001.AD域控简介及使用

一 AD概述

1.1 AD简介

域(Domain)是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系。

当一个域与其他域建立了信任关系后，2个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输。

域既是 Windows 网络操作系统的逻辑组织单元，也是Internet的逻辑组织单元，在 Windows 网络操作系统中，域是安全边界。域管理员只能管理域的内部，除非其他的域显式地赋予他管理权限，他才能够访问或者管理其他的域，每个域都有自己的安全策略，以及它与其他域的安全信任关系。

1.2 域的原理

工作组方式使得系统的一切设置在本机上进行，包括各种策略、用户登录，密码也是存放在本机的数据库来验证。若该计算机加入域的话，各种策略是域控制器统一设定，用户名和密码也是放到域控制器去验证，即账号密码可以在同一域的任何一台计算机登录。

“域”的真正含义指的是服务器控制网络上的计算机能否加入的计算机组合。

在“域”模式下，至少有一台服务器负责每一台联入网络的电脑和用户的验证工作，称为“域控制器（Domain Controller，简写为DC）”。

域控制器中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。

当电脑联入网络时，域控制器首先要鉴别这台电脑是否是属于这个域的，用户使用的登录账号是否存在、密码是否正确。

如果以上信息有一样不一致，那么域控制器则拒绝这个用户从这台电脑登录。

1.3 域和组的区别

工作组是一群计算机的集合，它仅仅是一个逻辑的集合，各自计算机各自管理，若要访问其他计算机，需要被访问计算机上来实现用户验证的。

而域是一个有安全边界的计算机集合，在同一个域中的计算机彼此之间已经建立了信任关系，在域内访问其他机器，不再需要被访问机器的许可了。

因为在加入域的时候，管理员为每个计算机在域中（可和用户不在同一域中）建立了一个计算机帐户，这个帐户和用户帐户一样，也有密码（登录凭证，由DC（域控制器）上的KDC服务来颁发和维护）保护的。

域和工作组适用的环境不同，域一般是用在比较大的网络里，工作组则较小，在一个域中需要一台类似服务器的计算机，叫域控服务器，其他电脑如果想互相访问首先都是经过它的。

但是工作组则不同，在一个工作组里的所有计算机都是对等的，也就是没有服务器和客户机之分。

1.4 域的优势

方便管理,权限管理比较集中,可以较好的管理计算机资源。
安全性高,有利于企业的一些保密资料的管理,比如一个文件只能让某一个人或指定人员看,但不可以删/改/移等。
方便对用户操作进行权限设置,可以分发,指派软件等,实现网络内的软件一起安装。
很多服务必须建立在域环境中,对管理员来说有好处:统一管理,方便在MS 软件方面集成,如ISA EXCHANGE(邮件服务器)、ISA SERVER(上网的各种设置与管理)等。
使用漫游账户和文件夹重定向技术,个人账户的工作文件及数据等可以存储在服务器上,统一进行备份、管理,用户的数据更加安全、有保障。
方便用户使用各种资源。
SMS(System Management Server)能够分发应用程序、系统补丁等,用户可以选择安装,也可以由系统管理员指派自动安装。并能集中管理系统补丁(如Windows Updates),不需每台客户端服务器都下载同样的补丁,从而节省大量网络带宽。
资源共享：用户和管理员可以不知道他们所需要的对象的确切名称,但是他们可能知道这个对象的一个或多个属性,他们可以通过查找对象的部分属性在域中得到一个所有已知属性相匹配的对象列表,通过域使得基于一个或者多个对象属性来查找一个对象变得可能。

提示：如上参考 https://zhuanlan.zhihu.com/p/45553448 。

二部署规划准备

2.1 服务器规划

按照如下规划配置主机名（domain前缀）及IP。

服务器名称	描述	IP	DNS	操作系统	备注
adserver.imxhy.com	DNS服务器 AD域控	10.7.11.10	127.0.0.1	Windows Server 2016 R2 DC
nodea	域控服务器	10.7.10.101	10.7.11.10	Windows Server 2016 R2 DC

提示：为便于测试，本环境将所有节点的专用、公用、域网络的防火墙均关闭。

三 DNS服务器安装

dsserver相关IP设置如下。

服务器管理器 -> 添加角色和功能，选择DNS 服务器，下一步：

保持默认。

选择基于角色或基于功能的安装。

选择从服务器池中选择服务器，选择本主机。

勾选DNS服务器。

勾选包括管理工具。

保持默认。

勾选如果需要，自动重新启动目标服务器。

等待安装完成。

如下相关服务已安装完成。

四安装 Active Directory 域服务

服务器管理器 -> 添加角色和功能，选择Active Directory 域服务。

保持默认。

选择基于角色或基于功能的安装。

选择从服务器池中选择服务器，选择本主机。

勾选Active Directory域服务器，包括管理工具。

确认信息，下一步。

保持默认。

确认信息。

确认所选内容，勾选如果需要，自动重新启动目标服务器。

等待安装完成。

确认安装完成。

将此服务器提升为域控制器，进入域控制器服务向导。

弹出 Active Direcotry 域服务配置向导，选择 "添加新林”，输入域名imxhy.com，这个需慎重，FQDN配置完毕之后修改相对麻烦且有风险，并点击 "下一步" 按钮：

注意：如果是第一次搭建，同时也是整个内网中的第一台域控制器，那么需要选择第二项 "在新林中新建域"，第一项是内网中已经存在 AD 环境再想搭建额外域控制器的时候使用的。

设置DSRM密码，默认林中的第一棵域树的根域的域控制器必须担当全局编录服务器和必须安装DNS服务，不能是只读域控制器。

设置"域还原密码"，此密码相当的重要，后续做数据库迁移、备份、整理、恢复的时候都可能用到，需要谨记：

创建DNS委派，跳过即可。

NetBIOS名称，默认即可。

进入AD 域的数据库文件、日志文件和共享文件位置设置页面，此处保持默认设置，点击 "下一步" 按钮：

进入 "摘要" 界面，显示之前设置的摘要信息，点击 "下一步" 按钮：

也可查看详细脚本：

# 用于 AD DS 部署的 Windows PowerShell 脚本

Import-Module ADDSDeployment

Install-ADDSForest `

-CreateDnsDelegation:$false `

-DatabasePath "C:\Windows\NTDS" `

-DomainMode "WinThreshold" `

-DomainName "imxhy.com" `

-DomainNetbiosName "IMXHY" `

-ForestMode "WinThreshold" `

-InstallDns:$true `

-LogPath "C:\Windows\NTDS" `

-NoRebootOnCompletion:$false `

-SysvolPath "C:\Windows\SYSVOL" `

-Force:$true

先决条件检查，通过后即可进行安装。

安装向导进入安装过程。

提示：安装完成后，建议重启服务器。

此时，AD 域服务已经安装完成，ADDS域控制器已经安装完成，在完成域控制器的安装后，系统会自动的将该服务器的用户账号转移到 AD 数据库中。

域控制器 DC 会将自己扮演的角色注册到 DNS 服务器内，以便让其他计算机能够通过 DNS 服务器来找到这台域控制器，因此先检查 DNS 服务器内是否已经存在这些记录。

首先检查域控制器是否已经将其主机名与 IP 地址注册到 DNS 服务器内，本域控制器也扮演DNS服务器，则进入DNS中查看，此处应该会有一个名称为 imxhy.com 的区域，主机(A)记录表示域控制器 dsserver.imxhy.com 已经正确地将其主机名与 IP 地址注册到 DNS 服务器内。DNS 客户端所提出的请求大多是正向解析，即通过 hostname 来解析 IP 地址对应与此处的正向查找区域；通过 IP 来查找 hostname 即为反向解析，对应于此处的反向查找区域。

如果域控制器已经正确地将其扮演的角色注册到 DNS 服务器，则还应该有对应的 _tcp、_udp 等文件夹。在单击 _tcp 文件夹后可以看到如下所示的界面，其中数据类型为服务位置（SRV）的 _ldap 记录，表示 adserver.imxhy.com 已经正确地注册为域控制器。其中的 _gc 记录还可以看出全局编录服务器的角色也是由 adserver.imxhy.com 扮演的。

DNS 区域内包含这些数据后，其他要加入域的计算机就可以通过通过此区域来得知域控制器为 adserver.imxhy.com。这些加入域的成员（域控制器、成员服务器、Windows 8、Windows 7、Windows Vista、Windows XP Professional 等）也会将其主机与 IP 地址数据注册到此区域内。

五域用户创建及加入

5.1 域用户创建

控制面板 -> 管理工具 -> Active Directory 用户和计算机，或者通过服务器管理器进入。

打开AD用户和计算机，新建用户。

设置相关snagforuser01账号及密码。

设置符合一定密码复杂度要求的密码。本示例设置为Sangfor@2021 。

确认信息。

将snagforuser01加入到administrators管理组中。

5.2 加入域控

nodea相关IP设置如下。

高级 -> DNS -> 此连接的 dns 后缀，添加域控的完整名称。

计算机右键 -> 属性 -> 高级系统设置 -> 计算机名 -> 更改

修改计算机名nodea，修改隶属于域：imxhy.com

点确定之后弹出一个输入在域控中建立的用户的用户名和密码。

提示加入成功，加入成功后建议重启计算机。

注意：nodea.imxhy.com等客户端都需要配置相关DNS为172.24.8.35，才能加入域“imxhy.com”。

5.3 服务器配置域帐户管理员

在nodea.imxhy.com计算机继续使用本地管理员administrator登录，分别将“imxhy\sangforuser01”帐户添加为本机管理员，如图所示：

添加——>高级。

输入用户名：sangforuser01，密码：Sangfor@2021 。

将sangforuser01加入到管理员组。

确认添加成功。

注销本地administrator，使用sangforuser01@imxhy.com用户登录，确认已具有管理员权限。

成功登录系统。