初始化環(huán)境

一臺(tái)DELL工作站作為宿主機(jī)，安裝了VMware workstation 17

虛擬機(jī)分配兩臺(tái)windows server2019：8G+4C+60G *2；

宿主機(jī)的網(wǎng)段為L(zhǎng)AN的其他C類地址：10.6.16.x/23，而NAT8網(wǎng)卡的地址為192.168.52.1

所以VMware里的客戶機(jī)使用NAT的地址為192.168.52.x/24，網(wǎng)關(guān)為192.168.52.2，DNS為192.168.52.2，DHCP為192.168.52.254(缺省的配置，若有需要更改，自行到VM里編輯)

Cmd +Winver查看客戶機(jī)相關(guān)版本配置，建議最好激活下OS，如下：

激活OS：

先把原來新建的AD域角色和DNS角色刪除：

服務(wù)器管理器—管理—刪除角色和功能

注意刪除完AD角色需要報(bào)域名后綴要改掉：

點(diǎn)擊服務(wù)器管理器--本地服務(wù)器—計(jì)算機(jī)名（ad.hltfj.com）彈出，點(diǎn)擊更改—修改計(jì)算機(jī)名—點(diǎn)擊其他—輸入此計(jì)算機(jī)的主DNS后綴（P）為空，勾選在域成名身份變化時(shí)，更改DNS后綴—點(diǎn)確定。

一、PDC主域服務(wù)器安裝

最好手動(dòng)設(shè)置靜態(tài)IP地址和DNS：

   IPv4 地址. . . . . . . . . . . . : 192.168.52.136(首選)

   子網(wǎng)掩碼  . . . . . . . . . . . . : 255.255.255.0

   獲得租約的時(shí)間  . . . . . . . . . : 2023年11月7日9:48:04

   租約過期的時(shí)間  . . . . . . . . . : 2023年11月7日10:18:03

   默認(rèn)網(wǎng)關(guān). . . . . . . . . . . . . : 192.168.52.2

   DHCP 服務(wù)器. . . . . . . . . . . : 192.168.52.254

   DHCPv6 IAID . . . . . . . . . . . : 83889193

   DHCPv6 客戶端DUID  . . . . . . . : 00-01-00-01-27-E2-3A-41-00-0C-29-8D-12-59

   DNS 服務(wù)器  . . . . . . . . . . . :192.168.52.2

   主WINS 服務(wù)器  . . . . . . . . . : 192.168.52.2

   TCPIP 上的NetBIOS  . . . . . . . : 已啟用

1.此圖文因?yàn)樽詣?dòng)使用了VMware的NAT地址，所以后面的DNS的SRV記錄出錯(cuò)。需要重新配置DNS。

2.主域服務(wù)器命名為AD。

S1.安裝域控功能角色

在“服務(wù)器管理器”中點(diǎn)擊右上角“管理”→“添加角色和功能” →“Active Directory域服務(wù)”。安裝后，“服務(wù)器管理器”窗口右上角旗幟下會(huì)有一個(gè)感嘆號(hào)。點(diǎn)擊它，彈出“部署后配置”，點(diǎn)擊“將此服務(wù)器提升為域控制器”。開始提升域控操作。

在此界面選擇“添加新林”→輸入域名”it.com”.

輸入域的還原密碼。R00t@rt

這里系統(tǒng)會(huì)自動(dòng)補(bǔ)全域名，點(diǎn)擊下一頁

路徑保持默認(rèn)設(shè)置，點(diǎn)擊下一頁

查看選項(xiàng)默認(rèn)設(shè)置

在先決條件檢查點(diǎn)擊安裝

注意，因?yàn)樵趘mware下使用了NAT，所以默認(rèn)的ad IP為動(dòng)態(tài)NAT獲取的，安裝完后DNS會(huì)被設(shè)置為127.0.0.1，這里不需要修改，可以使AD上網(wǎng)。

手動(dòng)設(shè)置ad的ip

192.168.52.200/24 gateway 192.168.52.2

Dns 127.0.0.1 192.168.52.2

二、BDC部署

S1、設(shè)置IP及DNS

設(shè)置之前規(guī)劃好的ip，首個(gè)DNS設(shè)為PDC的IP，第二個(gè)DNS指向本機(jī)。

S2、先加入域，同時(shí)修改主機(jī)名

點(diǎn)擊服務(wù)器管理器—本地服務(wù)器—計(jì)算機(jī)名—更改

修改IP地址的DNS為192.168.52.200 127.0.0.1

S3、加入域出錯(cuò)處理

出現(xiàn)無法加入域的信息，查看錯(cuò)誤提示的信息，解決如下：

1.進(jìn)入ad的DNS管理器—AD—正向查找區(qū)域--_msdcs.it.com下—右鍵新建dc域，再?gòu)膁c域新建域_tcp域

2.在_tcp目錄上右鍵-新建主機(jī)(A)-輸入_ldap，ip填入DNS服務(wù)器的地址192.168.52.200

3.在_tcp目錄下，右鍵—其他新紀(jì)錄—SRV（服務(wù)位置）--_ldap，---創(chuàng)建一個(gè)后綴名為“_tcp.dc._msdcs.domain.org”；指向你的域控制器；

然后即可返回bdc入域

還是出錯(cuò)。

后續(xù)繼續(xù)百度學(xué)習(xí)，解決如下：

或者（重新安裝AD和DNS服務(wù)）

重啟后：加入域成功

S4、然后安裝域控角色

在“服務(wù)器管理器”中點(diǎn)擊右上角“管理”→“添加角色和功能” →“Active Directory域服務(wù)”。具體步驟如下。

在“添加角色和功能向?qū)?rdquo;界面，保持默認(rèn)設(shè)置，點(diǎn)擊“下一步”。

在選擇目標(biāo)服務(wù)器界面，保持默認(rèn)設(shè)置，點(diǎn)擊下一步

在“選擇服務(wù)器角色”界面，點(diǎn)擊“Active Directory域服務(wù)”在彈出來的“添加角色和功能向?qū)?rdquo;中點(diǎn)擊“添加功能”。

設(shè)置好后“Active Directory域服務(wù)”選項(xiàng)就勾選好了。

在“選擇功能”界面，保持默認(rèn)設(shè)置，點(diǎn)擊“下一步”。

在“Active Directory域服務(wù)” 保持默認(rèn)設(shè)置，點(diǎn)擊“下一步”。

在“確認(rèn)安裝所選內(nèi)容”界面點(diǎn)擊“安裝”。

等待安裝結(jié)束關(guān)閉向?qū)?，不需要重啟?/p>

S6、提升域控角色

回到“服務(wù)器管理 儀表板”界面點(diǎn)擊右上角旗幟，彈出“部署后配置”，點(diǎn)擊“將此服務(wù)器提升為域控制器”。

在“部署配置”界面，選擇“將域控制器添加到現(xiàn)有域”→輸入“it.com”（自動(dòng)填寫了）。

注意：請(qǐng)用域管理員賬戶進(jìn)行此操作。若非域管理員，請(qǐng)點(diǎn)擊“更改”按鈕修改賬戶。

在“域控制器選項(xiàng)”界面，輸入域的還原密碼點(diǎn)擊下一步。R00t@rt

在“DNS選項(xiàng)”界面，保持默認(rèn)設(shè)置，點(diǎn)擊“下一步”。

在“其他選項(xiàng)”界面，保持默認(rèn)設(shè)置，點(diǎn)擊“下一步”。

在“路徑”界面，保持默認(rèn)設(shè)置，點(diǎn)擊“下一步”。

在“查看選項(xiàng)”界面，保持默認(rèn)設(shè)置，點(diǎn)擊“下一步”。

在“先決條件檢查”界面，保持默認(rèn)設(shè)置，點(diǎn)擊“下一步”：安裝。

等待安裝結(jié)束。安裝結(jié)束提示注銷重啟。

至此，BDC輔助域控安裝完成。

三、配置計(jì)算機(jī)重定向

點(diǎn)擊“開始”→“管理工具”→“Active Directory用戶和計(jì)算機(jī)”

右擊“it.com”點(diǎn)擊“新建”→“組織單位”，命名為：“AllComputer”。

在“開始”→“運(yùn)行”→“cmd”打開命令行窗口。

在命令行窗口輸入：“redircmp ou=AllComputer,dc=it,dc=com”

將加入的計(jì)算機(jī)重定向到AllComputer中。

四、配置NTP服務(wù)器

Win+cmd，輸入regedit，找到

打開注冊(cè)表，找到

[計(jì)算機(jī)\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]的Type將其鍵值改為“NTP”。

[計(jì)算機(jī)\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]找到AnnounceFlags鍵值改為5

[計(jì)算機(jī)\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]找到NTPServer鍵值改為防火墻IP或者其他NTPserver的地址。{注意這里的防火墻需要支持NTPserver的角色，一般sangfor的沒有這個(gè)功能角色}

[計(jì)算機(jī)\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]找到SpecialPollInterval鍵值為120。每2分鐘同步一次。

可以在BDC上查看：

查看時(shí)間源命令：w32tm /query /source

查看時(shí)間同步狀態(tài)命令：“w32tm /query /status”

查看時(shí)間列表命令：“w32tm /query /peers”

五、創(chuàng)建和管理對(duì)象、容器和組織單位（OU）

S1、梳理組織架構(gòu)和OU對(duì)應(yīng)

根據(jù)公司的組織架構(gòu)

把公司的組織架構(gòu)按照二級(jí)部門來對(duì)應(yīng)AD中的OU（組織單位）

新建公司作為一級(jí)OU；

二級(jí)部門作為二級(jí)OU；

二級(jí)OU底下直接為用戶了，不做過深的OU，有利于后續(xù)管理。

新建如下：

一級(jí)OU：合力泰股份（合股份）

二級(jí)OU:  信息化部，人力資源部，審計(jì)部，投資部，辦公室，戰(zhàn)略發(fā)展部，法務(wù)部，管理層，管理會(huì)計(jì)部，會(huì)計(jì)核算部，資金部，資產(chǎn)部，綜合招采部，組織部

三級(jí)OU：信息化部-基礎(chǔ)架構(gòu)處、生產(chǎn)制造處、企業(yè)應(yīng)用處

S2、通過csv文件格式批量創(chuàng)建OU

將OU.csv文件上傳至域服務(wù)器根目錄，以管理員身份運(yùn)行win+cmd（注意必須以csv分隔符的格式保存文件，否則會(huì)出錯(cuò)。）

通過以下命令導(dǎo)入域控相關(guān)的OU

導(dǎo)入一級(jí)OU：

for /f "skip=1 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%a,DC=it,DC=com"

skip=1指跳過第一行標(biāo)題，tokens=1-3指取1-3行一級(jí)OU的數(shù)據(jù)

參數(shù)含義: skip=1跳過第一行數(shù)據(jù) eol=;注釋行開始字符為";" tokens=1-9 

每次提取1-9個(gè)變量 delims=, 分割符號(hào)為","

導(dǎo)入二級(jí)OU:

for /f "skip=4 eol=;tokens=1-17 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%b,ou=%a,DC=it,DC=com"

skip=4指跳過第一行標(biāo)題和一級(jí)OU，tokens=1-20指取1-3行二級(jí)OU的數(shù)據(jù)

導(dǎo)入三級(jí)OU：

for /f "skip=21 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%c,ou=%b,ou=%a,DC=it,DC=com"

skip=21指跳過第一行標(biāo)題和一級(jí)OU和二級(jí)OU，tokens=1-3指取1-3行三級(jí)OU的數(shù)據(jù)，c，b，a為一級(jí)、二級(jí)、三級(jí)的變量。

-視頻，批量新建OU

六、批量導(dǎo)入AD用戶

重點(diǎn)是如何創(chuàng)建表格文件-批量的數(shù)據(jù)

首先這里我們需要找HR要到員工的信息表，越詳細(xì)越好，

注：初始密碼不能太過于簡(jiǎn)單，一定要符合密碼的復(fù)雜性的要求

復(fù)制黏貼命令于CMD窗口即可。

="dsadd user "&"""cn="&Sheet1!A2&",ou="&Sheet1!B2&",ou="&Sheet1!C2&Sheet1!D2&Sheet1!E2&Sheet1!F2&Sheet1!G2&""""&" -company "&Sheet1!H2&Sheet1!I2&" "&Sheet1!J2&Sheet1!K2&" "&Sheet1!L2&Sheet1!M2&" "&Sheet1!N2&Sheet1!O2&" "&Sheet1!P2&Sheet1!Q2&" "&Sheet1!R2&Sheet1!S2&" "&Sheet1!T2&Sheet1!U2&" "&Sheet1!V2&Sheet1!W2&" "&Sheet1!X2&Sheet1!Y2&" "&Sheet1!Z2&" "&" "&Sheet1!AA2&" "&Sheet1!AB2&" "&Sheet1!AC2&"  "&Sheet1!AD2&" "&Sheet1!AE2&"  "&Sheet1!AF2&" "&Sheet1!AG2&" "&Sheet1!AH2

七、組策略（常用）的使用和推送

S1、本地管理員重命名

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→右擊“新建”→設(shè)置策略名稱，點(diǎn)擊“確定”生成策略。右擊此策略，點(diǎn)擊“編輯”。

“計(jì)算機(jī)配置”→“策略”→“Windows 設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”→“賬戶：重命名系統(tǒng)管理員賬戶” →輸入“hltadmin” →點(diǎn)擊“確定”

這樣就將原來系統(tǒng)管理員賬戶administrator改為hltadmin 。

S2、禁用Guest賬戶

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→右擊“新建”→設(shè)置策略名稱，點(diǎn)擊“確定”

生成策略。右擊此策略，點(diǎn)擊“編輯”。

“計(jì)算機(jī)配置”→“策略”→“Windows 設(shè)置”→“安全設(shè)置”→“本地策略”→“安全選項(xiàng)”→“帳戶：來賓帳戶狀態(tài)” →編輯選擇“已禁用”。

S3、禁用USB

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→右擊“新建”→設(shè)置策略名稱，點(diǎn)擊“確定”生成策略。右擊此策略，點(diǎn)擊“編輯”。

“計(jì)算機(jī)配置”→“策略”→“管理模板”→“系統(tǒng)”→“可移動(dòng)存儲(chǔ)訪問” →“可移動(dòng)磁盤：拒絕執(zhí)行權(quán)限” →編輯選擇“已啟用”。

“可移動(dòng)磁盤存儲(chǔ)：拒絕讀取權(quán)限”設(shè)為“已啟用”。

“可移動(dòng)磁盤：拒絕寫入權(quán)限”設(shè)為“已啟用”。

設(shè)置完成。點(diǎn)擊關(guān)閉。

S4、密碼復(fù)雜度

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→點(diǎn)擊“Default Domain Policy”右擊此策略，點(diǎn)擊“編輯”。

“計(jì)算機(jī)配置”→“策略”→“Windows 設(shè)置”→“安全設(shè)置”→“賬戶策略”→“密碼策略”→按上圖所示設(shè)置策略。

S5、統(tǒng)一桌面背景

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→點(diǎn)擊“Default Domain Policy”右擊此策略，點(diǎn)擊“編輯”。

“用戶配置”→“策略”→“管理模板”→“桌面”→“桌面”→“桌面墻紙”。

路徑：\\10.6.100.25\css\10項(xiàng)目實(shí)施\1AD域系統(tǒng)\桌面壁紙\win11.jpg

墻紙樣式選擇：適應(yīng)。

S6、禁止客戶端自行修改IP

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→右擊“新建”→設(shè)置策略名稱，點(diǎn)擊“確定”生成策略。右擊此策略，點(diǎn)擊“編輯”。

“用戶配置”→“管理模板”→“網(wǎng)絡(luò)”→“網(wǎng)絡(luò)連接”→“禁止訪問LAN連接組件的屬性”→選擇“已啟用”。

S7、客戶端禁用注冊(cè)表

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→右擊“新建”→設(shè)置策略名稱，點(diǎn)擊“確定”生成策略。右擊此策略，點(diǎn)擊“編輯”。

“用戶配置”→“管理模板”→“系統(tǒng)”→“防止訪問注冊(cè)表編輯工具”→選擇“已啟用”

S8、映射網(wǎng)絡(luò)驅(qū)動(dòng)器

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→右擊“新建”→設(shè)置策略名稱，點(diǎn)擊“確定”生成策略。右擊此策略，點(diǎn)擊“編輯”。

“用戶配置”→“首選項(xiàng)”→“Windows 設(shè)置”→“驅(qū)動(dòng)器映射”→輸入網(wǎng)絡(luò)地址。

在“常用”選項(xiàng)卡中勾選“在登錄用戶的安全上下文中運(yùn)行（用戶策略選項(xiàng)）”和“項(xiàng)目級(jí)別目標(biāo)”，點(diǎn)擊“確定”

S9、修改本地管理員密碼

在“開始”→“管理工具”→“組策略管理”→“組策略對(duì)象”→右擊“新建”→設(shè)置策略名稱，點(diǎn)擊“確定”生成策略。右擊此策略，點(diǎn)擊“編輯”。

“計(jì)算機(jī)配置”→“策略”→“Windows 設(shè)置”→“腳本（啟動(dòng)/關(guān)機(jī)）”添加腳本。

到此這篇關(guān)于winserver2019安裝AD 2016主輔域控實(shí)例過程的文章就介紹到這了,更多相關(guān)win2019安裝AD 2016主輔域控內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

最新評(píng)論