简介
用于基础设施中的 LDAP 统一身份授权认证、NTP 服务器、DNS 服务器。
域控配置要求
- 建议至少 2C6G 50G存储
域控安装前准备
- 激活操作系统
- 修改计算机名字 (作为域控后不建议随意修改名字)
| 代码块 | ||
|---|---|---|
| ||
## powershell 管理员执行 或 终端 管理员执行 Rename-Computer -NewName "AD-S1" -Force -Restart # 修改计算机名字并立即重启生效。 |
- 配置固定 IP
- 删除安全服务 (可选)
| 代码块 | ||
|---|---|---|
| ||
Remove-WindowsFeature -Name Windows-Defender |
域控安装及配置
添加域控制器角色
| 代码块 | ||
|---|---|---|
| ||
## powershell 管理员执行 或 终端 管理员执行
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled False
# 关闭防火墙
Install-WindowsFeature -name AD-Domain-Services -IncludeManagementTools
# 安装域控角色 |
将服务器配置为域控制器
| 代码块 | ||
|---|---|---|
| ||
## powershell 管理员执行 或 终端 管理员执行,执行后会提示是否继续,回车继续即可。
Install-ADDSForest `
-DomainName "waringid.local" `
-ForestMode Win2025 `
-DomainMode Win2025 `
-DomainNetbiosName "WARINGID" `
-SafeModeAdministratorPassword (ConvertTo-SecureString "Waringid.me" -AsPlainText -Force) `
-InstallDNS |
| 信息 |
|---|
注意:执行配置完成后,会自动重启。重启后,要使用 waringid\administrator 用户登录,密码和之前的本地administrator一样。 |
命令详解
-DomainName "waringid.local"
- 该参数指定新的 Active Directory 域的 DNS 名称。
- 这里创建的域名是 waringid.local,可以自行修改。
-ForestMode Win2025
- 该参数用于指定新的 AD 域林的功能级别(Forest Functional Level)。
- 功能级别定义了林中能支持的活动目录功能。
- Windows2008, Windows2008R2
- Windows2012, Windows2012R2
- Windows2016
- Windows2025
-DomainMode Win2025
- 该参数指定域的功能级别(Domain Functional Level)。
- 与林功能级别类似,定义了该域支持的功能和特性。
-DomainNetbiosName WARINGID
- 指定域的 NetBIOS 名称,NetBIOS 名称是一个15字符以内的短名,主要用于旧的网络浏览、兼容应用等。
- 一般与域名的前缀(主机部分)相同或类似,通常大写。
- 例如 waringid.local 域对应的 NetBIOS 名称是 WARINGID。
-SafeModeAdministratorPassword (ConvertTo-SecureString -AsPlainText "Waringid.me" -Force)
- 该参数指定目录服务恢复模式(DSRM)管理员账号(内建管理员账户)的密码。
- DSRM 是 AD 维护和恢复时使用的特殊模式。
- 命令部分 (ConvertTo-SecureString -AsPlainText "Waringid.me" -Force) 是将明文密码 "Waringid.me" 转换成安全的字符串格式,符合命令要求。
| 信息 |
|---|
| 注意,密码应遵循复杂性策略,以保证安全。 |
-InstallDNS
- 指示安装过程也安装 DNS 服务器角色,并自动配置DNS。
- 对 Active Directory 域控来说,DNS 服务是必备的,因为 AD 依赖 DNS 进行名称解析和服务定位。
域控配置
组策略 - 修改密码过期时间
powershell 执行 gpmc.msc 打开组策略管理。修改最长最短使用期限都为0天。然后让AD执行 gpupdate /force 强制快速应用组策略。
修改 DNS 转发器
运行 dnsmgmt.msc,修改所有的转发器为本地网络的公共 DNS 服务器。
ADSI - 设置普通用户不能自己将计算机加入域控
运行 adsiedit.msc,点击操作 > 连接到 > 确定(连接到默认域控)> 右键 DC=waringid,DC=local 属性进行编辑。
找到“ ms-DS-MachineAccountQuota” ,将其数值由默认的10改成0 。然后点击应用。如上图。 (默认是10次,代表普通用户可以将十台计算机加入域控,但域控管理员不受限制。)
组策略 - 只允许本地管理员登录域控计算机 - 可选
powershell 执行 gpmc.msc 打开组策略管理。
添加 Administrators 组 和 Domain Admins组,这样只能添加到本地管理员组的普通用户,或域控管理员用户能进行登录这台计算机。
然后让 AD 执行 gpupdate /force 强制快速应用组策略。
NTP服务器配置 - 使用公网权威NTP服务器作为上游同步
服务器默认用 COMS 作为时间源,存在时间偏移的情况。
| 代码块 | ||
|---|---|---|
| ||
w32tm /config /manualpeerlist:cn.ntp.org.cn,0x8 /syncfromflags:MANUAL /update
# 仅主域控配置公网ntp服务器,并立即同步
w32tm /resync
# 强制同步NTP服务器,最好所有AD中的域控制器,都执行一次。
w32tm /query /status /verbose
# 查看当前状态,NTP是否配置成功。
Leap 指示符: 0(无警告)
层次: 3 (次引用 - 与(S)NTP 同步)
精度: -23 (每刻度 119.209ns)
根延迟: 0.2056026s
根分散: 4.0711694s
引用 ID: 0xB65C0C0B (源 IP: 182.92.12.11)
上次成功同步时间: 2025/4/29 8:52:14
源: cn.ntp.org.cn,8
轮询间隔: 6 (64s)
相位偏移: -0.2507314s
ClockRate: 0.0156261s
计算机状态: 1 (等候)
时间源标志:0 (无)
服务器角色: 64 (时间服务)
上次同步错误: 0 (成功地执行了命令。)
上次成功同步时间后的时间: 19.3403555s |
创建额外的域控管理员用户
运行 dsa.msc 打开Active Directory 用户和计算机
进入 Users 组织单位下,右键 Administrator,选择复制创建用户。
启用并使用 Active Directory 回收站
| 代码块 | ||
|---|---|---|
| ||
## powershell 管理员执行。在主域控制器执行。
Enable-ADOptionalFeature –Identity ‘CN=Recycle Bin Feature,CN=Optional Features,CN=Directory Service,CN=Windows NT,CN=Services,CN=Configuration,DC=songxwn,DC=local’ –Scope ForestOrConfigurationSet –Target ‘waringid.local’
# 在主域控上执行,注意修改域名。 |
已删除的对象,运行 dsac.exe 去 Active Directory 管理中心 > Deleted Objects 下查看并还原。
启用数据库 32k 页可选功能 – 可选
| 代码块 | ||
|---|---|---|
| ||
# powershell 管理执行,输入Y继续。
$params = @{
Identity = 'Database 32k pages feature'
Scope = 'ForestOrConfigurationSet'
Server = 'AD-S1'
Target = 'songxwn.local'
}
Enable-ADOptionalFeature @params
# 注意修改域名。 |
参考
| 目录 |
|---|