域，域控制器，活动目录

知识点

描述 内网

指在某一区域内有「多台计算机」「相互连接」组成的局域网，是一个封闭的网络

描述 内网的优点

文件同一管理，软件共享，打印机共享，等等

描述 工作组

不同的计算机按「功能」的不同划分到不同的组当中

例子

财务部的计算机划为一个组，IT部的计算机划为一个组

描述 域

升级版的工作组，在安全上更加严格，用户对域内资源的访问，取决于用户在域当中的权限。

例子 工作组密码的修改 域的作用

如果想给一个工作组（500台电脑）添加一个登录用户，传统的方式是在500台电脑上都添加用户的账号和密码，如果使用「域」就没有那么麻烦

描述 域控制器

储存有整个域的账户，密码，属于这个域当中计算机，服务器的信息的数据库，域内计算机的访问都需要通过他。

类比 门禁 域控制器

门禁控制进入屋里面的人，储存进入门当中人的信息

描述 活动目录

用于储存有关「网络对象」（用户，组，计算机，共享资源，打印机，联系人等）的信息，帮助用户很快的找到相应的信息，提供「集中管理」

类比 字典 活动目录

活动目录就字典前面的索引一样

1.环境

• 区域xhblog.local主域控制器：192.168.61.168(win server 2012)
• 区域xhblog.local辅域控制器：192.168.61.169(win server 2012)
• 区域info.xhblog.local辅域控制器：192.168.61.166(win server 2012)
• 加入域的客户机：192.168.61.153（windowsXP）

2.安装主域控制器

2.1 安装域控制器

• 在「服务器管理」当中点击「添加角色和功能」，在「服务器角色」选择「active director 域服务」，然后一路下一步，最后点击「安装」。
  

2.2 配置域控制器

• 进入域服务配置导向，进入「服务器」选择「AD DS」按下面的步骤「提升域控制器」
  
• 进入「域服务器配置导向」在「部署配置」中，因为是第一台域控制器，所以需要选择「添加新林」，并填写自己的「根域名」
  
• 在「域控制器选项」，输入「密码」
  
• 一路下一步，然后再「先决条件检查」处点击「安装」
  

2.3 验证域控制器安装

• 在「服务器管理」中点击「工具」选择「Active Director 管理中心」
  
• 选择「Domain Controllers」
  
• 此时证明域控制器设置成功
  

3.添加额外域控制器

安装域服务与步骤2是相同的，主要不同的是在

3.1 安装域控制器

参考步骤2.1

3.2 配置域控制器

• 与步骤2.2进入域控制器的方式相同，在「部署配置」中，②选择的是「将域控制器添加到现有（域）」，在③输入上一台域控服务器，④需要添加凭据。⑤输入第一台域控的用户名和密码
  
• 当「部署配置」正确的话可进入到「域控制器选项」，如果错的话会给提示的
  
• 在「先决条件检查」时，如果遇到提示端口被占用，只需要关闭相应的端口即可，相关命令
  

netstat -ano | findstr 端口
tastkkill /PID 端口对应的服务 /T /F

• 如果是克隆的服务器与原始的服务器进行连接的话会SID的问题，
  参考资料：解决“无法完成域加入，原因是试图加入的域的SID与本计算机的SID相同
  
• 解决方法，按下面运行
  
• 别忘了在更新过后修改IP地址
  

3.3 验证域控制器的安装

• 按照2.3的步骤进入到「Active Director 管理中心」
  此时发现已经有两台域控制器了，证明第二台域控制器添加成功
  

4.添加子域

4.1 安装域控制器

参考步骤2.1

4.2 配置域控制器

• 选择「将新域添加到现有林」
  
• 设置好密码
  
• 先决条件没问题后，点击「安装」
  

4.3 验证域控制器的安装

• 在192.168.61.166的服务器上，打开「Active Director 管理中心」，找到「system」，发现父域为受信任域
  
• 在192.168.61.168服务器中，「DNS」中，自动添加了info的委派
  
• 进入父域（192.168.61.169）的「Active Director 管理中心」，找到「system」，发现子域为受信任域
  

5.计算机加入或脱离域

5.1 计算加入域

把windowsXP（192.168.61.153）加入到父域xhblog.local中

• 首先配置「IP」与「DNS服务器」，注意DSN服务器是父域的IP，
  

• 点击「我的电脑」–>「属性」–>「计算机名」
  在步骤④当中，主机会在DNS中寻找域，这就是前面需要配置DNS的原因
  

• 加入成功过后，重启电脑即可
  

• 在父域（xhblog.local)中进入「Active Director 管理中心」找打「computers」就可以发现，windowXP加入到域中的信息。
  

• 在父域中的DNS管理当中，可以发现，主机已经被加入到域当中。
  

• 当windowsXP使用，域管理员登录时，可以查看系统的信息
  

5.2 脱离域

• 在「计算机属性」当中，找到「计算机名」，更改计算机的名或域，在「隶属于」选择工作组，输入‘WORKGROUP’，点击「确定」然后，属于域管理员账户和密码，
  
• 成功「脱离域」过后，需要重启电脑
  
• 在父域的，「Active Director 管理中心」找打「computers」就可以发现，windowXP已经禁用

• 在DNS服务器中已经没有192.168.61.153的信息
  

6.活动目录的创建与管理

6.1 创建组织单位

• 进行域控制管理器
  
• 创建「财务处」组织单位
  

6.2 在组织单位中创建用户账户对象

• 创建组织单位用户
  
• 设置用户的相关信息
  
• 在上面步骤，选择「登录到」可以设置账户可以咋那台计算机登录
  

6.3 在组织单位中新建计算机对象

• 创建计算机对象
  
• 设置可添加计算机对象的user1
  
• 接下来我们就可以通过，步骤5.1，的方式，将要加入域的计算机的名改为「server」，加入的域为「xhblog.local」这样就可以受用user1账户进行添加了
• 此外还可以在user设置中，修改user1的使用时间与可使用的计算机。

6.4使用user1将windows server 2013（server）加入到域

• windows server 2013的IP配置

• 更改windows server 2013的计算机名
  

• 添加成功
  

• 重启计算机，登录到域