在域架构中，最核心的就是DC(Domain Control，域控制器)，创建域首先要创建DC，DC创建完成后，把所有的客户端加入到DC，这样就形成了域环境。域控制器是由工作组计算机升级而成，通过 dcpromo 命令就可以完成升级。只有Windows Server（WEB版本除外）才可以提升为域控制器。在升级DC之前不需要安装DNS服务，域控制器上必须要有NTFS文件系统的分区。

下面是windows server2008R2安装域控步。 第一步：首先，域控器需要固定的ip地址DNS服务器为自己，由于是在本机中搭建的虚拟机，这里我设置的网络是NAT模式。 第二步：win+r，打开运行框，输入：dcpromo 这里需要点击两次下一步，结束了以后就出现如下界面。 然后它会自动检查DNS的配置，需要时间，如果你的主机原来没有安装DNS的话，它会自动帮你勾选上DNS，然后你点击下一步就可以了，这时会弹出无法创建DNS服务器的委派，不用管它，直接点击是即可。 然后这里会显示那些系统文件的位置，因为SYSVOL文件必须得在NTFS文件系统的磁盘上，所以域控服务器必须得有NTFS文件系统的分区。 然后设置一个目录还原模式Administrator的密码，注意这里的账号和密码是和域Administrator是不一样的。 耐心等待即可。 然后需要重启计算机以完成配置。 重新启动后，我们检查下面这些设置是否正确 1：检查活动别是否正常安装 2：检查DNS服务域控制器注册的SRV记录 这里需要注意的是：在计算机成为域控后，该主机上之前的账号将全部变为域账号，这些账号将不能以本地登录方式登录。成为域控之后新建的用户，必须满足密码策略。如果成功域控后新建的用户不属于administrators组，那这些用户可以登录除域控外的 其他域内主机。 域控只允许域控中administrators组内的用户以 域身份登录。域控中administrators组内的用户都是域管理员！

如果想其他的主机（主机1）加入域中，首先要将主机1的DNS指向域控服务器的IP，并且确保两者之间能通，因为这里是在虚拟机中搭建的域控，并且主机1也是在虚拟机中搭建的，两者网络都是NAT模式，所以主机1和域控之间是可以通信的。 然后将主机1的域名修改域对应的名字，这一步称为加域。

输入域控的域管理账号和密码。 点击确定后，重启主机1 注：当主机1加入域后，系统会自动将域管理员组添加到本地系统管理员组中 如图： 此时主机1已经成功加入域环境，但是当前登录的账号还是主机1的本地账号，并不是域账号。 如果是本地的用户登录方式为：

该方式是通过SAM来进行NTLM认证的。

如果是域中的用户登录，方式为：

该方式是通过Kerberos协议进行认证的。 注：在域控上添加的用户都是域用户，比如执行：net user ykuser jimolang1231.. /add 此时添加的用户ykuser默认就是域用户，可以登录到域内任何一台主机的用户，但是不具备域管理员权限。 如果想在其他域成员主机上添加域用户，需要在于成员主机上以管理员权限登录，然后执行以下命令添加域用户：

net user test 123456 /add /domain 添加域用户test 密码为123456 net group “domain admins” test /add /domain 将域用户test添加到域管理员组domain admins中