Windows server搭建域控服务器.docx
《Windows server搭建域控服务器.docx》由会员分享,可在线阅读,更多相关《Windows server搭建域控服务器.docx(36页珍藏版)》请在冰豆网上搜索。
Windowsserver搭建域控服务器
一、搭建域控制器步骤
FERT公司拓扑如下所示:
1.DNS前期准备
DNS服务器对域来说是不可或缺的,一方面,域中的计算机使用DNS域名,DNS需要为域中的计算机提供域名解析服务;另外一个重要的原因是域中的计算机需要利用DNS提供的SRV记录来定位域控制器,因此我们在创建域之前需要先做好DNS的准备工作。
那么究竟由哪台计算机来负责做DNS服务器呢?
一般工程师有两种选择,要么使用域控制器来做DNS服务器,要么使用一台单独的DNS服务器。
这里直接使用域控制器来做DNS服务器。
2.设置域控制器的TCP/IP属性
IP地址设为静态,首选DNS设为127.0.0.1
3.Win键+R输入dcpromo,开始域控制器的创建
阅读操作兼容性说明,单击下一步按钮;
在“选择某一部署配置”页面中,选择“在新林中新建域”;
在“命名林根域”页面输入目录林根域的FQDN名,这里命名为;
在“选择林功能级别”页面中选择林功能级别;注,以下是各种级别的支持度。
在“其他域控制器选项”页面中选择“DNS服务器”;
设置数据库、日志文件和SYSVOL的存储位置;这里选择默认;
在“目录还原模式的Administrator密码“页中,输入密码;
在“摘要“页,检查所有的选择,单击下一步;
开始安装和配置活动目录服务;
安装完成后单击“完成”,如下图所示,服务器需要重启;
二、搭建额外域控制器步骤(可搭建多个额外域控制器)
设置TCP/IP属性为静态IP地址,DNS设为第一台域控制器的IP地址。
运行Dcpromo,如下图所示。
出现ActiveDirectory的安装向导,点击下一步继续。
这次我们选择创建现有域的额外域控制器,点击下一步继续。
输入域管理员账号,用以证明自己有权限完成额外域控制器的部署。
这台服务器将成为域的额外域控制器。
ActiveDirectory数据库的存储路径使用默认值即可。
Sysvol文件夹的存储路径也可以使用默认值。
输入目录服务还原模式的管理员密码,以后我们从备份还原ActiveDirectory时可以用到。
确认所有的设置无误,点击下一步继续。
如下图所示,额外域控制器通过网络从第一个域控制器那里复制ActiveDirectory到本机。
ActiveDirectory安装完毕,点击完成后额外域控制器会重新启动,至此,额外域控制器部署结束。
部署完毕后,我们打开ActiveDirectory用户和计算机,如下图所示,我们可以看到额外域控制器已经把第一域控制器的ActiveDirectory内容复制了过来。
检查第一台域控制器上的DNS服务器,可以看到DNS中已经有了Firneze的SRV记录。
至此,部署额外域控制器作为额外域控制器成功完成,从过程来看并不复杂。
三、创建计算机账号和用户账号
创建计算机账号就是把成员服务器和用户使用的客户机加入域,这些计算机加入域时会在ActiveDirectory中创建计算机账号。
这一步可以省略。
设置客户机的DNS为域控制器的DNS
如下图所示,在Berlin的计算机属性中切换到“计算机名”标签,点击“更改”。
我们选择让Berlin隶属于域,域名是。
这时系统需要我们输入一个有权限在ActiveDirectory中创建计算机账号的用户名和口令,我们输入了域管理员的用户名和密码。
系统弹出一个窗口欢迎Berlin加入域,这时在Florence上打开ActiveDirectory用户和计算机,如下图所示,我们发现Berlin的计算机账号已经被创建出来了。
创建用户账号
创建完计算机账号后,我们需要为企业内的员工在ActiveDirectory中创建关联的用户账号。
首先我们应该在ActiveDirectory中利用组织单位展示出企业的管理架构,如下图所示,我们为大家演示一下如何创建一个组织单位。
打开ActiveDirectory用户和计算机,选择新建组织单位。
输入组织单位的名称,点击确定后一个组织单位就创建完成了,是不是很简单呢。
创建了组织单位后,我们就可以在组织单位中创建用户账号了,如下图所示,我们在人事部的组织单位中选择新建一个用户。
输入用户的姓名及登录名等参数,点击下一步继续。
输入用户密码,选择“密码永不过期”。
点击完成后我们就可以轻松地创建出一个用户账号。
其实,用户账号中有很多的配置工作需要做,我们在后续的课程中会有一个专题为大家介绍。
四、将员工电脑加入域
设置员工电脑DNS为域控制器IP。
以域管理员的身份登陆
右击“我的电脑”在计算机名选项下单击更改,输入要加入的域名称;
五、将员工电脑退出域
1.右键点击我的电脑,选择属性。
步骤阅读
2.2
点击“更改设置”。
3.3
选择“属性”选项卡,点击“更改”。
4.4
弹出“计算机名/域更改”选项卡。
5.5
隶属于选择“工作组”,输入test。
6.6
弹出确认对话框。
点击“确认”。
7.7
输入域的管理员用户和密码。
加入工作组。
8.8
重启电脑。
六、组策略--设置员工登录域后加入本地管理员组(这样员工自己可以安装卸载软件)
开始—所有程序—组策略管理
我们给行政部的臧岩加入本地管理员权限,在行政部上右键,在这个域中创建GPO并在此处链接(C)…
设置名称为“加入本地管理员”,然后在上面点右键—编辑,
找到用户配置—首选项—控制面板设置—本地用户和组,在右面的空白处点右键,新建本地组,“操作”选更新,下面选中“添加当前用户”,点应用,点确定。
然后回到组策略管理,点开“行政部”,点击“本地管理员”,在右边的“安全筛选”中删除AuthenticatedUsers。
点击下面的添加,点“高级”,点“立即查找”,下拉找到“臧岩”,选中“臧岩”,点确定,再点确定。
这样臧岩登录自己电脑的时候就具有了本地管理员的权限。
最后win键+r,输入gpupdate/force立即更新组策略
七、组策略—员工电脑禁用可移动磁盘
开始—所有程序—组策略管理
我们给行政部的悟空禁用可移动磁盘,在行政部上右键,在这个域中创建GPO并在此处链接(C)…
设置名称为“禁用可移动磁盘”,然后在上面点右键—编辑,
找到计算机配置—策略—管理模板—系统—可移动存储访问,双击右边的“可移动磁盘:
拒绝执行权限”,选中“已启用”,点确定,下面的“可移动磁盘:
拒绝读取权限”和“可移动磁盘:
拒绝写入权限”做相同操作。
然后回到组策略管理,点开“行政部”,点击“禁用可移动磁盘”,在右边的“安全筛选”中删除AuthenticatedUsers。
点击下面的添加,点“高级”,点“立即查找”,下拉找到“悟空”,选中“悟空”,点确定,再点确定。
这样悟空就不能在自己的电脑上使用可移动磁盘了。
最后win键+r,输入gpupdate/force立即更新组策略
八、组策略—密码复杂性
打开组策略管理,找到域名下的“DefaultDomainPolicy”,右键编辑
找到计算机配置—策略—Windows设置—安全设置—帐户策略—密码策略。
如果不设置密码复杂性,可以将“密码必须符合复杂性要求”设置为已禁用。
最后win键+r,输入gpupdate/force立即更新组策略
九、组策略—域控制器不可用时客户机仍可以继续登录
打开组策略管理,找到域名下的“DefaultDomainPolicy”,右键编辑
找到计算机配置—策略—Windows设置—安全设置—本地策略—安全选项。
如果上图中的这一项设置“没有定义”,则客户机可以在域控制器宕机情况下继续无限次登录,如果设置为10次,则客户机可以登录10次。
最后win键+r,输入gpupdate/force立即更新组策略
十、域共享文件夹和备份到额外域控制器
1.域共享文件夹
在此我们设置行政部的人都可以访问software文件夹。
打开ActiveDirectory用户和计算机,在Users上右键新建组,取名“行政部”,然后将行政部的臧岩和悟空加入到这个组内。
在磁盘上建立一个文件夹用作共享文件夹,右键属性,共享,点击“共享(S)…”,点击共享,点完成。
点“安全”—“高级”—“更改权限”—“添加(D)…”—“高级(A)…”,点立即查找,找到“行政部”,双击,点确定。
然后选中“完全控制”,点确定,点确定,点关闭。
员工电脑win键+r,输入\\域控制器IP,即可访问。
2.备份到额外域控制器
第一域控制器上的共享文件夹内的文档会实时备份到额外域控制器。
当然删除文件时,额外域控制器上的文件也会自动删除。
首先在第一域控制器建立各部门共享文件夹,如下图所示:
将AllwaySync10.4.0和NetworkDriveManager复制到额外域控制器。
两款软件都为免安装版。
打开NetworkDriveManager,点“驱动器”—“添加网络驱动器”
网络位置输入第一域控制器上共享文件夹的地址,设置驱动器名称,点执行,点OK,如下图:
打开AllwaySync,将language设置为中文,点“同步组(Z)”,点“新建同步组”,然后按照下图操作。
之后点下面的“分析”,如果中间有提示,就点“确定”,,然后点“同步”,这时,文件已经同步完成了。
下面设置自动同步:
点操作界面的“查看”,点“选项”。
如下图
点“软件共享”--“同步规则”,在“自动同步删除”和“自动同步覆盖”前面打勾。
点应用点确定。
点“同步计划”,设置每隔指定时间同步、在文件变动时同步等等。
点应用点确定。
点“对错误情况的处理”,在“容错策略”—“自动同步”下,全部设置为“跳过”。
在“告警策略”—“自动同步”中,全部设置为“确认”。
点应用,点确定。
注意:
设置完成之后将这两个软件最小化,但是不要关闭。
升级会员 