winserver2019安装AD 2016主辅域控实例过程

目录

• 初始化环境
• 一、PDC主域服务器安装
• S1.安装域控功能角色
• 二、BDC部署
• S1、设置IP及DNS
• S2、先加入域，同时修改主机名
• S3、加入域出错处理
• S4、然后安装域控角色
• S6、提升域控角色
• 三、配置计算机重定向
• 四、配置NTP服务器
• 五、创建和管理对象、容器和组织单位（OU）
• S1、梳理组织架构和OU对应
• S2、通过csv文件格式批量创建OU
• 六、批量导入AD用户
• 七、组策略（常用）的使用和推送
• S1、本地管理员重命名
• S2、禁用Guest账户
• S3、禁用USB
• S4、密码复杂度
• S5、统一桌面背景
• S6、禁止客户端自行修改IP
• S7、客户端禁用注册表
• S8、映射网络驱动器
• S9、修改本地管理员密码

初始化环境

一台DELL工作站作为宿主机，安装了VMware workstation 17

虚拟机分配两台windows server2019：8G+4C+60G *2；

宿主机的网段为LAN的其他C类地址：10.6.16.x/23，而NAT8网卡的地址为192.168.52.1

所以VMware里的客户机使用NAT的地址为192.168.52.x/24，网关为192.168.52.2，DNS为192.168.52.2，DHCP为192.168.52.254(缺省的配置，若有需要更改，自行到VM里编辑)

Cmd +Winver查看客户机相关版本配置，建议最好激活下OS，如下：

激活OS：

先把原来新建的AD域角色和DNS角色删除：

服务器管理器—管理—删除角色和功能

注意删除完AD角色需要报域名后缀要改掉：

点击服务器管理器--本地服务器—计算机名（ad.hltfj.com）弹出，点击更改—修改计算机名—点击其他—输入此计算机的主DNS后缀（P）为空，勾选在域成名身份变化时，更改DNS后缀—点确定。

一、PDC主域服务器安装

最好手动设置静态IP地址和DNS：

   IPv4 地址. . . . . . . . . . . . : 192.168.52.136(首选)

   子网掩码 . . . . . . . . . . . . : 255.255.255.0

   获得租约的时间 . . . . . . . . . : 2023年11月7日9:48:04

   租约过期的时间 . . . . . . . . . : 2023年11月7日10:18:03

   默认网关. . . . . . . . . . . . . : 192.168.52.2

   DHCP 服务器. . . . . . . . . . . : 192.168.52.254

   DHCPv6 IAID . . . . . . . . . . . : 83889193

   DHCPv6 客户端DUID . . . . . . . : 00-01-00-01-27-E2-3A-41-00-0C-29-8D-12-59

   DNS 服务器 . . . . . . . . . . . :192.168.52.2

   主WINS 服务器 . . . . . . . . . : 192.168.52.2

   TCPIP 上的NetBIOS . . . . . . . : 已启用

1.此图文因为自动使用了VMware的NAT地址，所以后面的DNS的SRV记录出错。需要重新配置DNS。

2.主域服务器命名为AD。

S1.安装域控功能角色

在“服务器管理器”中点击右上角“管理”→“添加角色和功能” →“Active Directory域服务”。安装后，“服务器管理器”窗口右上角旗帜下会有一个感叹号。点击它，弹出“部署后配置”，点击“将此服务器提升为域控制器”。开始提升域控操作。

在此界面选择“添加新林”→输入域名”it.com”.

输入域的还原密码。R00t@rt

这里系统会自动补全域名，点击下一页

路径保持默认设置，点击下一页

查看选项默认设置

在先决条件检查点击安装

注意，因为在vmware下使用了NAT，所以默认的ad IP为动态NAT获取的，安装完后DNS会被设置为127.0.0.1，这里不需要修改，可以使AD上网。

手动设置ad的ip

192.168.52.200/24 gateway 192.168.52.2

Dns 127.0.0.1 192.168.52.2

二、BDC部署

S1、设置IP及DNS

设置之前规划好的ip，首个DNS设为PDC的IP，第二个DNS指向本机。

S2、先加入域，同时修改主机名

点击服务器管理器—本地服务器—计算机名—更改

修改IP地址的DNS为192.168.52.200 127.0.0.1

S3、加入域出错处理

出现无法加入域的信息，查看错误提示的信息，解决如下：

1.进入ad的DNS管理器—AD—正向查找区域--_msdcs.it.com下—右键新建dc域，再从dc域新建域_tcp域

2.在_tcp目录上右键-新建主机(A)-输入_ldap，ip填入DNS服务器的地址192.168.52.200

3.在_tcp目录下，右键—其他新纪录—SRV（服务位置）--_ldap，---创建一个后缀名为“_tcp.dc._msdcs.domain.org”；指向你的域控制器；

然后即可返回bdc入域

还是出错。

后续继续百度学习，解决如下：

或者（重新安装AD和DNS服务）

重启后：加入域成功

S4、然后安装域控角色

在“服务器管理器”中点击右上角“管理”→“添加角色和功能” →“Active Directory域服务”。具体步骤如下。

在“添加角色和功能向导”界面，保持默认设置，点击“下一步”。

在选择目标服务器界面，保持默认设置，点击下一步

在“选择服务器角色”界面，点击“Active Directory域服务”在弹出来的“添加角色和功能向导”中点击“添加功能”。

设置好后“Active Directory域服务”选项就勾选好了。

在“选择功能”界面，保持默认设置，点击“下一步”。

在“Active Directory域服务” 保持默认设置，点击“下一步”。

在“确认安装所选内容”界面点击“安装”。

等待安装结束关闭向导，不需要重启。

S6、提升域控角色

回到“服务器管理 仪表板”界面点击右上角旗帜，弹出“部署后配置”，点击“将此服务器提升为域控制器”。

在“部署配置”界面，选择“将域控制器添加到现有域”→输入“it.com”（自动填写了）。

注意：请用域管理员账户进行此操作。若非域管理员，请点击“更改”按钮修改账户。

在“域控制器选项”界面，输入域的还原密码点击下一步。R00t@rt

在“DNS选项”界面，保持默认设置，点击“下一步”。

在“其他选项”界面，保持默认设置，点击“下一步”。

在“路径”界面，保持默认设置，点击“下一步”。

在“查看选项”界面，保持默认设置，点击“下一步”。

在“先决条件检查”界面，保持默认设置，点击“下一步”：安装。

等待安装结束。安装结束提示注销重启。

至此，BDC辅助域控安装完成。

三、配置计算机重定向

点击“开始”→“管理工具”→“Active Directory用户和计算机”

右击“it.com”点击“新建”→“组织单位”，命名为：“AllComputer”。

在“开始”→“运行”→“cmd”打开命令行窗口。

在命令行窗口输入：“redircmp ou=AllComputer,dc=it,dc=com”

将加入的计算机重定向到AllComputer中。

四、配置NTP服务器

Win+cmd，输入regedit，找到

打开注册表，找到

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]的Type将其键值改为“NTP”。

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]找到AnnounceFlags键值改为5

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]找到NTPServer键值改为防火墙IP或者其他NTPserver的地址。{注意这里的防火墙需要支持NTPserver的角色，一般sangfor的没有这个功能角色}

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]找到SpecialPollInterval键值为120。每2分钟同步一次。

可以在BDC上查看：

查看时间源命令：w32tm /query /source

查看时间同步状态命令：“w32tm /query /status”

查看时间列表命令：“w32tm /query /peers”

五、创建和管理对象、容器和组织单位（OU）

S1、梳理组织架构和OU对应

根据公司的组织架构

把公司的组织架构按照二级部门来对应AD中的OU（组织单位）

新建公司作为一级OU；

二级部门作为二级OU；

二级OU底下直接为用户了，不做过深的OU，有利于后续管理。

新建如下：

一级OU：合力泰股份（合股份）

二级OU: 信息化部，人力资源部，审计部，投资部，办公室，战略发展部，法务部，管理层，管理会计部，会计核算部，资金部，资产部，综合招采部，组织部

三级OU：信息化部-基础架构处、生产制造处、企业应用处

S2、通过csv文件格式批量创建OU

将OU.csv文件上传至域服务器根目录，以管理员身份运行win+cmd（注意必须以csv分隔符的格式保存文件，否则会出错。）

通过以下命令导入域控相关的OU

导入一级OU：

for /f "skip=1 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%a,DC=it,DC=com"

skip=1指跳过第一行标题，tokens=1-3指取1-3行一级OU的数据

参数含义: skip=1跳过第一行数据 eol=;注释行开始字符为";" tokens=1-9

每次提取1-9个变量 delims=, 分割符号为","

导入二级OU:

for /f "skip=4 eol=;tokens=1-17 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%b,ou=%a,DC=it,DC=com"

skip=4指跳过第一行标题和一级OU，tokens=1-20指取1-3行二级OU的数据

导入三级OU：

for /f "skip=21 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%c,ou=%b,ou=%a,DC=it,DC=com"

skip=21指跳过第一行标题和一级OU和二级OU，tokens=1-3指取1-3行三级OU的数据，c，b，a为一级、二级、三级的变量。

-视频，批量新建OU

六、批量导入AD用户

重点是如何创建表格文件-批量的数据

首先这里我们需要找HR要到员工的信息表，越详细越好，

注：初始密码不能太过于简单，一定要符合密码的复杂性的要求

复制黏贴命令于CMD窗口即可。

="dsadd user "&"""cn="&Sheet1!A2&",ou="&Sheet1!B2&",ou="&Sheet1!C2&Sheet1!D2&Sheet1!E2&Sheet1!F2&Sheet1!G2&""""&" -company "&Sheet1!H2&Sheet1!I2&" "&Sheet1!J2&Sheet1!K2&" "&Sheet1!L2&Sheet1!M2&" "&Sheet1!N2&Sheet1!O2&" "&Sheet1!P2&Sheet1!Q2&" "&Sheet1!R2&Sheet1!S2&" "&Sheet1!T2&Sheet1!U2&" "&Sheet1!V2&Sheet1!W2&" "&Sheet1!X2&Sheet1!Y2&" "&Sheet1!Z2&" "&" "&Sheet1!AA2&" "&Sheet1!AB2&" "&Sheet1!AC2&"  "&Sheet1!AD2&" "&Sheet1!AE2&"  "&Sheet1!AF2&" "&Sheet1!AG2&" "&Sheet1!AH2

七、组策略（常用）的使用和推送

S1、本地管理员重命名

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“账户：重命名系统管理员账户” →输入“hltadmin” →点击“确定”

这样就将原来系统管理员账户administrator改为hltadmin 。

S2、禁用Guest账户

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”

生成策略。右击此策略，点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“帐户：来宾帐户状态” →编辑选择“已禁用”。

S3、禁用USB

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“计算机配置”→“策略”→“管理模板”→“系统”→“可移动存储访问” →“可移动磁盘：拒绝执行权限” →编辑选择“已启用”。

“可移动磁盘存储：拒绝读取权限”设为“已启用”。

“可移动磁盘：拒绝写入权限”设为“已启用”。

设置完成。点击关闭。

S4、密码复杂度

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略，点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“账户策略”→“密码策略”→按上图所示设置策略。

S5、统一桌面背景

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略，点击“编辑”。

“用户配置”→“策略”→“管理模板”→“桌面”→“桌面”→“桌面墙纸”。

路径：\\10.6.100.25\css\10项目实施\1AD域系统\桌面壁纸\win11.jpg

墙纸样式选择：适应。

S6、禁止客户端自行修改IP

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“用户配置”→“管理模板”→“网络”→“网络连接”→“禁止访问LAN连接组件的属性”→选择“已启用”。

S7、客户端禁用注册表

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“用户配置”→“管理模板”→“系统”→“防止访问注册表编辑工具”→选择“已启用”

S8、映射网络驱动器

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“用户配置”→“首选项”→“Windows 设置”→“驱动器映射”→输入网络地址。

在“常用”选项卡中勾选“在登录用户的安全上下文中运行（用户策略选项）”和“项目级别目标”，点击“确定”

S9、修改本地管理员密码

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“脚本（启动/关机）”添加脚本。

到此这篇关于winserver2019安装AD 2016主辅域控实例过程的文章就介绍到这了,更多相关win2019安装AD 2016主辅域控内容请搜索本网站以前的文章或继续浏览下面的相关文章希望大家以后多多支持本网站！

您可能感兴趣的文章:

• windows server 2022 AD域控的搭建教程
• win2016中企业AD域(域控服务器)的安装和配置详细教程