目录

1. 第一部分：基础理论与规划

   
   （图片来源网络，侵删）
   • 1 什么是 Active Directory (AD)？
   • 2 AD 的核心组件
   • 3 规划你的 AD 部署（至关重要！）
   • 4 硬件与软件要求

2. 第二部分：安装 Active Directory 域服务

   • 1 准备工作：安装服务器角色和功能
   • 2 安装 Active Directory 域控制器
   • 3 安装后的验证与配置

3. 第三部分：管理 Active Directory 对象

   • 1 AD 管理工具介绍
   • 2 管理用户账户
   • 3 管理计算机账户
   • 4 管理组账户
   • 5 组织单位 的使用

4. 第四部分：组策略 基础

   • 1 什么是组策略？
   • 2 创建并链接组策略对象
   • 3 一个简单的实例：设置桌面壁纸

5. 第五部分：高级主题与最佳实践

   
   （图片来源网络，侵删）
   • 1 域信任
   • 2 DNS 的高级考量
   • 3 AD 备份与恢复
   • 4 安全性最佳实践

第一部分：基础理论与规划

在动手安装之前,理解其工作原理和做好规划是成功的关键。

1 什么是 Active Directory (AD)？

Active Directory (活动目录) 是微软为 Windows Server 网络设计的一种目录服务，你可以把它想象成一个集中式的、分层的数据库，专门用来存储和管理网络中的各种资源信息。

• 核心功能：
  • 身份验证：验证用户和计算机的身份，决定他们是否有权登录网络。
  • 授权：确定用户或计算机在被允许登录后，可以访问哪些资源（如文件、打印机、应用程序）。
  • 集中管理：将网络中的所有用户、计算机、打印机等对象信息集中存储，管理员可以方便地进行统一管理。
  • 策略应用：通过组策略，可以集中配置用户和计算机的工作环境、安全设置、软件安装等。

2 AD 的核心组件

• 域：AD 的基本管理单元和安全边界，在一个域中，所有计算机共享一个相同的 Active Directory 数据库和一套安全策略。corp.local。
• 域控制器：运行 Active Directory 域服务角色的服务器，它存储了 AD 数据库的副本，并负责处理用户登录请求和安全策略的应用，一个域中至少需要一台 DC，建议至少两台以实现冗余。
• 林：一个或多个域的集合，这些域共享一个共同的架构、配置和全局目录，林是 AD 的最高级别容器，一个林可以包含 corp.local 和 sales.corp.local 两个域。
• 树：一组共享连续 DNS 命名空间的域。corp.local 和 sales.corp.local 就构成了一棵树。
• 组织单位：域内的容器，用于组织对象（用户、计算机、组等），OU 是委派管理权限和应用组策略的最小单元，你可以把 OU 理解为公司里的“部门”，如“财务部”、“IT部”。
• 全局目录：林中所有对象的一个部分副本，它允许用户快速查找整个林中的对象，而无需查询每个域的 DC。
• DNS：Active Directory 完全依赖 DNS 来定位域控制器，AD 使用 DNS 的 SRV 记录来查找服务（如域登录服务），部署一个稳定、可靠的 DNS 服务器是 AD 部署的前提。

3 规划你的 AD 郆署（至关重要！）

切勿在规划不周的情况下直接安装！

1. 命名空间规划：

   
   （图片来源网络，侵删）
   • 内部域名：选择一个内部专用的、不会与公网域名冲突的域名，如果你的公司公网域名是 mycompany.com，内部域名可以是 corp.mycompany.com 或 internal.mycompany.com 或 lan.local。
   • NetBIOS 名称：一个不超过15个字符的简短名称，用于向后兼容。MYCOMPANY。

2. 域结构规划：

   • 对于小型或中型企业,从一个单域单林结构开始是最简单、最直接的选择。
   • 如果公司有多个地理位置分散的办公室,或者需要不同的安全策略，可以考虑创建子域或域树。

3. 域控制器规划：

   • 第一台 DC：它将创建新的林和域，同时被提升为全局目录服务器。
   • 额外 DC：在每个域中至少部署两台 DC，以实现容错和负载均衡。
   • 读写域控制器 和 只读域控制器：对于分支机构，可以考虑部署 RODC 来提高安全性和性能。

4. IP 规划：

   • 为 DC 分配静态 IP 地址。
   • 确保所有客户端都能正确解析到 DC 的地址。

4 硬件与软件要求

• 操作系统：Windows Server 2012 R2（推荐使用 R2 版本，因为它包含更多更新和功能）。
• 硬件：
  • CPU：至少 x64 处理器，建议 2 核或以上。
  • 内存：对于第一个 DC，建议至少 4GB RAM，每增加一个额外的 DC，建议增加 2GB RAM。
  • 硬盘：至少 32GB 可用空间，强烈建议使用 NTFS 文件系统，如果条件允许，将操作系统、AD 数据库 和日志文件 放在不同的物理磁盘上以提高性能和可靠性。
• 网络：确保网络连通性，所有计算机都能相互通信。

第二部分：安装 Active Directory 域服务

本部分假设你已准备好一台安装了 Windows Server 2012 R2 的服务器，并已配置好静态 IP。

1 准备工作：安装服务器角色

1. 打开 服务器管理器。
2. 点击 “管理” -> “添加角色和功能”。
3. 在向导中,点击 “下一步” 直到到达 “服务器角色” 页面。
4. 在角色列表中,勾选 “Active Directory 域服务”。
5. 系统会提示安装必要的“管理工具”，点击 “添加功能”，“下一步”。
6. 确认信息无误后,点击 “安装”。

2 安装 Active Directory 域控制器

1. 安装完成后,在服务器管理器的通知区域，你会看到一个黄色的三角感叹号，提示“配置所需的 AD DS”。

2. 点击该提示,或直接在服务器管理器的 “管理” 菜单中选择 “将此服务器提升为域控制器”。

3. 打开 “Active Directory 域服务配置向导”。

   • 部署配置：

     • 选择 “添加新林” (因为你正在创建第一个域)。
     • 输入根域名,corp.local。
     • 输入 NetBIOS 名称，CORP。
     • 点击 “下一步”。

   • 域控制器选项：

     • 域功能级别：对于全新的 Windows Server 2012 R2 环境，选择 “Windows Server 2012 R2”。
     • 森林功能级别：同样选择 “Windows Server 2012 R2”。
     • DNS 服务器：强烈建议勾选，AD 依赖 DNS，这个选项会自动安装并配置 DNS 服务。
     • 全局目录：默认勾选，保持即可。
     • 密码：为内置的 Administrator 账户设置一个强密码。请务必记住此密码！
     • 点击 “下一步”。

   • 路径：

     • 数据库文件夹：AD 数据库的存放位置，保持默认或放到非系统盘。
     • 日志文件文件夹：日志文件的存放位置，强烈建议与数据库放在不同的物理磁盘。
     • SYSVOL 文件夹：存放组策略等公共文件的共享位置，保持默认。
     • 点击 “下一步”。

   • 选项审查：检查所有配置是否正确。

   • 先决条件检查：系统会自动检查所有条件，如 DNS、网络等，如果检查失败，请根据提示修复。

   • 安装：确认无误后，点击 “安装”。

4. 安装过程会自动重启服务器,重启后，你的服务器就已经是一台 Active Directory 域控制器了。

3 安装后的验证与配置

1. 登录：使用 CORP\Administrator 和你设置的密码登录。
2. 验证 DC 角色：
   • 打开 命令提示符，输入 dcdiag /v，如果所有测试都通过，说明 DC 健康状况良好。
   • 输入 netdom query fsmo，可以查看林和域的 5 个 FSMO (Flexible Single Master Operation) 角色默认由哪台 DC 持有（第一台 DC 默认持有所有角色）。
3. 验证 DNS：
   • 打开 DNS 管理器 (dnsmgmt.msc)。
   • 展开 “正向查找区域”，你应该能看到你的域名 corp.local。
   • 在 corp.local 下，检查是否有 “域DNS区域” 和 “正向查找区域”，更重要的是，在 “转发查找区域” -> corp.local -> “_msdcs” 下，应该有 SRV 记录，这些是 AD 正常工作的关键。

第三部分：管理 Active Directory 对象

安装完成后,日常管理工作就是围绕 AD 对象展开的。

1 AD 管理工具介绍

• Active Directory 用户和计算机 (dsa.msc)：管理用户、计算机、组、OU 等对象的核心工具。
• Active Directory 域和信任关系 (domains_and_trusts.msc)：管理域信任关系。
• Active Directory 站点和服务 (sites.msc)：管理 AD 复制拓扑，用于优化跨地理位置的网络通信。
• 组策略管理控制台 (gpmc.msc)：管理组策略对象。

2 管理用户账户

1. 打开 AD 用户和计算机 (dsa.msc)。
2. 在左侧窗格,右键点击你的域名 corp.local -> “新建” -> “用户”。
3. 填写用户信息：
   • 姓、名：用于显示名称。
   • 用户登录名：用户的唯一标识符，格式为 username@corp.local。
   • 用户登录名(预 Windows 2000)：NetBIOS 格式的登录名，如 username。
4. 点击 “下一步”，设置密码，并选择密码选项（如“用户下次登录时须更改密码”）。
5. 完成创建。

3 管理计算机账户

将计算机加入域是 AD 的核心用途之一。

1. 在 AD 中预创建（可选但推荐）：

   • 在 dsa.msc 中，右键点击 “计算机” OU（或你指定的 OU）-> “新建” -> “计算机”。
   • 输入计算机名,选择要加入的域（默认就是当前域），点击确定。
   • 这样做的好处是可以提前为计算机账户指定 OU，方便后续管理。

2. 在客户端计算机上加入域：

   • 在 Windows 10/11 客户端上，右键点击 “此电脑” -> “属性” -> “系统信息” -> “重命名此计算机”。
   • 点击 “更改”。
   • 在“成员”下，选择 “域”，输入你的域名 corp.local，并输入一个具有域加入权限的账户（如 CORP\Administrator）和密码。
   • 系统会验证并提示你重启计算机,重启后，客户端就成为域成员了。

4 管理组账户

组是 AD 管理的精髓，用于简化权限分配。

• 组类型：
  • 安全组：可以用于分配权限（如文件共享权限、NTFS 权限），这是最常用的类型。
  • 通讯组：仅用于分发电子邮件列表，不能用于分配权限。
• 作用域：
  • 域本地：只能在其所属的域内授权权限。
  • 全局：可以包含来自任何域的成员，但只能授权给其所属的域。
  • 通用：可以包含来自林中任何域的成员，并且可以授权给林中任何域。
• 最佳实践：遵循 AGDLP (A=Account, G=Group, DL=Domain Local, P=Permission) 规则，即：将账户放入全局组，将全局组放入域本地组，然后将权限分配给域本地组。

5 组织单位 的使用

OU 是你进行精细化管理的工具。

1. 在 dsa.msc 中，右键点击你的域名，选择 “新建” -> “组织单位”。
2. 创建 OU，如“IT部”、“财务部”、“销售部”。
3. 将用户和计算机移动到相应的 OU 中。
4. 委派管理权限：右键点击一个 OU，如“IT部” -> “委派控制”，可以指定哪些用户或组拥有管理该 OU 内对象的权限（如创建用户、重置密码等），而不需要给予他们整个域的 Administrator 权限。

第四部分：组策略 基础

组策略是 AD 强大功能的集中体现。

1 什么是组策略？

组策略是一套允许你集中配置用户和计算机设置的规则集,你可以通过 GPO 控制桌面外观、安全设置、软件安装、脚本执行等几乎所有的 Windows 设置。

2 创建并链接组策略对象

1. 打开 组策略管理控制台 (gpmc.msc)。
2. 在左侧,右键点击你的域名 corp.local -> “在此域中创建 GPO 并链接到该域”。
3. 给 GPO 命名，公司桌面策略”，然后点击确定。
4. 这个 GPO 已经被链接到了整个域，现在你可以看到它出现在 corp.local 的下面。

3 一个简单的实例：设置桌面壁纸

1. 在 GPMC 中，右键点击你刚创建的“公司桌面策略” -> “编辑”。
2. 打开 组策略管理编辑器。
3. 导航到 “计算机配置” -> “策略” -> “管理模板” -> “控制面板” -> “个性化”。
4. 在右侧窗格中,找到 “设置桌面壁纸” 策略。
5. 双击它,选择 “已启用”，然后点击 “显示” 按钮，浏览并选择你想要设置的壁纸图片文件。
6. 点击 “确定” 保存。
7. 刷新策略：在客户端计算机上，打开命令提示符，输入 gpupdate /force 强制刷新组策略，几分钟后，桌面壁纸就会改变。

第五部分：高级主题与最佳实践

1 域信任

信任是连接不同域或林的桥梁。corp.local 域可以信任 sales.corp.local 域，这样 corp.local 的用户就可以访问 sales.corp.local 的资源，信任关系可以在 AD 域和信任关系 (domains_and_trusts.msc) 中管理。

2 DNS 的高级考量

• 转发器：如果你的 AD 部署在内部网络，并且有一个内部 DNS 服务器需要查询外部公网域名，你应该在该内部 DNS 服务器上设置转发器，指向你的 ISP 的 DNS 服务器或一个公共 DNS 服务器（如 8.8.8.8）。
• 条件转发器：当需要将特定域名的查询转发到指定的 DNS 服务器时使用。

3 AD 备份与恢复

AD 数据库至关重要，必须定期备份。

• 备份工具：使用 Windows Server 自带的 Windows Server Backup 功能。
• ：不仅要备份 AD 数据库，还要备份 系统状态，它包含了 AD 数据库、SYSVOL、注册表等关键组件。
• 恢复模式：当 DC 硬件损坏时，你可以通过恢复系统状态来重建 DC，这个过程称为 authoritative restore（授权还原），可以确保恢复后的数据是正确的。

4 安全性最佳实践

• 强密码策略：通过组策略实施强密码策略（长度、复杂度、历史记录等）。
• 账户锁定策略：防止暴力破解。
• 最小权限原则：不要随意给用户 Domain Admins 权限，通过委派 OU 权限来管理。
• 定期审核：审核关键事件，如登录失败、权限更改等。
• 保护 FSMO 角色：确保 FSMO 角色所在的 DC 运行稳定，并了解如何将角色转移或 seize（夺取）到其他 DC。

Active Directory 2012 是一个功能强大但复杂的系统，本教程为你提供了一个从零开始的完整路径。规划是成功的一半，而实践是掌握的关键，建议你在虚拟机（如 Hyper-V 或 VMware）环境中反复练习，直到完全熟悉各项操作，祝你学习顺利！