前言:
在域架構中,最核心的就是DC(Domain Control,域控制器),創建域首先要創建DC,DC創建完成後,把所有的客戶端加入到DC,這樣就形成了域環境。域控制器是由工作組計算機升級而成,通過 dcpromo 命令就可以完成升級。只有Windows Server(WEB版本除外)纔可以提升爲域控制器。在升級DC之前不需要安裝DNS服務,域控制器上必須要有NTFS文件系統的分區。
操作:
下面是windows server2008R2安裝域控步。
第一步:首先,域控器需要固定的ip地址DNS服務器爲自己,由於是在本機中搭建的虛擬機,這裏我設置的網絡是NAT模式。
第二步:win+r,打開運行框,輸入:dcpromo
這裏需要點擊兩次下一步,結束了以後就出現如下界面。
然後它會自動檢查DNS的配置,需要時間,如果你的主機原來沒有安裝DNS的話,它會自動幫你勾選上DNS,然後你點擊下一步就可以了,這時會彈出無法創建DNS服務器的委派,不用管它,直接點擊是即可。
然後這裏會顯示那些系統文件的位置,因爲SYSVOL文件必須得在NTFS文件系統的磁盤上,所以域控服務器必須得有NTFS文件系統的分區。
然後設置一個目錄還原模式Administrator的密碼,注意這裏的賬號和密碼是和域Administrator是不一樣的。
耐心等待即可。
然後需要重啓計算機以完成配置。
重新啓動後,我們檢查下面這些設置是否正確
1:檢查活動別是否正常安裝
2:檢查DNS服務域控制器註冊的SRV記錄
這裏需要注意的是:在計算機成爲域控後,該主機上之前的賬號將全部變爲域賬號,這些賬號將不能以本地登錄方式登錄。成爲域控之後新建的用戶,必須滿足密碼策略。如果成功域控後新建的用戶不屬於administrators組,那這些用戶可以登錄除域控外的 其他域內主機。
域控只允許域控中administrators組內的用戶以 域身份登錄。域控中administrators組內的用戶都是域管理員!
其他主機如何加入域環境?
如果想其他的主機(主機1)加入域中,首先要將主機1的DNS指向域控服務器的IP,並且確保兩者之間能通,因爲這裏是在虛擬機中搭建的域控,並且主機1也是在虛擬機中搭建的,兩者網絡都是NAT模式,所以主機1和域控之間是可以通信的。
然後將主機1的域名修改域對應的名字,這一步稱爲加域。
輸入域控的域管理賬號和密碼。
點擊確定後,重啓主機1
注:當主機1加入域後,系統會自動將域管理員組添加到本地系統管理員組中
如圖:
此時主機1已經成功加入域環境,但是當前登錄的賬號還是主機1的本地賬號,並不是域賬號。
如果是本地的用戶登錄方式爲:
主機名/本地用戶名
win7/administraor
該方式是通過SAM來進行NTLM認證的。
如果是域中的用戶登錄,方式爲:
域名\域用戶名
dc\ykmanager
該方式是通過Kerberos協議進行認證的。
注:在域控上添加的用戶都是域用戶,比如執行:net user ykuser jimolang1231.. /add
此時添加的用戶ykuser默認就是域用戶,可以登錄到域內任何一臺主機的用戶,但是不具備域管理員權限。
如果想在其他域成員主機上添加域用戶,需要在於成員主機上以管理員權限登錄,然後執行以下命令添加域用戶:
net user test 123456 /add /domain 添加域用戶test 密碼爲123456
net group “domain admins” test /add /domain 將域用戶test添加到域管理員組domain admins中