一、AD域控是什么?
1、AD 域控核心定义:
AD的全称是Active Directory。AD 域控是存储网络中用户账户、计算机、组、策略等对象信息的服务器,是域环境的 “核心大脑”。所有域内设备和用户的身份验证、权限分配都需经过它授权,形成集中化的管理体系。
2、核心功能(3大核心模块)
(1)、身份认证与授权:统一管理域内用户账户密码,支持单点登录(SSO),控制用户对文件、打印机、应用等资源的访问权限。
(2)、资源集中管理:将域内计算机、服务器、共享文件夹等资源统一录入目录,管理员可远程批量管理,无需逐台操作设备。
(3)、组策略(GPO)部署:通过组策略统一推送配置,比如软件安装、系统补丁更新、桌面环境标准化、安全策略(如密码复杂度)。
3、适用场景
主要面向中大型企业、政府机构、校园网等多设备、多用户的网络环境。当需要解决 “多设备分散管理麻烦”“用户权限混乱”“安全策略难统一” 等问题时,AD 域控是核心解决方案。
4、核心价值
(1)提升管理效率:减少管理员逐台维护设备的工作量,批量操作降低运维成本。
(2)强化安全管控:集中管控账号密码、限制非法访问,避免权限滥用和数据泄露。
(3)保障环境一致性:通过组策略实现所有域内设备的配置统一,减少兼容性问题。
以上介绍由AI生成,刚好有个客户信息化改造过程中,启用域控,于是便有了此文,下面开始正式进入部署过程。
二、安装部署
1、环境介绍:
域控服务器01:
操作系统Windows Server 2025 Standard版,修改计算机名为:cnitdog-ad01,IP地址:192.168.25.100/24,DNS服务器主填写为域控服务器02的IP地址,如下图:
域控服务器02:
操作系统Windows Server 2025 Standard版,修改计算机名为:cnitdog-ad02,IP地址:192.168.25.101/24,DNS服务器主填写为域控服务器01的IP地址,如下图:
Windows 11客户端:
Windows 11专业版,修改计算机名为:cnitdog-c01,IP地址:192.168.25.11/24,DNS服务器填写为域控服务器01和02的IP地址,如下图:
2、域控服务器01部署:
打开服务器管理器,选择“添加角色和功能”。
3、勾选Actice Directory 域服务,然后点击“下一页”。
4、选项默认,点击“安装”。
5、安装完成后,点击“将此服务器提升为域控制器”。
6、选择“添加新林”,添加根域名,如cnitdog.com
7、设置DSRM密码(此密码用于备份的同时,也用于第二台域控服务器加入时的密码),如:www.cnitdog.com
8、此时NetBIOS域名为:CNITDOG
9、指定AD DS数据库、日志文件和SYSVOL的位置,按照具体情况进行修改,本次教程选择默认进行演示。
10、其余选项都默认,然后点击“安装”。
11、安装完成后,计算机重启,可以看到已经加域成功。
12、域控服务器02部署:
打开服务器管理器,选择“添加角色和功能”。
13、勾选Actice Directory 域服务,然后点击“下一页”。
14、选项默认,点击“安装”。
15、安装完成后,点击“将此服务器提升为域控制器”。
16、选择“将域控制器添加到现有域”,点击“选择”,输入Administrator@cnitdog.com(注意要带有@cnitdog.com,否则是使用本地用户),并输入密码,然后选择cnitdog.com(此处注意,计算机的DNS服务器要设置为AD01的服务器IP地址,参考上文设置IP地址)。
17、选择完成后,点击“下一页”。
18、设置DSRM密码(与AD01服务器的密码保持一致),如:www.cnitdog.com
19、选择复制自“任何域控制器”。
20、指定AD DS数据库、日志文件和SYSVOL的位置,按照具体情况进行修改,本次教程选择默认进行演示。(建议两台域控服务器存放位置保持一致)
21、其余选项都默认,然后点击“安装”。
22、安装完成后,验证检查两台域控互为冗余是否成功。
(1)打开“Active Directory站点和服务”,查看Server信息,可以看到两台域控服务器。
(2)打开DNS服务器,正向查找区域内的cnitdog.com域名记录内可以看到两个域控服务器的解析信息。
(3)打开“Active Directory用户和计算机”,选择Users,在其中任意一个服务器添加一个用户,等待1分钟左右,在另一台服务器内查看用户是否存在,检查两台域控服务器同步情况。
以上检查通过后,双域控制器互为冗余环境搭建成功。
三、客户端加入域
1、打开设置,选择“帐户”,然后点击“登录工作或学校帐户”。
2、添加工作或学校帐户,点击“连接”。
3、选择“将此设备加入本地Active Directory域”。
4、填写域名“cnitdog.com”,然后点击“下一页”。
5、用户帐户可以使用上文中添加的测试用户帐户,如cnitdog,帐户类型选择“标准用户”,输入密码后,点击“下一页”。
6、根据提示选择“立即重启”。
7、在域控服务器上验证检查客户端是否加入成功。
(1)打开“Active Directory用户和计算机”,选择Computers可以看到Windows 11的客户端加入成功,打开DNS也可以看到对应客户端的解析添加成功。
(2)在Windows 11客户端上打开设置,选择“帐户”。可以看到对应加入域的信息。
至此,Windows 11加入域控服务器完成。
