it教程FG84-Windows Server 2022 Active Directory配置与管理
1. Active Directory概述
Active Directory(AD)是Windows Server中的目录服务,用于管理网络中的用户、计算机、组和其他资源。它提供了集中式的身份验证、授权和目录服务功能,是企业网络管理的核心组件。更多学习教程www.fgedu.net.cn
1. 域控制器(Domain Controller):存储目录数据并管理用户认证
2. 域(Domain):网络资源的逻辑分组
3. 林(Forest):一个或多个域的集合
4. 树(Tree):具有连续命名空间的域的集合
5. 组织单位(OU):域内的容器,用于组织和管理对象
6. 组策略(Group Policy):控制用户和计算机配置的规则
7. 信任关系(Trust Relationship):域之间的认证关系
2. Active Directory安装
在Windows Server 2022上安装Active Directory需要先安装AD DS服务器角色,然后提升为域控制器。
步骤1:打开服务器管理器,点击”添加角色和功能”
步骤2:点击”下一步”,选择”基于角色或基于功能的安装”
步骤3:选择目标服务器,点击”下一步”
步骤4:选择”Active Directory 域服务”,点击”下一步”
步骤5:点击”下一步”,确认功能选择
步骤6:点击”下一步”,查看AD DS安装信息
步骤7:点击”安装”,等待安装完成
步骤8:点击”将此服务器提升为域控制器”
步骤9:选择”添加新林”,输入根域名(如fgedu.net.cn)
步骤10:设置DSRM密码,点击”下一步”
步骤11:配置DNS选项,点击”下一步”
步骤12:设置NetBIOS名称,点击”下一步”
步骤13:设置AD DS数据库、日志和SYSVOL位置,点击”下一步”
步骤14:查看安装选项,点击”下一步”
步骤15:运行先决条件检查,点击”安装”
步骤16:等待安装完成,服务器会自动重启
3. 域配置
域配置包括域控制器管理、站点配置和复制设置等方面,学习交流加群风哥微信: itpux-com。
步骤1:打开”Active Directory 域和信任关系”
步骤2:右键点击域名,选择”属性”
步骤3:配置域属性,如DNS名称、NetBIOS名称等
步骤4:打开”Active Directory 站点和服务”
步骤5:创建站点,配置站点链接和复制设置
步骤6:将域控制器分配到相应的站点
C:\> netdom query fsmo
Schema master fgedu-dc01.fgedu.net.cn
Domain naming master fgedu-dc01.fgedu.net.cn
PDC emulator fgedu-dc01.fgedu.net.cn
RID pool manager fgedu-dc01.fgedu.net.cn
Infrastructure master fgedu-dc01.fgedu.net.cn
# 查看域控制器信息
C:\> netdom query dc
List of domain controllers with accounts in the domain:
fgedu-dc01
fgedu-dc02
The command completed successfully.
4. 用户和组管理
用户和组管理是Active Directory的核心功能,包括创建用户账户、管理组和设置权限等。
步骤1:打开”Active Directory 用户和计算机”
步骤2:创建组织单位(OU),用于组织用户和计算机
步骤3:在OU中创建用户账户
步骤4:设置用户密码和账户属性
步骤5:创建安全组和分发组
步骤6:将用户添加到相应的组中
步骤7:设置组策略,控制用户权限
C:\> New-ADUser -Name “风哥1号” -GivenName “张” -Surname “三” -SamAccountName “zhangsan” -UserPrincipalName “zhangsan@fgedu.net.cn” -Path “OU=Users,DC=fgedu,DC=net,DC=cn” -AccountPassword (ConvertTo-SecureString “Password123!” -AsPlainText -Force) -Enabled $true
# 使用PowerShell创建组
C:\> New-ADGroup -Name “IT管理员” -SamAccountName “ITAdmin” -GroupScope Global -GroupCategory Security -Path “OU=Groups,DC=fgedu,DC=net,DC=cn”
# 将用户添加到组
C:\> Add-ADGroupMember -Identity “IT管理员” -Members “zhangsan”
# 查看用户属性
C:\> Get-ADUser -Identity “zhangsan” -Properties *
5. 组策略配置
组策略(Group Policy)用于控制用户和计算机的配置,包括安全设置、软件部署和桌面配置等,学习交流加群风哥QQ113257174。
步骤1:打开”组策略管理”
步骤2:创建新的组策略对象(GPO)
步骤3:编辑GPO,配置相应的策略设置
步骤4:将GPO链接到相应的OU
步骤5:强制刷新组策略
1. 账户策略:密码策略、账户锁定策略
2. 本地策略:安全选项、用户权限分配
3. 软件设置:软件安装、脚本
4. Windows设置:安全设置、脚本、启动/关闭脚本
5. 管理模板:控制面板、网络、系统
# 刷新组策略
C:\> gpupdate /force
Updating policy…
Computer Policy update has completed successfully.
User Policy update has completed successfully.
6. DNS配置
Active Directory依赖DNS服务进行名称解析,需要正确配置DNS服务器以确保域控制器和客户端的正常通信。
步骤1:打开”DNS管理器”
步骤2:查看域的DNS区域
步骤3:确保所有域控制器的DNS记录正确
步骤4:配置DNS转发器,指向外部DNS服务器
步骤5:启用DNS scavenging,清理过期记录
C:\> dnscmd /zoneinfo fgedu.net.cn
# 验证DNS解析
C:\> nslookup fgedu-dc01.fgedu.net.cn
Server: fgedu-dc01.fgedu.net.cn
Address: 192.168.1.100
Name: fgedu-dc01.fgedu.net.cn
Address: 192.168.1.100
# 验证SRV记录
C:\> nslookup -type=SRV _ldap._tcp.dc._msdcs.fgedu.net.cn
Server: fgedu-dc01.fgedu.net.cn
Address: 192.168.1.100
_ldap._tcp.dc._msdcs.fgedu.net.cn SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = fgedu-dc01.fgedu.net.cn
_ldap._tcp.dc._msdcs.fgedu.net.cn SRV service location:
priority = 0
weight = 100
port = 389
svr hostname = fgedu-dc02.fgedu.net.cn
7. 信任关系配置
信任关系用于在不同域之间建立认证和授权关系,支持跨域资源访问。
步骤1:打开”Active Directory 域和信任关系”
步骤2:右键点击域名,选择”属性”
步骤3:点击”信任”选项卡,点击”新建信任”
步骤4:按照向导配置信任关系
步骤5:选择信任类型(外部信任、林信任等)
步骤6:输入目标域名,设置信任方向
步骤7:设置信任密码,完成信任创建
C:\> netdom trust fgedu.net.cn /d:otherdomain.com /verify
The command completed successfully.
# 验证信任关系
C:\> nltest /sc_verify:fgedu.net.cn
Flags: 30 HAS_IP HAS_TIMESERV
Trusted DC Name \fgedu-dc01.fgedu.net.cn
Trusted DC Connection Status Status = 0 0x0 NERR_Success
Trust Verification Status = 0 0x0 NERR_Success
The command completed successfully.
8. 备份与恢复
Active Directory的备份与恢复是确保域服务可靠性的重要措施,更多学习教程公众号风哥教程itpux_com。
步骤1:打开”Windows Server Backup”
步骤2:点击”本地备份”,选择”备份计划”
步骤3:选择”自定义”备份,点击”下一步”
步骤4:选择”添加项目”,选择”系统状态”
步骤5:设置备份目标和计划,点击”下一步”
步骤6:确认备份设置,点击”完成”
C:\> wbadmin start systemstatebackup -backuptarget:\\backup-server\backup
# 恢复Active Directory
步骤1:重启服务器,按F8进入”目录服务还原模式”
步骤2:登录服务器,打开”Windows Server Backup”
步骤3:点击”恢复”,选择备份时间点
步骤4:选择”系统状态”恢复
步骤5:按照向导完成恢复过程
步骤6:重启服务器
9. 监控与故障排除
监控Active Directory的运行状态和及时排除故障是确保域服务稳定性的关键。
1. 事件查看器:查看AD相关事件日志
2. 性能监视器:监控域控制器性能
3. DCDiag:诊断域控制器健康状态
4. NetDiag:诊断网络连接问题
5. RepAdmin:监控域控制器复制状态
C:\> dcdiag
Directory Server Diagnosis
Performing initial setup:
Trying to find home server…
Home Server = fgedu-dc01
* Identified AD Forest.
Done gathering initial info.
Doing initial required tests
Testing server: Default-First-Site-Name\FGEDU-DC01
Starting test: Connectivity
……………………. FGEDU-DC01 passed test Connectivity
Testing server: Default-First-Site-Name\FGEDU-DC02
Starting test: Connectivity
……………………. FGEDU-DC02 passed test Connectivity
# 检查复制状态
C:\> repadmin /showrepl
Repadmin: running command /showrepl against full DC localhost
Default-First-Site-Name\FGEDU-DC01
DSA Options: IS_GC
Site Options: (none)
DSA object GUID: 12345678-1234-1234-1234-1234567890ab
DSA invocationID: 12345678-1234-1234-1234-1234567890ab
==== INBOUND NEIGHBORS ======================================
DC=net,DC=cn
Default-First-Site-Name\FGEDU-DC02 via RPC
DSA object GUID: 87654321-4321-4321-4321-ba0987654321
Last attempt @ 2026-04-02 12:00:00 was successful.
10. 最佳实践
Active Directory的最佳实践包括域结构设计、安全配置、备份策略和性能优化等方面,author:www.itpux.com。
– 设计合理的域结构和OU层次
– 使用组策略集中管理用户和计算机配置
– 实施强密码策略和账户锁定策略
– 定期备份Active Directory
– 监控域控制器性能和复制状态
– 保持域控制器时间同步
– 定期清理过期的用户账户和计算机账户
– 实施权限分离,遵循最小权限原则
– 定期进行安全审计,发现并修复安全隐患
– 制定灾难恢复计划,确保业务连续性
本文由风哥教程整理发布,仅用于学习测试使用,转载注明出处:http://www.fgedu.net.cn/10327.html
