AD域控的安装、搭建及使用

一：AD域控制器的安装

1.1：AD主域控制器的安装

准备两台服务器，Windows server 2008、2012、2016等，可以联外网的网络。
步骤如下图：




打开服务器管理器





选择1和2


下一步


安装完毕后点击关闭

安装完毕后，服务器会自动重启

1.2：AD副域控制器的安装

由于副域控制器的设置和主域控制器的设置步骤大体一致，就不细致将步骤了，只说关键步骤

1. 修改计算机名
2. 设置静态IP和DNS
3. 重启服务器
4. 安装AD域，DNS服务角色
5. 将安装好的的AD域服务器提升为控制器
   
   
   
   其他步骤和主域控制器设置一样

二：用户的添加及策略设置

2.1：创建OU（OU就是组织单位，下文用OU 代替）、用户

2.1.1：创建OU

为什么要创建OU呢？最主要的是，方便管理。做域不就是为了方便管理计算机吗？

而创建的OU呢！最好是和公司人员架构表一致，方便把各个部门的人加到对应的用户组里面

而且，因为有OU策略和域策略，对应不同功能。所以像关闭防火墙和关闭更新，都可以在OU上做，单独建立GPO链接到需要应用的OU上，但是成员一定要是计算机对象。可以建立一个叫PC的OU，然后下面再按照部门建立子OU，这样就可以针对所有客户端和部分客户端部署策略了。如果这2项策略链接到域上，可能会影响到成员服务器，这样就太不安全了！所以，是部署OU策略，还是域策略一定要想好。

如何创建OU呢？

请看下图

打开工具，选择用户和计算机
这一步是创建总的OU 的
然后

这一步创建的OU是各个部门的
然后再在技术部这个OU下添加两个OU，用户和用户组

按照公司的架构把OU创建完毕之后，就是添加用户了

2.1.2：添加用户

创建用户的步骤和创建OU 的步骤差不多，看图

这一步是设置用户姓名和登录名的，建议登录名用名字拼音

点击下一步，设置用户登录密码

如果设置的密码过于简单，如：123456。这样子的就会出现下面的报错，这时候就需要修改本地管理员密码策略，怎么修改呢？下面会说到！

2.1.3：创建用户组

这一步的操作和上面基本相同，废话不多说，上图；

2.2.4：用户添加进用户组

创建完用户之后，把用户添加进用户组，方便之后设置的ou组策略生效，
用户添加进用户组有两种方法：一种是，看图：

接下来

然后

上面的是用户添加到组的，下面是组里面添加用户的，看图

然后

2.2：策略设置

常用安全策略

2.2.1 修改密码策略

密码策略，还是看图



上面第三项设置为0是不过期的意思

2.2.2 文件夹重定向

这个需要根据实际情况设置，我在这里举个例子：

2.2.3 用户控制策略

关闭登录需按ctr+alt+del

还是在这里滚轮往下滑，找到用户账户控制看图

2.2.4 防火墙策略关闭本地防火墙

看图

2.2.5 禁止域用户登录其它人的计算机和服务器

2.2.6 磁盘映射

设置需要映射的ou

2.2.7修改本地管理员密码策略

2处密码无法设置需卸载补丁，KB2919355

2.2.8创建OU策略想（下文用GPO代替）

策略设置和上面一样，不过建立这个gpo主要是做磁盘映射的

2.3主域控制器DNS配置

设置DNS转发，这步很重要，不然域内客户端无法上网！！！！！

策略设置完毕后，使用运行gpupdate /force来更新策略

三：灾难恢复

3.1：AD域控角色转移

3.2：AD副域控强制升级为主域控制器