碎幻梦灬

文件门户

音乐门户

视频门户

照片门户

百科

图床

Links

友链

AD活动目录的安装、搭建、使用及灾难恢复

2023-8-06 15:42

|

494

|

0

|

Windows服务器,Windows系统

2427 字

|

10 分钟

一：AD域控制器的安装

1.1：AD主域控制器的安装

准备两台服务器，Windows server 2008、2012、2016等，可以联外网的网络。
步骤如下图：

AD活动目录的安装、搭建、使用及灾难恢复 (1).png

AD活动目录的安装、搭建、使用及灾难恢复 (2).png

AD活动目录的安装、搭建、使用及灾难恢复 (3).png

AD活动目录的安装、搭建、使用及灾难恢复 (4).png

打开服务器管理器

AD活动目录的安装、搭建、使用及灾难恢复 (5).png

AD活动目录的安装、搭建、使用及灾难恢复 (6).png

AD活动目录的安装、搭建、使用及灾难恢复 (7).png

AD活动目录的安装、搭建、使用及灾难恢复 (8).png

AD活动目录的安装、搭建、使用及灾难恢复 (9).png

选择1和2

AD活动目录的安装、搭建、使用及灾难恢复 (10).png

AD活动目录的安装、搭建、使用及灾难恢复 (11).png

下一步

AD活动目录的安装、搭建、使用及灾难恢复 (12).png

AD活动目录的安装、搭建、使用及灾难恢复 (13).png

安装完毕后点击关闭

AD活动目录的安装、搭建、使用及灾难恢复 (14).png

AD活动目录的安装、搭建、使用及灾难恢复 (15).png

AD活动目录的安装、搭建、使用及灾难恢复 (16).png

AD活动目录的安装、搭建、使用及灾难恢复 (17).png

AD活动目录的安装、搭建、使用及灾难恢复 (18).png

AD活动目录的安装、搭建、使用及灾难恢复 (19).png

AD活动目录的安装、搭建、使用及灾难恢复 (20).png

AD活动目录的安装、搭建、使用及灾难恢复 (21).png

AD活动目录的安装、搭建、使用及灾难恢复 (22).png

安装完毕后，服务器会自动重启

1.2：AD副域控制器的安装

由于副域控制器的设置和主域控制器的设置步骤大体一致，就不细致将步骤了，只说关键步骤

修改计算机名
设置静态IP和DNS
重启服务器
安装AD域，DNS服务角色
将安装好的的AD域服务器提升为控制器

AD活动目录的安装、搭建、使用及灾难恢复 (24).png

AD活动目录的安装、搭建、使用及灾难恢复 (25).png

其他步骤和主域控制器设置一样

二：用户的添加及策略设置

2.1：创建OU（OU就是组织单位，下文用OU 代替）、用户

2.1.1：创建OU

为什么要创建OU呢？最主要的是，方便管理。做域不就是为了方便管理计算机吗？

而创建的OU呢！最好是和公司人员架构表一致，方便把各个部门的人加到对应的用户组里面

而且，因为有OU策略和域策略，对应不同功能。所以像关闭防火墙和关闭更新，都可以在OU上做，单独建立GPO链接到需要应用的OU上，但是成员一定要是计算机对象。可以建立一个叫PC的OU，然后下面再按照部门建立子OU，这样就可以针对所有客户端和部分客户端部署策略了。如果这2项策略链接到域上，可能会影响到成员服务器，这样就太不安全了！所以，是部署OU策略，还是域策略一定要想好。

如何创建OU呢？

请看下图

打开工具，选择用户和计算机

AD活动目录的安装、搭建、使用及灾难恢复 (26).png

这一步是创建总的OU 的

AD活动目录的安装、搭建、使用及灾难恢复 (27).png

然后

AD活动目录的安装、搭建、使用及灾难恢复 (28).png

这一步创建的OU是各个部门的

AD活动目录的安装、搭建、使用及灾难恢复 (29).png

然后再在技术部这个OU下添加两个OU，用户和用户组

AD活动目录的安装、搭建、使用及灾难恢复 (30).png

按照公司的架构把OU创建完毕之后，就是添加用户了

2.1.2：添加用户

创建用户的步骤和创建OU 的步骤差不多，看图

AD活动目录的安装、搭建、使用及灾难恢复 (31).png

这一步是设置用户姓名和登录名的，建议登录名用名字拼音

AD活动目录的安装、搭建、使用及灾难恢复 (32).png

点击下一步，设置用户登录密码

AD活动目录的安装、搭建、使用及灾难恢复 (33).png

如果设置的密码过于简单，如：123456。这样子的就会出现下面的报错，这时候就需要修改本地管理员密码策略，怎么修改呢？下面会说到！

AD活动目录的安装、搭建、使用及灾难恢复 (34).png

2.1.3：创建用户组

这一步的操作和上面基本相同，废话不多说，上图；

AD活动目录的安装、搭建、使用及灾难恢复 (35).png

AD活动目录的安装、搭建、使用及灾难恢复 (36).png

2.2.4：用户添加进用户组

创建完用户之后，把用户添加进用户组，方便之后设置的ou组策略生效，
用户添加进用户组有两种方法：一种是，看图：

AD活动目录的安装、搭建、使用及灾难恢复 (37).png

接下来

AD活动目录的安装、搭建、使用及灾难恢复 (38).png

然后

AD活动目录的安装、搭建、使用及灾难恢复 (39).png

AD活动目录的安装、搭建、使用及灾难恢复 (40).png

上面的是用户添加到组的，下面是组里面添加用户的，看图

AD活动目录的安装、搭建、使用及灾难恢复 (41).png

然后

AD活动目录的安装、搭建、使用及灾难恢复 (42).png

AD活动目录的安装、搭建、使用及灾难恢复 (43).png

AD活动目录的安装、搭建、使用及灾难恢复 (44).png

AD活动目录的安装、搭建、使用及灾难恢复 (45).png

AD活动目录的安装、搭建、使用及灾难恢复 (46).png

2.2：策略设置

常用安全策略

2.2.1 修改密码策略

密码策略，还是看图

AD活动目录的安装、搭建、使用及灾难恢复 (47).png

AD活动目录的安装、搭建、使用及灾难恢复 (48).png

AD活动目录的安装、搭建、使用及灾难恢复 (49).png

上面第三项设置为0是不过期的意思

2.2.2 文件夹重定向

这个需要根据实际情况设置，我在这里举个例子：

AD活动目录的安装、搭建、使用及灾难恢复 (50).png

AD活动目录的安装、搭建、使用及灾难恢复 (51).png

AD活动目录的安装、搭建、使用及灾难恢复 (52).png

AD活动目录的安装、搭建、使用及灾难恢复 (53).png

2.2.3 用户控制策略

关闭登录需按ctr+alt+del

AD活动目录的安装、搭建、使用及灾难恢复 (54).png

MzQ1NA==,size_16,color_FFFFFF,t_70)
还是在这里滚轮往下滑，找到用户账户控制看图

AD活动目录的安装、搭建、使用及灾难恢复 (55).png

2.2.4 防火墙策略关闭本地防火墙

看图

AD活动目录的安装、搭建、使用及灾难恢复 (56).png

2.2.5 禁止域用户登录其它人的计算机和服务器

AD活动目录的安装、搭建、使用及灾难恢复 (57).png

2.2.6 磁盘映射

AD活动目录的安装、搭建、使用及灾难恢复 (58).png

AD活动目录的安装、搭建、使用及灾难恢复 (59).png

设置需要映射的ou

AD活动目录的安装、搭建、使用及灾难恢复 (60).png

AD活动目录的安装、搭建、使用及灾难恢复 (61).png

2.2.7修改本地管理员密码策略

AD活动目录的安装、搭建、使用及灾难恢复 (62).png

AD活动目录的安装、搭建、使用及灾难恢复 (63).png

AD活动目录的安装、搭建、使用及灾难恢复 (64).png

MzQ1NA==,size_16,color_FFFFFF,t_70)
2处密码无法设置需卸载补丁KB2919355 ,卸载这个补丁还是无法更改的话，卸载KB2928120 或者kb2962486（注：最后一个没有测试过，其他地方看到的）

2.2.8创建OU策略想（下文用GPO代替）

AD活动目录的安装、搭建、使用及灾难恢复 (65).png

AD活动目录的安装、搭建、使用及灾难恢复 (66).png

策略设置和上面一样，不过建立这个gpo主要是做磁盘映射的

2.3主域控制器DNS配置

AD活动目录的安装、搭建、使用及灾难恢复 (67).png

AD活动目录的安装、搭建、使用及灾难恢复 (68).png

AD活动目录的安装、搭建、使用及灾难恢复 (69).png

AD活动目录的安装、搭建、使用及灾难恢复 (70).png

AD活动目录的安装、搭建、使用及灾难恢复 (71).png

设置DNS转发，这步很重要，不然域内客户端无法上网！！！！！

AD活动目录的安装、搭建、使用及灾难恢复 (72).png

AD活动目录的安装、搭建、使用及灾难恢复 (73).png

AD活动目录的安装、搭建、使用及灾难恢复 (74).png

策略设置完毕后，使用运行gpupdate /force来更新策略

三：灾难恢复

3.1：AD域控角色转移（适合在主域控制器还能够使用时，需要升级AD控制器升级系统时的操作），Transfer传送

3.1.1查看控制器和FSMO角色

此时可以看到域控制器只有2台:GDJRD-DC、GDJRS-PDC；查询FSMO角色可以看到5大角色均位于GDJRD-DC域控制器上

AD活动目录的安装、搭建、使用及灾难恢复 (75).png

3.1.2、操作主机

打开服务器管理器---工具-----AD用户和计算机右击“gdjrd.net”域，选择“操作主机”

AD活动目录的安装、搭建、使用及灾难恢复 (76).png

点击“更改”，此时会报如下所示错误

AD活动目录的安装、搭建、使用及灾难恢复 (77).png

3.1.3、更改域控制器

右击“gdjrd.net”，选择“更改域控制器”

AD活动目录的安装、搭建、使用及灾难恢复 (78).png

选中“此域控制器或AD LDS实例”，选中“GDJRD-PDC”，点击“确定”

AD活动目录的安装、搭建、使用及灾难恢复 (79).png

3.1.4、再次操作主机

此时，再次右键“gdjrd.net”,操作主机，再次点击“更改”，未见报错，点击“是”，注意我们此时是在RID选项卡，故转移的仅仅是RID角色，点击是之后，提示已经成功传送了操作主机角色。

AD活动目录的安装、搭建、使用及灾难恢复 (80).png

同理进行PDC主机角色传送

AD活动目录的安装、搭建、使用及灾难恢复 (81).png

还有基础结构主机角色传送

AD活动目录的安装、搭建、使用及灾难恢复 (82).png

打开AD域和信任关系，右击AD域和信任关系，选择“操作主机”

AD活动目录的安装、搭建、使用及灾难恢复 (83).png

传送域命名操作主机角色

AD活动目录的安装、搭建、使用及灾难恢复 (84).png

以管理员身份打开命令提示符窗口，查询FSMO 5大角色迁移状况，可以看到只剩下架构主机角色未迁移。

AD活动目录的安装、搭建、使用及灾难恢复 (85).png

接下来进行架构主机角色迁移，在迁移前需要首先注册schmmgmt.dll，输入命令：regsvr32 schmmgmt.dll，回车后提示注册成功

AD活动目录的安装、搭建、使用及灾难恢复 (86).png

运行窗口中输入mmc并回车，打开控制台1，选择“文件”下拉菜单中的“添加或删除管理单元”，选中“Active Directory架构”点击“添加”

AD活动目录的安装、搭建、使用及灾难恢复 (87).png

AD活动目录的安装、搭建、使用及灾难恢复 (88).png

选中刚添加的AD架构，并右击，选择“更改AD域控制器”

AD活动目录的安装、搭建、使用及灾难恢复 (89).png

选中“此域控制器或AD LDS实例”，选中“GDJRD.NET”，点击“确定”

AD活动目录的安装、搭建、使用及灾难恢复 (90).png

选中刚添加的AD架构，并右击，选择“操作主机”

AD活动目录的安装、搭建、使用及灾难恢复 (91).png

点击“更改”，提示传送成功

AD活动目录的安装、搭建、使用及灾难恢复 (92).png

AD活动目录的安装、搭建、使用及灾难恢复 (93).png

再次进行FSMO角色查询，可以看到5大角色已经全部传送到gdjrd-pdc域控制器上了

AD活动目录的安装、搭建、使用及灾难恢复 (94).png

到此转移结束，并且成功转移了角色，以上问界面版，喜欢命令行的小伙伴们，敬请期待！！！！后续会整理出命令
附带转移成功的图片

AD活动目录的安装、搭建、使用及灾难恢复 (95).png

3.2：AD副域控强制升级为主域控制器（Seize夺取）

3.2.1、利用命令再夺回FSMO 5大角色

以管理员身份打开命令提示符窗口，输入：ntdsutil，回车，然后再输入：？，可以查看该工具的具体命令（此时fsmo 5大角色位于gdjrd-pdc上，我们将其夺回到原有AD上）

AD活动目录的安装、搭建、使用及灾难恢复 (96).png

输入：roles，进入fsmo维护模式，再次输入：？，可以查看维护命令。

说明：Seize夺取，即在主AD已经挂了情况下，辅助AD强制夺取5大角色。Transfer传送，是在原主AD未挂的情况下，传送5大角色到辅助AD，适合AD升级。

AD活动目录的安装、搭建、使用及灾难恢复 (97).png

输入命令：connections回车后，再输入命令：connect to server GDJRD-PDC，当绑定到GDJRD-DC时，输入quit，退出服务器连接进入fsmo维护模式，再次打问号：？查看都有哪些命令可以使用。

AD活动目录的安装、搭建、使用及灾难恢复 (98).png

接下来进行主机角色覆盖，依次执行红色框里的命令

AD活动目录的安装、搭建、使用及灾难恢复 (99).png

选择是

AD活动目录的安装、搭建、使用及灾难恢复 (100).png

接下来进行主机角色传递，Transfer infrastructure master （传送基础结构主机）

AD活动目录的安装、搭建、使用及灾难恢复 (101).png

依次输入红色框框里面的命令

AD活动目录的安装、搭建、使用及灾难恢复 (102).png

当无条命令全部执行完毕之后，输入quit，回车，再次输入quit，回车，退出fsmo维护模式
再使用netdom query fsmo命令进行fsmo 5种角色的查询。可以看到5种角色主机已经成功传送到原有域控制器GDJRD-PDC上
到此角色夺取完成！！！

教程

暂无评论

发送评论编辑评论

Markdown

|´・ω・)ノ

ヾ(≧∇≦*)ゝ

(☆ω☆)

（╯‵□′）╯︵┴─┴

￣﹃￣

(/ω＼)

∠( ᐛ 」∠)＿

(๑•̀ㅁ•́ฅ)

→_→

୧(๑•̀⌄•́๑)૭

٩(ˊᗜˋ*)و

(ノ°ο°)ノ

(´இ皿இ｀)

⌇●﹏●⌇

(ฅ´ω`ฅ)

(╯°A°)╯︵○○○

φ(￣∇￣o)

ヾ(´･･｀｡)ノ"

( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃

(ó﹏ò｡)

Σ(っ °Д °;)っ

( ,,´･ω･)ﾉ"(´っω･｀｡)

╮(╯▽╰)╭

o(*////▽////*)q

＞﹏＜

( ๑´•ω•) "(ㆆᴗㆆ)

颜文字

Emoji

小恐龙

花!