目录

• 目录
• 软件环境
• Active Directory域服务
• AD的应用
  • 创建ADDS域
    • 使用Windows窗口来创建ADDS域控制器
    • 使用Powershell来创建ADDS域控制器
  • 检查ADDC域控制器是否安装成功
  • 添加新的管理工具
  • 创建额外域控制器
    • 使用Windows窗口界面来安装额外域控制器
    • 使用Powershell脚本来安装额外域控制器
  • 将计算机加入域
    • 将服务器加入域
    • 脱机加入域
    • 脱离域
  • 删除域控制器或域
    • 使用Windows窗口来删除域控制器或域
  • 域用户和组账户管理
    • 创建组织单位和用户账
  • 用户登录账
    • 用户UPNUser Principal Name登录
    • 用户使用SamAccountName登录
  • 账户的一般管理工作
  • 域账户的属性设置
  • 批量创建域用户
  • 域组账户
  • 域组的创建与删除

软件环境

• Windows 08R2 Enterprise
• AD服务

Active Directory域服务

ADDS(Active Directoory Domain Server)可以提供用于组织、管理与控制 络资源的各种强大功能。目录能够让我们更加简便的去查找所需要的信息。而AD中的目录则是用来存储用户账 、计算机账 等对象，存储这些账 的位置我们称之为目录数据库。AD是一个命名空间，而ADDS则负责命名空间中的目录数据库的存储和增删查改功能。AD域最大的作用在于对登录用户的集中管理，AD域内注册的用户，可以在域内任意一台计算机中通过账 验证来实现登录，而不需要在每一台计算机的SAM中都注册用户信息。

下面是一些关于AD的概念。
命名空间：是一块区域，在这个区域中，我们可以利用某个名字来查看相对应的信息。在ADDS中的AD就是一个命名空间。通过AD，我们可以通过一个对象的名称来查找相关的素有信息。

对象和属性：AD内的资源是以对象的形式存在的，所以AD中有许多不同类型的对象，而对象又是通过属性来描述其特征，也就是说对象本身是一些属性的集合。

在ADDS中以层次结构，将对象、容器、组织单位组合到一起，并存储到AD数据库内。

信任：两个域之间必须创建信任关系，才可以访问对方域内的资源。而一个新的域被加入到域树后，这个域会自动的信任其上一层的父域，同时父域也会自动的信任这个新的子域。这种信任的双向传递性是自动建立的，会通过kerberos来实现。当一个新域加入到域树后，它会自动的双向传递信任域树内的所有域。只要给予新域一些适当的权限，这个新域内的用户就可以访问其他域内的资源。

域树：域树可以包含有多个符合DNS域名空间命名规则的域，在域树内的所有域共享了一个AD数据库，但是在这个AD数据库中，每一个域内只存储了属于该域的数据。

2. RDN它是在DN完整路径中的部分路径，例如上面的DN中，CN=林小洋就是RDN

AD的应用

创建ADDS域

创建ADDS域后，就可以通过ADDS的强大功能来更容易、更有效率的管理 络。在创建ADDS域前需要先安装一台AD服务器，再将其升级为域控制器。

3.选择AD数据库的存储位置
– AD数据库：用来存储AD对象
– 日志文件：存储AD数据库的变动日志
– SYSVOL文件夹：用来存储域文件夹

Step1：搭建DNS服务器
当我们将服务器升级成为域控制器时，会让系统自动在该服务器中安装DNS服务角色，并且系统还会自动在DNS服务器中创建一个支持ADDS的区域。该区域也会自动开启安全动态更新。
具体的DNS安装和使用，点这里

Step2：使用Windows窗口开创建第一个域控制器
将DNS服务器升级成为域控制器，即安装AD域服务。而且因为这是服务器上的第一台域控制器，所以本次升级会同时完成下列操作：
1.新建一个林
2.新建一个域树
3.新建域树中的一个域
4.新建此域中的第一台域控制器
在服务器管理器中添加AD域服务角色，并完成安装。

Step4：选择使用高级设置，点击下一步

Step6：输入新建域的域名，也可以填入DNS已有域的域名。我这里填写DNS服务器中已有得到jmilk.com二级域

Step8：选择 Windows Server 2008 R2的林功能级别

Step10：选择存放AD数据库的路径

Step12：下一步直到手动重启服务。至此ADDS域控制器安装完成。在完成域控制器的安装后，会自动的将该服务器的用户账 转移到AD数据库中。

注意：如果在安装ADDS域控制器之前已经安装了DNS服务的话，需要在DNS服务对应的ADDS域中修改DNS域的类型。

使用Powershell来创建ADDS域控制器

检查ADDC域控制器是否安装成功

Step1：检查DNS服务器内的日志是否完整
查看DNS域jmilk.com是否存在ADDS域控制器所在的HOST的资源记录。

注意：当DNS区域内存在这些记录后，所有加入此域的计算机，就可以通过区域解析功能，来找到ADDC域控制器为dns1.jmilk.com 。

使用nslookup来检查SRV日志：
如果使用nslookup指令能够成功解析_ldap._tcp.dc._msdcs.jmilk.com

检查AD数据库存储文件：
1. 运行：Run –> %systemroot%ntds

例如：我们可以通过事件查看器工具来查看事件日志文件，以便检查任何跟ADDS有关的问题。

2). 输入域dns1域控制器相同的域名jmilk.com(实际上可以输入林中任意一个域名，安装向导只是通过该域名来找到林中所有的域) –> 点击设置，再输入账户凭证

4). 选择额外域控制器的ADDS站点

6). 选择通过 络来从现有的dns1中的域控制器复制数据到dns2上的额外域控制器

使用Powershell脚本来安装额外域控制器

将计算机加入域

Windows系统的计算机加入域后，便可以访问AD数据库和其他资源。例如：用户可以在这些计算机上使用域用户账 来登录域和访问域内的其他计算机内的共享文件夹。即加入到域内的计算机，可以由域控制器内的任意用户登录和访问资源。
注意：加入域的客户端计算机，其计算机的本地账户会默认的自动被创建在容器内，如果希望将此计算机的本地账户放置到指定的容器或组织单位的话，可以事先在该容器或组织单位内创建此计算机的同名账户。

将服务器加入域

Step1：先将服务器的hostname改为ms1，再将ms1加入jmilk.com域，加入域成功后ms1的hostname会自动的改为ms1.jmilk.com。在ms1.jmilk.com加入到域中后，ms1称之为成员服务器。

加入成功

Step2：在域控制器dns1.jmilk.com中的DNS服务加入ms1.jmilk.com的A记录。

脱机加入域

在Win08R2和Win7支持脱机加入域的功能，也就是说在Win7没有 络连接到域控制器的时候，仍然能够通过这个djoin.exe程序来加入到域控制器中。

Step1：在域控制器dns1.jmilk.com中以管理员的身份运行下面的Powershell脚本win7pcSer.ps1

Output：

当HOST win7pc连上 络，可以与域控制器通信时，重启win7pc便可以完成加入域的程序。

删除域控制器或域

你可以通过降级的方式来删除域控制器，也可以将ADDS从域控制器内删除。
如果在同一个域中还存在别的域控制器，则可以将其中一个域控制器降级为成员服务器，以此来删除域控制器。并且域控制器原来的计算机账 汇从Domain Controllers转移到Computers中。

使用Windows窗口来删除域控制器或域

Step1：**运行**Run –> dcpromo 进入AD域服务安装向导
注意：dcpromo /forceremoval为强制删除域控制器

Step2：点击下一步，如果改域控制器是最后一个域控制器时，勾选删除该域

Step4：下一步直到完成删除

域用户和组账户管理

域系统管理员需要为每一个域用户分别创建一个用户账 ，让域用户能够使用这个账 来登录域并访问域中的资源。域系统管理员可以使用AD管理中心和AD计算机和用户管理来创新、管理域用户账 。当用户使用域用户账 登陆到域内的计算机后，就可以访问别的计算机的资源，而不需要在特定的计算机上再次登陆。这就是ADDS的特性之一 —— 单点登录，多处使用

创建组织单位和用户账

创建：在AD目录中右击域名 –> 新建 –> 组织单位

删除：想要删除已经勾选了防止容器被意外删除的组织单位，需要先把勾选去掉。
从管理工具打开AD计算机和用户 –> 点击查看 –> 选择高级功能 –> 右击你希望删除的组织单位名称 –> 选择属性 –> 点击对象标签页 –> 将勾选去掉

设定强密码

管理账户
一般的域账户管理工作能够实现例如：重设密码、移动账户、删除账户、更改登录名称等等。

账户过期设置：设置为2016-12-31日过期

限制用户只能通过某些计算机登录：

批量创建域用户

当我们使用AD计算机和用户管理工具来创建非常多的域用户时，需要进行非常多的重复操作。为了避免这种情况，我们可以使用08R2内置的csvde.exe、ldifde.exe、dsadd.exe 程序来节省你创建用户账户的时间。
1. csvde.exe：用于添加账户、但不能修改和删除账户。可以先将需要添加的账户创建到纯文本内，然后再使用csvde.exe程序将文本内的这些用户一次性导入到AD数据库中。
2. ldifde.exe：可以用于添加、删除、修改账户。
3. dsadd.exe、dsmod.exe、dsrm.exe：分别用于添加、修改、删除用户。这几个程序需要结合批处理程序一起使用。

Example1：创建userOps.bat批处理文件。