵，在這個(gè)域中創(chuàng)建GPO并在此處鏈接（C） 設(shè)置名稱(chēng)為“加入本地管理員”，然后在上面點(diǎn)右鍵

9、編輯，找到用戶配置首選項(xiàng)控制面板設(shè)置本地用戶和組，在右面的空白處點(diǎn)右鍵，新建本地組，“操作”選更新，下面選中“添加當(dāng)前用戶”，點(diǎn)應(yīng)用，點(diǎn)確定。然后回到組策略管理，點(diǎn)開(kāi)“行政部”，點(diǎn)擊“本地管理員”，在右邊的“安全篩選”中刪除Authenticated Users。點(diǎn)擊下面的添加，點(diǎn)“高級(jí)”，點(diǎn)“立即查找”，下拉找到“臧巖”，選中“臧巖”，點(diǎn)確定，再點(diǎn)確定。這樣臧巖登錄自己電腦的時(shí)候就具有了本地管理員的權(quán)限。最后win鍵+r，輸入gpupdate /force立即更新組策略七、 組策略員工電腦禁用可移動(dòng)磁盤(pán)開(kāi)始所有程序組策略管理我們給行政部的悟空禁用可移動(dòng)磁盤(pán)，在行政部上右鍵，在這個(gè)域中創(chuàng)建GP

10、O并在此處鏈接（C） 設(shè)置名稱(chēng)為“禁用可移動(dòng)磁盤(pán)”，然后在上面點(diǎn)右鍵編輯，找到計(jì)算機(jī)配置策略管理模板系統(tǒng)可移動(dòng)存儲(chǔ)訪問(wèn)，雙擊右邊的“可移動(dòng)磁盤(pán)：拒絕執(zhí)行權(quán)限”，選中“已啟用”，點(diǎn)確定，下面的“可移動(dòng)磁盤(pán)：拒絕讀取權(quán)限”和“可移動(dòng)磁盤(pán)：拒絕寫(xiě)入權(quán)限”做相同操作。然后回到組策略管理，點(diǎn)開(kāi)“行政部”，點(diǎn)擊“禁用可移動(dòng)磁盤(pán)”，在右邊的“安全篩選”中刪除Authenticated Users。點(diǎn)擊下面的添加，點(diǎn)“高級(jí)”，點(diǎn)“立即查找”，下拉找到“悟空”，選中“悟空”，點(diǎn)確定，再點(diǎn)確定。這樣悟空就不能在自己的電腦上使用可移動(dòng)磁盤(pán)了。最后win鍵+r，輸入gpupdate /force立即更新組策略八、 組

11、策略密碼復(fù)雜性打開(kāi)組策略管理，找到域名下的“Default Domain Policy”，右鍵編輯找到計(jì)算機(jī)配置策略Windows設(shè)置安全設(shè)置帳戶策略密碼策略。如果不設(shè)置密碼復(fù)雜性，可以將“密碼必須符合復(fù)雜性要求”設(shè)置為已禁用。最后win鍵+r，輸入gpupdate /force立即更新組策略九、組策略域控制器不可用時(shí)客戶機(jī)仍可以繼續(xù)登錄打開(kāi)組策略管理，找到域名下的“Default Domain Policy”，右鍵編輯找到計(jì)算機(jī)配置策略Windows設(shè)置安全設(shè)置本地策略安全選項(xiàng)。如果上圖中的這一項(xiàng)設(shè)置“沒(méi)有定義”，則客戶機(jī)可以在域控制器宕機(jī)情況下繼續(xù)無(wú)限次登錄，如果設(shè)置為10次，則客戶機(jī)可以

12、登錄10次。最后win鍵+r，輸入gpupdate /force立即更新組策略十、域共享文件夾和備份到額外域控制器1.域共享文件夾在此我們?cè)O(shè)置行政部的人都可以訪問(wèn)software文件夾。打開(kāi)Active Directory用戶和計(jì)算機(jī)，在Users上右鍵新建組，取名“行政部”，然后將行政部的臧巖和悟空加入到這個(gè)組內(nèi)。在磁盤(pán)上建立一個(gè)文件夾用作共享文件夾，右鍵屬性，共享，點(diǎn)擊“共享（S）”，點(diǎn)擊共享，點(diǎn)完成。點(diǎn)“安全”“高級(jí)”“更改權(quán)限”“添加（D）”“高級(jí)（A）”，點(diǎn)立即查找，找到“行政部”，雙擊，點(diǎn)確定。然后選中“完全控制”，點(diǎn)確定，點(diǎn)確定，點(diǎn)關(guān)閉。員工電腦win鍵+r，輸入域控制器IP，即

13、可訪問(wèn)。2.備份到額外域控制器第一域控制器上的共享文件夾內(nèi)的文檔會(huì)實(shí)時(shí)備份到額外域控制器。當(dāng)然刪除文件時(shí)，額外域控制器上的文件也會(huì)自動(dòng)刪除。首先在第一域控制器建立各部門(mén)共享文件夾，如下圖所示：將Allway Sync10.4.0和NetworkDriveManager復(fù)制到額外域控制器。兩款軟件都為免安裝版。打開(kāi)NetworkDriveManager，點(diǎn)“驅(qū)動(dòng)器”“添加網(wǎng)絡(luò)驅(qū)動(dòng)器”網(wǎng)絡(luò)位置輸入第一域控制器上共享文件夾的地址，設(shè)置驅(qū)動(dòng)器名稱(chēng)，點(diǎn)執(zhí)行，點(diǎn)OK，如下圖：打開(kāi)Allway Sync，將language設(shè)置為中文，點(diǎn)“同步組（Z）”，點(diǎn)“新建同步組”，然后按照下圖操作。之后點(diǎn)下面的“分析”，如果中間有提示，就點(diǎn)“確定”，然后點(diǎn)“同步”，這時(shí)，文件已經(jīng)同步完成了。