[服务器的AD域.docVIP

AD、DNS服务器配置说明书 文件状态: 草稿 [ ] 已发布 [ √ ] 修订 [ ] 文件标识 (ID) AD、DNS服务器配置说明书 版本 1.0 作者 陆起腾 张亨 发布日期 2013-11-15 目 录 1. AD服务器安装配置 3 1.1 使用Windows命令安装新的Active Directory 3 1.2 管理Active Directory用户和计算机 10 1.2.1 用户管理 10 新建用户帐户 10 重置用户密码 13 移动用户帐户 15 设置登录时间 16 禁用和启用用户帐户 18 删除用户帐户 20 1.2.2 组管理 21 新建组 21 将成员添加到组 23 1.2.3 计算机管理 25 新建计算机帐户 25 将计算机帐户添加到组 27 删除计算机帐户 27 禁用和启用计算机帐户 28 1.2.4 组织单位管理 28 新建组织单位 28 删除组织单元 28 委派对组织单位的控制 29 1.2.5 组策略管理 29 2. DNS服务器配置 32 2.1 安装DNS服务器 32 2.2 DNS与AD集成 32 2.3 将 DNS 服务器配置为使用转发器 33 2.4 添加反向查找区域 33 2.5 设置DNS服务器老化和清理属性 34 AD服务器安装配置 使用Windows命令安装新的Active Directory 运行DCPROMO,系统会自动检测是否安装活动目录域服务二进制文件，如果系统没有安装，将自动安装。出现活动目录安装向导，选择使用高级模式安装。在高级模式下，会有更多的安装选项如域NETBIOS名的更改、从媒体提升安装、安装RODC指定密码复制策略进行安装选择。 选中“使用高级模式安装”，单击“下一步” 操作系统兼容性说明，单击“下一步”。 选择在“新林中建新域”，由于这是森林中的第一台DC，所以我们选择这个选项。点击“下一步” 注意：点击下一步后可能会有报错提示，如下图所示： 报错原因：原来在装系统的时候没有对ADMINISTRATOR管理帐号设置密码,只是在进入系统后利用控制面板添加了密码,在系统由工作组状态转向域主状态的时候系统需要将本地的ADMINISTRATOR转为域管理帐号而此时系统并未对ADMINISTRATOR账户的信息及时更新，通过net user administrator发现其“需要密码”此字段仍为NO的状态即系统依然认为administrator是空密码因此导致升级到域失败。 解决方法： 在cmd中输入如下命令： net user administrator /passwordreq:yes 成功！ 在继续安装，系统操作正常。 在命名林根域窗口，输入目录林根级域的FQDN名：。本机是 计算机检测域的NETBIOS名称，并生成一个默认的名称，可以修改向导产生的默认名称。 在设置林功能级别， 在设置林功能级别时，要根据服务器上装的系统进行选择，由于本服务器上装的是window Server2008，所以选择window Server2008这一项。 在设置域功能级别窗口， 系统会检测是否有已安装好的DNS，由于我们没有安装其它的DNS服务器，系统会在其他域控制器选项中自动钩选DNS服务器。同时由于林中的第一台域控制器必服务必须是全局编录服务器（GC）且不能是只读域控制器（RODC），所以全局编录和只读域控制器（RODC）为不可选择状态。点击“下一步”。 出现“无法创建该DNS服务器委派…..是否继续”提示框，选择是继续安装。 设置活动目录数据库、日志文件、SYSVOL的位置。如果在计算机上安装有RAID或几块磁盘控制器，为了获得更好的性能和可恢复性，建议将数据库、日志文件文件夹指向不同的卷（或磁盘）上。点击“下一步”。 目录还原模式（DSRM）的管理员密码。注意，目录还原模式的管理员密码保存在本台域控制器的本地SAM文件中，而活动目录管理员的密码存放在活动目录数据库中。在2008中目录还原模式的管理员密码必须符合复杂性要求，即不能少于7个字符，由数字、字母、符号组成。 在摘要对话框会出现之前所作的选择。选择导出设置，可以将这些设置导出一个无人职守自动安装的文件。点击下一步开始安装。 安装过程，大概需要20分钟左右。 最后完成安装重启计算机，活动目录安装完成。 管理Active Directory用户和计算机 用户管理 新建用户帐户 打开 Active Directory 用户和计算机，请依次单击“开始”和“控制面板”，然后依次双击“管理工具”和“Active Directory 用户和计算机