AD活动目录的安装、搭建、使用及灾难恢复 |
您所在的位置:网站首页 › 安装域控制器的步骤 › AD活动目录的安装、搭建、使用及灾难恢复 |
AD活动目录的安装、搭建、使用及灾难恢复
|
文章目录
一:AD域控制器的安装1.1:AD主域控制器的安装1.2:AD副域控制器的安装
二:用户的添加及策略设置2.1:创建OU(OU就是组织单位,下文用OU 代替)、用户2.1.1:创建OU2.1.2:添加用户2.1.3:创建用户组2.2.4:用户添加进用户组
2.2:策略设置常用安全策略2.2.1 修改密码策略2.2.2 文件夹重定向2.2.3 用户控制策略2.2.4 防火墙策略关闭本地防火墙2.2.5 禁止域用户登录其它人的计算机和服务器2.2.6 磁盘映射2.2.7修改本地管理员密码策略2.2.8创建OU策略想(下文用GPO代替)2.3主域控制器DNS配置
三:灾难恢复3.1:AD域控角色转移(适合在主域控制器还能够使用时,需要升级AD控制器升级系统时的操作),Transfer传送3.1.1查看控制器和FSMO角色3.1.2、操作主机3.1.3、更改域控制器3.1.4、再次操作主机
3.2:AD副域控强制升级为主域控制器(Seize夺取)3.2.1、利用命令再夺回FSMO 5大角色
一:AD域控制器的安装
1.1:AD主域控制器的安装
准备两台服务器,Windows server 2008、2012、2016等,可以联外网的网络。 步骤如下图:
安装完毕后,服务器会自动重启 1.2:AD副域控制器的安装由于副域控制器的设置和主域控制器的设置步骤大体一致,就不细致将步骤了,只说关键步骤 修改计算机名设置静态IP和DNS重启服务器安装AD域,DNS服务角色将安装好的的AD域服务器提升为控制器   其他步骤和主域控制器设置一样
二:用户的添加及策略设置
2.1:创建OU(OU就是组织单位,下文用OU 代替)、用户
2.1.1:创建OU
为什么要创建OU呢?最主要的是,方便管理。做域不就是为了方便管理计算机吗? 而创建的OU呢!最好是和公司人员架构表一致,方便把各个部门的人加到对应的用户组里面 而且,因为有OU策略和域策略,对应不同功能。所以像关闭防火墙和关闭更新,都可以在OU上做,单独建立GPO链接到需要应用的OU上,但是成员一定要是计算机对象。可以建立一个叫PC的OU,然后下面再按照部门建立子OU,这样就可以针对所有客户端和部分客户端部署策略了。如果这2项策略链接到域上,可能会影响到成员服务器,这样就太不安全了!所以,是部署OU策略,还是域策略一定要想好。 如何创建OU呢? 请看下图 打开工具,选择用户和计算机 创建用户的步骤和创建OU 的步骤差不多,看图
这一步的操作和上面基本相同,废话不多说,上图; 创建完用户之后,把用户添加进用户组,方便之后设置的ou组策略生效, 用户添加进用户组有两种方法:一种是,看图: 密码策略,还是看图 这个需要根据实际情况设置,我在这里举个例子: 关闭登录需按ctr+alt+del 看图
设置DNS转发,这步很重要,不然域内客户端无法上网!!!!! 策略设置完毕后,使用运行gpupdate /force来更新策略 三:灾难恢复 3.1:AD域控角色转移(适合在主域控制器还能够使用时,需要升级AD控制器升级系统时的操作),Transfer传送 3.1.1查看控制器和FSMO角色此时可以看到域控制器只有2台:GDJRD-DC、GDJRS-PDC;查询FSMO角色可以看到5大角色均位于GDJRD-DC域控制器上 打开服务器管理器—工具-----AD用户和计算机右击“gdjrd.net”域,选择“操作主机” 右击“gdjrd.net”,选择“更改域控制器” 此时,再次右键“gdjrd.net”,操作主机,再次点击“更改”,未见报错,点击“是”,注意我们此时是在RID选项卡,故转移的仅仅是RID角色,点击是之后,提示已经成功传送了操作主机角色。 打开AD域和信任关系,右击AD域和信任关系,选择“操作主机” 运行窗口中输入mmc并回车,打开控制台1,选择“文件”下拉菜单中的“添加或删除管理单元”,选中“Active Directory架构”点击“添加” 选中刚添加的AD架构,并右击,选择“更改AD域控制器” 选中“此域控制器或AD LDS实例”,选中“GDJRD.NET”,点击“确定” 点击“更改”,提示传送成功 以管理员身份打开命令提示符窗口,输入:ntdsutil,回车,然后再输入:?,可以查看该工具的具体命令(此时fsmo 5大角色位于gdjrd-pdc上,我们将其夺回到原有AD上) 说明:Seize夺取,即在主AD已经挂了情况下,辅助AD强制夺取5大角色。Transfer传送,是在原主AD未挂的情况下,传送5大角色到辅助AD,适合AD升级。 接下来进行主机角色传递,Transfer infrastructure master (传送基础结构主机) 依次输入红色框框里面 的命令 |
打开服务器管理器 
选择1和2 
下一步 
安装完毕后点击关闭
这一步是创建总的OU 的
然后 
这一步创建的OU是各个部门的
然后再在技术部这个OU下添加两个OU,用户和用户组 
按照公司的架构把OU创建完毕之后,就是添加用户了
这一步是设置用户姓名和登录名的,建议登录名用名字拼音 
点击下一步,设置用户登录密码
如果设置的密码过于简单,如:123456。这样子的就会出现下面的报错,这时候就需要修改本地管理员密码策略,怎么修改呢?下面会说到! 
接下来 
然后
上面的是用户添加到组的,下面是组里面添加用户的,看图 
然后 
上面第三项设置为0是不过期的意思
还是在这里滚轮往下滑,找到用户账户控制看图 
设置需要映射的ou 
2处密码无法设置需卸载补丁KB2919355 ,卸载这个补丁还是无法更改的话,卸载KB2928120 或者kb2962486(注:最后一个没有测试过,其他地方看到的)
策略设置和上面一样,不过建立这个gpo主要是做磁盘映射的
点击“更改”,此时会报如下所示错误 
选中“此域控制器或AD LDS实例”,选中“GDJRD-PDC”,点击“确定” 
同理进行PDC主机角色传送 
还有基础结构主机角色传送 
传送域命名操作主机角色 
以管理员身份打开命令提示符窗口,查询FSMO 5大角色迁移状况,可以看到只剩下架构主机角色未迁移。 
接下来进行架构主机角色迁移,在迁移前需要首先注册schmmgmt.dll,输入命令:regsvr32 schmmgmt.dll,回车后提示注册成功 
选中刚添加的AD架构,并右击,选择“操作主机” 
再次进行FSMO角色查询,可以看到5大角色已经全部传送到gdjrd-pdc域控制器上了 
到此转移结束,并且成功转移了角色,以上问界面版,喜欢命令行的小伙伴们,敬请期待!!!!后续会整理出命令 附带转移成功的图片 
输入:roles,进入fsmo维护模式,再次输入:?,可以查看维护命令。
输入命令:connections回车后,再输入命令:connect to server GDJRD-PDC,当绑定到GDJRD-DC时,输入quit,退出服务器连接进入fsmo维护模式,再次打问号:?查看都有哪些命令可以使用。 
接下来进行主机角色覆盖,依次执行红色框里的命令 
选择是 
当无条命令全部执行完毕之后,输入quit,回车,再次输入quit,回车,退出fsmo维护模式 再使用netdom query fsmo命令进行fsmo 5种角色的查询。可以看到5种角色主机已经成功传送到原有域控制器GDJRD-PDC上 到此角色夺取完成!!!【本文地址】
今日新闻 |
推荐新闻 |