windows AD域安装及必要设置

一、安装AD域

运行dcpromo命令，安装AD域。

步骤：

1.win+R

2.dcpromo

图例：

百度百科关于“dcpromo”解释：

dcpromo命令是一个“开关”命令。如果Windows 2000 Server计算机是成员服务器，则 运行dcpromo命令会安装活动目录，将其升级为域控制器；如果Windows 2000 Server计算机 已经是域控制器，则运行dcpromo命令会卸载活动目录，将其降级为成员服务器。

二、常用功能

创建用户、创建组织等等

三、禁用强制密码策略

四、允许创建用户登录

把域控用户添加到、、、、策略。

1、使用VM创建虚拟机，并设置静态IP

使用NAT方式

1）设置Virtual NetWork Editor

需要注意将Use local DHCP service to distribute IP address to VMS 设置为取消选中状态。

点击NAT Settings查看网关IP

2）宿主机设置网络共享

2、windows搭建AD域

请读者参看：

http://wenku.baidu.com/link?url=W4_YpAVc4n8oNT9-afyfJYHpNTZa5TuIjPRLKaOb80sHnsstY9A2xwfeA-V7KhfDwldJ7hWHGovGO3TWancQLPNcm-MMazaSaffZgWgN-YG

3、Linux加入AD域

1.  
   yum install krb5-libs krb5-devel pam_krb5 krb5-workstation krb5-auth-dialog
2.  
   yum install samba-winbind samba samba-common samba-client samba-winbind-clients

1）修改DNS

（1）      编辑网卡配置文件/etc/sysconfig/network-scripts/ifcfg-eth0，添加DNS为AD域服务器地址，如：DNS1=192.168.56.10，其中192.168.56.10是AD域服务器IP。

（2）      编辑/etc/sysconfig/network更改主机名: 更改为长主机名，主机名加域名：例如域：domian.com,更改后的主机名host.domian.com.

（3）      执行service network restart，重启网络。

（4）      以上操作完成后，在命令行执行ping domain.com应该可以ping通，其中domain.com是AD域的域名。如果ping不通，请检查防火墙以及DNS的配置。

2）时间同步

请读者参看http://blog.csdn.net/ablo_zhou/article/details/5658916

3）加域

（1）setup命令

（2）

（3）

（4） 这里选择/bin/bash

（5）

（6） 成功后将会显示如下提示：

（7）      编辑/etc/samba/smb.conf，修改如下一行，可以实现登录时不需要输入域名 winbind use default domain = true

（8）      启动相关服务并设置开机自启动，执行如下命令：

Service smb start

Chkconfig smb on

4）测试加域是否成功

（1） # wbinfo –t ##测试RPC通讯，提示succeeded表示成功

cheTEST the trust secret for domain DOMAIN via RPC calls succeeded

（2）# wbinfo -u ##查看域用户
          DOMAIN\guest
          DOMAIN\administrator
          DOMAIN\krbtgt
          DOMAIN\barlowliu
          ……以下省略……

（3） ##如果如上，则读取正常

（4）# wbinfo -g ##查看域组
          DOMAIN\domain computers
          DOMAIN\cert publishers
          DOMAIN\domain users
          DOMAIN\domain guests
          DOMAIN\ras and ias servers
          DOMAIN\domain admins
          DOMAIN\schema admins
          DOMAIN\enterprise admins
          ……以下省略……

上述两个命令执行后如果可以看到域中的用户和组则正常。如果提示如下，则表示与域控制器同步还未完成。

（5）测试ntlm组件

// 关闭防火墙

ntlm_auth --username=administrator
           password: ##输入用户密码
           NT_STATUS_OK: Success (0x0)
 （6）验证代域
           # net ads testjoin
           Join is OK

4.   创建共享目录，即用户家目录

（1） 创建用户家目录，在此以/apps为例，具体目录可以自己规定，注意/etc/samba/smb.conf配置文件也要相应的改变，并要把家目录设为共享目录，

共享目录设置请参考nfs文件共享

mkdir /apps

chmod 777 /apps

（2） 编辑文件/etc/samba/smb.conf，在[global]添加如下几行：

template homedir = /apps/%D/%U

follow symlinks = yes

wide links = yes

unix extensions = no

在[homes]下添加如下几行：

[homes]

comment = Home Directories

read only = no

writeable = yes

（3）编辑/etc/pam.d/system-auth以及/etc/pam.d/sshd，两个文件中都加入如下一行：

session required pam_mkhomedir.so skel=/etc/skel umask=0077

（4）启动相关服务，执行如下三个命令

service smb restart

（5） 测试家目录是否可以成功创建，在命令行su成AD域用户jhadmin，在家目录/apps/domain下查看是否创建用户的家目录（与jhadmin同名的目录），

如果成功创建，则相关配置正确。

5.  解决uid不同问题

将以下内容拷贝到/etc/samba/smb.conf的[global]中

idmap uid =20000-29999

idmap gid =20000-29999

idmap config domain:backend= rid

idmap config domain:range  = 20000000-29999999 注意:domain(为短域名大写)

winbind enum users =yes

winbind enum groups= yes

winbind separator =+

注：如果uid仍不统一，则需要清理samba数据库：rm –rf /var/lib/samba/*.tdb，然后重新加域。

6. 使用域账户直接登录

重新启动linux，账户名输入域账户，传统为HADOOP\user  ，经过上述配置读者可以直接使用用户名称，而不用再加短域名。