1.了解AD要搭建的环境,了解主机的容量,配置等,还要了解要配置的服务器版本号,比如windows server 2012 r2
2.安装完后,进入系统,设置好IP地址和DNS,(其主要目的是为了到时候查询,反问的时候便于记住),进入配置添加角色.
3.直接下一步到如图,然后安装,就可以了。
如果,要配置的是很多的架构,可以把这个域设置成父域(林),可以把多个域加到这边,其他域称呼为子域。
配置完后,可直接在父域里面加组织架构,用户等,创建组可以在AD的管理中心,
创建组后,可以在组里面添加用户,如图
在组织添加完后的成员一般是登录不了父域的权限的,但是可以通过提权,可以登录,
提权可在(管理工具(或者在控制面板à系统安全那里à点击管理工具))组策略那里设置
在此特别提醒(请不要再本地安全策略那里设置,我就是不知道才到那里查看的,也有该功能,但没有设置的。),如图设置
当打开域是有两个Default Domain是,就要看好你要设置的是哪个,该环境设置的是第二个的,然后右键点击编辑在进入点击策àwindows设置à安全设置,接着是按照上图的指示做就可以给一个用户提权了。
以上是创建AD域后创建组织和用户的,在创建完后的组织或用户可以在DNS(管理工具)中查询是否有(提别提醒原来的策略尽量不要改,可以添加※的策略,而新的策略可以在用户策略或计算机策略都会继承下来)
删除组(个人建议,最好不要删除任何一个组,因为已删除,就相当于把所有的信息删除了)
还原组织单位
接下来,要通过回收站来救回组织单位,双击deleted objects。
用户的权限管理(管理工具à组策略)设置权限点击查看,选择自定义,可限制用户或计算机的权限,还有就是设置每一个用户或计算机的限制,基本都在组策略那里
禁用用户登录本地在本地安全策略,如图,完成后,重新登录是登录不了了。
创建多个域控制器,目的是主控制器瘫痪是,其他的域控制器可以继续工作,不影响
过程是把一个域加入到父域里面首先改名,改ip,创建域的名字流程和上面的一样
知识改改DNS的设置
更改域控制器的设置可在AD用户和计算设置
可以把操作主机转给另一个域中,如图
也可以在AD管理中心更改
域控制器,在组策略中也是唯一一个的,全称英文名字Domain Controllers,(简称DC)
- AD域本地登录(一个普通用户是不能直接登录到本地的AD域的,但是可以通过DC域控制器添加,不过这个一般是不会给一个普通拥护的权利)
- 在AD域里面创建了一个用户或组时,可以在其他的计算机上登录的,但是登录后的界面是普通用户。