1.检查DNS服务器内的记录是否完备

域控会将自己扮演的角色注册到DNS服务器内，以便让其他计算机能够通过DNS服务器来找到域控，因此先检查DNS服务器内是否已经存在这些记录。需要用域控管理员账户来登录contoso\administrator。

1.1 检查主机记录

控制面板=>系统和安全=>管理工具=>DNS

默认会有一个contoso.com的区域，主机记录表示域控dc1.contoso.com已经正确的将其主机名与IP地址注册到DNS服务器内

如果域控制器已经正确的将角色注册到DNS服务器，应该还会有_tcp_udp等文件夹。单击_tcp文件夹后可以看到数据类型为服务位置（SRV）的_ldap记录，表示dc1.contoso.com已经正确的注册为域控制器。还能看到_gc记录全局编录也是由dc1.contoso.com所扮演。

1.2 排除注册失败的问题

如果域成员本身的设置或者网络问题，会造成无法将数据注册到DNS服务器。
如果有成员计算机的主机与ip没有正确注册到DNS服务器，可以到此机器上运行ipconfig /registerdns来手动注册。完成后，到DNS服务器检查是否已有正确记录，例如server1.contoso.com，ip地址192.168.100.13则坚持区域contoso.com是否有对应的a记录和ip。
如果发现域控制器没有将其扮演的角色注册到DNS服务器，也就是没有_tcp文件夹与记录，到服务器中重启netlogon服务。
我的电脑=>管理=>工具=>服务=>Netlogon=>重新启动

2.创建组织单位与域用户账户

可以将用户账户创建到任何一个容器或组织单位（OU）内，先创建业务部的OU，然后再创建用户。

2.1 创建组织单位

创建Active Directory**快捷方式，点击Active Directory管理中心

Active Directory管理中心=>contoso(本地)=>新建=>组织单位

输入名称，操作虚拟机，输入法存在问题，不能输入中文，使用拼音代替

2.2 创建用户

yewubu=>新建用户

用户UPN登录： 用户可以利用这个域电子邮箱格式相同的名称（[email protected]）来登录域，此名称被成为 User Principal Name(UPN)。此名在林中是唯一的。
用户名SamAccuntName登录： 用户也可以利用此名称（contoso\zhangsan）来登录。其中zhangsan是NetBios名。同一个域中此名称必须是唯一的。Windows NT Windows 98等旧版系统不支持UPN，因此这些计算机上登录时，只能使用此登录名。

2.3 使用新账户登录域

我们使用两种方法登录域

3.利用新用户账户登录域控

除了域Administrators等少数组内的成员外，其他一般域账户默认无法登录到域控上，除非另外开放。

3.1 赋予用户在域控登录权限

一般用户必须在域控上拥有“允许本地登录”的权限，才能在域控上登录。此权限可以用过组策略来开放。控制面板=>系统和安全=>管理工具=>组策略管理

GPEDIT.MSC

计算机配置-策略-windows设置-安全设置-本地策略-用户权限分配-允许本地登录，然后将用户或组加入到列表内

组策略配置完成需要应用到域控才有效，应用方法有三种：