邵长安的个人博客

域是什么？域是一种网络架构，说白话，就是先指定一台计算机当做服务器，企业内其他计算机当客户机。用户登录计算机的帐号密码都必须先在服务器上生成，用户登录的时候，服务器会先验证用户的帐号。这样每个员工单独建立一个帐号，登录计算机的时候服务器有记录，这是一个很好的安全防范意识对不对。而且这个员工帐号只赋予有限的权限，这样可以防止员工安装不必要的软件，还能防范病毒破坏，因为病毒劫持的员工帐号权限太小不能安装流氓软件，安全性大大提高。还可以在服务器上新建组策略，给所有客户机或者指定的客户机安装软件，这样企业IT就不用给每台电脑都打系统补丁，直接一个新建组策略，像群发邮件一样安装软件，比如安装office,pohotshop,等等，当然也能相应的远程卸载软件，不需要到客户机跟前拿移动硬盘拷贝安装，在北京的IT可以给上海的员工远程推送安装软件。还能把域帐号和邮件系统、人事系统、ERP系统、门禁系统关联起来，统一的管理企业信息化。

计算机组织形式：工作组、域。

工作组：不能统一管理、不能集中身份验证。

每个用户和组都有一个SID

cmd:whoami /all查看所有SID

本地安全策略-安全设置-本地策略-用户权限分配：在右边赋予普通用户权限

工作组计算机A访问其他计算机B，优先默认使用A当前用户的帐号和密码访问B，如果匹配不成功，再弹窗提示输入其他帐号密码登录B。

cmd:net user administrator 1234修改administrator帐号密码为1234

wf.msc打开防火墙

\\winserver\c$访问winserver的默认共享

域环境可以解决

一台计算机安装了Active Directory，就变成了Domain Controller

默认域普通用户帐号可以加10台计算机入域。计算机初次加入域的时候建立一个信任密钥，默认40天更新一次信任密钥，自动维护。长期不更新会导致信任丢失，需要重新加入域。Ghost域环境由于SID相同，会引发问题，需要重新生成SID再加入域。

登录验证过程：用户输入帐号密码回车后，netlogon服务使用信任密钥加密传递给域控制器，域控制器使用相应的密钥解密，验证成功后生成两个加密令牌MN，同时传递给客户机，M令牌包含客户机的本地权限，N令牌可以向控制器交换访问其他计算机的权限令牌。如果域控制器失效，登录过客户机的帐号可以继续登录客户机，这个失效登录的次数可以设置。工作组计算机访问域计算机的共享资源，需要明确访问帐号的性质，域帐号 91xueit\zhang 本地帐号 winserver\zhang，其中91xueit为域的名字，winserver为域计算机的名字。

DNS域名解析服务：搭建域环境，需要DNS服务器，可以定位DC域控制器。SRV记录一条指向DC的记录。DNS可以设置两条：优先局域网DNS服务器地址和备用广域网DNS服务器地址。DNS和DC一般安装在同一个计算机上，此时域控制器本地连接DNS需要指向自己。

搭建域环境：

1 本地连接，固定IP地址，DNS指向自己

2 服务器管理-添加角色和功能-选择AD、DC-勾选需要就自动重启

3 通知提示提升为域控制器-选择（添加新林）名称（91xueit.com）（完整域名带com/net）-林功能级别（几个DC功能兼容）设置恢复密码-自动寻找DNS-自动生成NetBIOS:91xueit-SYSVOL文件夹必须放在NTFS分区

4 安装后自动重启登录，计算机变成DC后，本地帐号就没有了。登录帐号变成 91XUEIT\A dministrator

5 检查，打开DNS检查

本地连接DNS改成自己的地址，不是127.0.0.1

dns 查找区域 4+6 项

cmd

net stop netlogon

net start netlogon

自动修复dns查找区域

目录林（大）》目录树91xueit.com（小）/ 并列其他树 51cto.com》子域net.91xueit.com（更小）

6 打开 Active Directory,域控制器计算机在 Domain Controllers 文件夹内。计算机名称附加了91xueit.com

DNS中SRV记录注册

在域控制器上重启 net stop netlogon ; net start netlogon强制域控制器向DNS注册SRV记录

_msdcs.91xueit.com 4个

91xueit.com 6个

正向查找区域-右击创建新区域 _msdcs.91xueit.com - 允许安全更新

正向查找区域-右击创建新区域 91xueit.com - 安全更新

然后重启netlogon服务

如果失败重点检查下面3项

区域允许安全更新

本地连接-IP-DNS下的高级-勾选 在DNS中注册此连接的地址

本地计算机名称要有91xueit.com后缀

加入域：

1 客户机用管理员帐号登录

2 域控制器 - Active Directory - 右击91xueit.com- 新建组织单位-创建部门（销售部）

右击 销售部- 创建用户

3 客户机 - 本地连接 -DNS 修改成本地DNS

4 域控制器 -右击销售部 - 新建计算机 （输入计算机名称）

5 客户机 - 添加域的名称 - 重启

6 右击销售部-新建组-再把帐号拖到新组里

计算机信任丢失后，需要先退出域（加入工作组），然后可以不重启重新加入域以重新家里信任关系。

用户登录名：登录主名： wangrs@91xueit.com

用户登录名(win2000以前版本)：登录名 91xueit\wangrs

把域用户添加到本地管理员组

1 使用域管理员登录客户机

2 右击我的电脑-管理-计算机管理-本地用户和组-用户

3 把域帐号添加到管理员组

在域控制器上打开组策略管理，可见两个项目：Default Domain Policy 、 Default Domain Controller Policy 

Default Domain Policy管理所有的用户和计算机

Default Domain Controller Policy 管理部门用户和计算机

右击新建组策略-软件限制策略-新建哈希规则管理计算机-选择calc.exe

然后把这条规则拖到市场部

客户机 cmd : gpupdate /force 更新组策略、或者重启

每个组策略分2个部分，管理计算机/用户.

组策略部署软件：

1 安装的软件所在文件夹共享为everyone读取，msi格式

2 组策略管理-软件安装-先设置软件包位置：网络位置

3 软件安装-新建-数据包

4 客户机重启安装软件

5 也可以升级软件-新建数据包-选择数据包（已分配）

6 右击升级的软件策略-属性-选项卡 升级- 添加 旧版本-自动显示 替换旧版本

7 重启客户机升级软件

exe软件需要转换成msi软件布置。不建议部署大软件。

8 删除安装的组策略，就是卸载软件组策略

域控制器默认不允许普通帐号登录，组策略管理-Default Domain Controller Policy-用户权限分配-允许本地用户登录-属性里可以添加Domain Users ，然后win r : gpupdate /force 刷新策略，以使普通帐号也可以登录域控制器。

添加备份（附加）域控制器以容错。所有DC也都是DNS，这时客户机DNS也要添加两条DNS。

1 服务器管理-添加角色功能-AD、DNS

2 配置AD-域控制器添加到现有域-默认设置-恢复密码手动设置-复制自（DCServer.91xueit.com 第一个域控制器名字），安装后重启

3 第一个域控制器-AD用户和计算机-Domain Controllers-里面有2个计算机

4 备份域控制器-检查DNS 正向查找区域

5 主域控制器、备份域控制器、客户机都要修改DNS为多个

6 备份域控制器，win r ：mmc ,打开mmc，添加管理单元-AD用户和计算机 添加两个

7 管理单元的AD，更改一个为主域控制器。这时可以对比两个域控制器的信息

创建活动目录站点：活动目录自动复制，设置时间自动复制，先创建站点再创建子网对象

1 主域控制器，打开AD站点和服务，里面有默认的站点名称。修改 Default-First-Site-Name 重命名为 ShangHai 。再右击Site创建新站点 Beijing-选择 IP链接 。再把 备用域控制器拖到 Beijing 站点里面。

2 移动到不同的站点后，不同站点的复制要看连接。点击上面Site的下级Inter-Site Transports 的下级IP。在右边的main窗口中有 DEFAULTIPSITELINK 。打开后可以设置复制的相关选项。

3 IP文件夹内 新建一个连接，再新建一个站点 Guangzhou，然后再到IP内的连接进行设置。

如果相互复制的时间频率一样，就可以只用一个IP连接对这3个站点进行设置。

4 在DNS里可以见到相应的改变

5 Sites 下级 Subnets 右击新建子网，设置网段和站点的对应关系。以使客户机寻找对应的DC。

迁移域控制器

1 需要有旧主域控制器、备份控制器。首先把主域控制器降级（添加角色功能-删除角色功能向导-删除AD，DNS，将域控制器降级，不用选强制删除），这时备份控制器升级为主控制器

主、备份控制器的DNS都有指向同一个域控制器。

2 然后新服务器更改IP和名称加入域，再升级为域控制器。

域中主控

林中：域命名主控、架构主控

域中：PDC主控（同步时间、加快用户密码同步）、RID（安全标识符，用户SID=域SID+RID，默认一次最多分配500个用户幅度，超过500可以分几次创建用户帐号）、基础架构主控

查看主控：打开-AD用户和计算机-右击 91xueit.com - 点击 操作主机 ，有3个选项卡 可见3个主控。

迁移主控：打开-AD域和信任关系-更改域控制器-选择备份域控制器-再右击 域名-操作主机-更改

迁移架构主控：注册 AD架构 管理单元-win r : regsvr32.exe %systemroot%\system32\schmmgmt.dll 注册，然后打开mmc ，添加域架构管理单元。

用命令强制成为主控：

cmd netsutil

cmd roles

cmd connections

cmd connect to server winServer.91xueit.com

cmd quit //连接收退出来

cmd ?  //查看可用命令

cmd seize PDC

cmd seize RID master

cmd seize infrastructure master

cmd seize naming master

cmd seize schena master

cmd quit 

cmd quit

强制删除域控制器：

1 AD用户和计算机：删除那个计算机

2 AD站点和服务-删除那个计算机

3 DNS正向查找区域，检查。

4 被删除的域控制器，断开网线，开机，删除角色，强制删除域控制器。