Windows Server 2016 AD域搭建手册
一、域名和IP地址规划
二、活动目录安装
第一部分 安装和部署主AD域
2.1安装操作系统
2.2修改计算机名称和配置固定的IP地址,并配置本地管理员密码
2.2关闭防火墙(步骤略)
2.3安装系统补丁
2.4系统的一些安全设置
2.5 安装和部署Active Directory活动目录
? 1)关闭增强的IE设置
??打开“服务器管理器”-“本地服务器”-“IE增强的安全设置”,
2)服务器管理器-管理-添加角色和功能
2)点下一步
3)保留默认,直接“下一步”
4)选择要部署AD的本地计算机
5)选中“Active Directory域服务”
在“添加角色和功能向导”对话框中点取“添加功能”
选“下一步”安装
6)保持默认,下一步
7)点“下一步”
8)点“安装“
9)安装过程
10)点关闭
11)查看已经安装的AD,提示还要对Active Directory域服务做一些配置
12)单击箭头所指的感叹号图标
13)将此服务器提升为域控制器
14)选中“添加到新林”,并输入之前已经规划好的根域名sozongroup.com。
15)确认林/域级别,这里选择Windows Server 2016级别,并输入管理员密码(此为AD域管理员的密码,必须记住)。
16)下一步
17)这里的NetBIOS名称是自动生成的
18)单击下一步
19)单击下一步
20)安全合规检查,如有任何错误提示,都会影响活动目录服务无法进行,须在部署目录前进行修正。
问题:
域控制器升级的先决条件验证失败。 新建域时,本地 Administrator 帐户将成为域 Administrator 帐户。无法新建域,因为本地 Administrator 帐户密码不符合要求。目前,本地 Administrator 帐户不需要密码。我们建议你使用网络用户命令行工具的 /passwordreq:yes 选项获得该帐户的密码,然后再新建域;否则,域 Administrator 帐户将不需要密码。
处理:给管理员administrator设置一个密码,然后在命令行窗口中,执行如下net user administrator /passwordreq:yes。
再重新检查一下先决条件。如果不行,需要将服务器重启一下。
21)这个安装过程取决于计算机硬件配置,大约需要5~10分钟。完成后,系统需要重启一下。输入管理员密码登录,查看域和计算机全名。
第2部分 ?创建OU和域帐户
1)鼠标右键-sozongroup.com-新建-组织单位,如下;
输入组织单位的名称,如IT
单击“IT”组织单元,在右侧任意空白处选中“新建-用户”,创建域用户,如这里创建一个test的域帐户
由于Windows Server 2016域默认启用了高复杂度的密码策略,所以密码的设置要尽量复杂,长度不能低于8位,且密码须包含大小写字母、特殊符号、数字等。否则会出现如下提示
查看刚创建的IT01帐号
第3部分 ?将用户加入域
1)将终端的DNS地址改为AD主域控制器的IP地址
2)更改用户的计算机名称,尽量与AD域中的域帐户保持一致
然后重启计算机
计算机重启完成后,进入系统,将用户加入到域中。
输入sozongroup.com域管理员的密码,然后点确定
如出现这个画面,表示域加入成功。
点关闭,重新启动计算机
第4部分 用户登录
1)点“切换用户”
2)选其他用户
3)输入用户名it01和登录密码,点右侧小箭头登录
4)点确定修改用户密码(出于安全性考虑,一般管理员会给用户一个公用的初始密码创建用户,用户首次登录时会被要求进行密码更改)
5)输入新的密码,然后点右侧的小箭头进行登录
6)最后,点确定
7)进入用户桌面,查看用户的计算机名称已变成it01.sozongroup.com。
第4部分 ?安装和部署子域
子域部署Active Directory服务的步骤是一样的,下面只列出关键步骤
1)将子域服务器的DNS地址改为父域的IP地址,否则在下面步骤中会无法验证父域。
2)部署操作选择“将新域添加到现有林”,在“选择域类型”处选择子域,父域名输入sozongroup.com,新域名输入kit。然后点“更改”,输入父域的凭据用以验证并将子域加入。这一步是关键。
这里要输入目录恢复还原模式下的密码,一般用不到这个密码。但最好不要忘。
DNS委派要勾选中,默认是勾选的。
然后稍等一会,AD域配置完了,计算机会自动重启。登录系统,查看BAD的域变成kit.sozongroup.com
3)在运行里输入dsa.msc,打开Active Directory用户和计算机管理器
4)在运行里输入dnsmgmt.msc,打开DNS管理器
5)在运行里输入cmd,打开命令行窗口,输入netdom query fsmo查看AD的5个角色,其他RID、结构主机和PDC的角色在子域BAD域控制器上,上面二个是属于林根域的主机,所以要在父域sozongroup域控制器上。
6)在运行窗口里输入dssite.msc,打开Active Directory站点和服务
查看父域sozongroup和子域kit的信任关系。从服务器管理器-工具,打开Active Directory域和信任关系。
这里可以看到目前sozongroup.com下面有一个子域kit.sozongroup.com。右键kit.sozongroup.com,单击属性
可以看到子域与父域是双向信任的并且是可传递的关系。
同样在父域上查看信任关系
7)测试:在子域上创建一个共享文件夹,添加IT01用户的访问权限。
输入用户名称it01,点检查名称
权限给完全控制
在“安全”里也添加用户IT01,权限也给完全控制。
最后,IT01用户登录到父域sozongroup中。
三、共享资源访问
第一部分 从父域访问子域服务器上的共享资源
1)在运行里输入子域控制器的计算机名称\\bad,点确定打开
2)查看服务器共享资源
3)新建一个1024文件
第二部分 从子域访问父域服务器上的共享资源
1)在运行里输入父域控制器的计算机名称\\ win-qno6hmmlf5s,点确定打开
2)查看服务器共享资源
3)新建一个kit001文件
