如何管理与使用windows server 2022 AD域控服务器（中）？

技术瘾君子1573

已于 2024-07-16 13:06:55 修改

阅读量2k

点赞数 38

分类专栏： window&linux操作系统服务器&存储文章标签：服务器运维 AD域控管理使用

于 2024-06-29 06:15:00 首次发布

本文链接：https://blog.csdn.net/qq_27815483/article/details/139887894

版权

window&linux操作系统同时被 2 个专栏收录

67 篇文章 1 订阅

订阅专栏

服务器&存储

62 篇文章 1 订阅

订阅专栏

内容介绍：

本文主要讲解如何管理与使用windows server 2022 AD域控服务器，主要涵盖域控端如何创建OU（组织单位）、用户，客户端如何加入AD域，如何使用AD域批量部署共享目录及文件、禁止客户端用户修改ip,禁用移动usb存储设备，软件批量下发安装，批量设置客户端桌面壁纸，批量jh系统等。

一、管理与使用

1、AD域控服务端创建用户与客户端加入域

1.1 AD域控服务端创建用户

1.2 ，选择adsrvtest01.com 右键→新建→组织单位（OU）

1.3选择刚刚创建的组织单位右键→新建→组织单位→用户组

1.4选择刚刚创建的组织单位用户组右键→新建→组织单位→部门

1.5选择刚刚创建的组织单位部门右键→新建→用户填好信息→下一步→设置密码→账户策略（根据要求）

这里，也可以是在为用户定义专门接入的ip分配。

1.6关于AD域组的类型及作用域介绍，请参考《windowsAD域控基础-AD域控组的介绍》一文（可选）

1.7 将用户加入到刚才新建的安全组，选中新建账户，右键→添加到组

2、将客户端加入 AD 域

修改客户端 SID

参见修改 SID 操作说明，修改作为客户端实例的 SID。

2.1. 登录作为客户端的实例，详情参见使用标准方式登录 Windows 实例。

2. 2修改 DNS 服务器地址。

2.3打开控制面板 > 网络和 Internet > 网络和共享中心，在网络和共享中心窗口中，单击以太网。如下图所示：

2.4在以太网状态窗口中，单击属性。

2.5 在以太网属性窗口中选择 Internet 协议版本4（TCP/IPv4），并单击属性。

2.6 在 Internet 协议版本4（TCP/IPv4）属性窗口中，选择使用下面的 DNS 服务器地址，并将首选 DNS 服务器地址设置为 DC 实例的 IP 地址，本文以 172.31.10.15 为例。如下图所示：

在部署 AD 域控制器中已将 2台AD 域服务和 DNS 服务部署在同一台实例上（IP地址为172.31.10.200），故此处指定 DNS 服务器的地址为172.31.10.200，如果生产环境可能需要单独搭建一台DNS服务器。

2.7 单击确定，保存修改。

2.8.在 cmd 窗口中，执行以下命令，检查是否能 Ping 通 DNS 服务器 IP 地址。

ping adsrvtest01.com

返回结果如下图所示，说明可 Ping 通 DNS 服务器 IP 地址

2.9.打开控制面板 > 系统和安全 > 系统，并单击“系统”窗口中的更改设置。如下图所示：

2.10. 在弹出的系统属性窗口中，单击更改。如下图所示：

2.11.在弹出的计算机名/域更改窗口中，按需修改计算机名，并设置隶属于域为 adsrvtest01.com。如下图所示：

2.12.单击确定。

2.13. 在弹出的 Windows 安全窗口中，输入 DC 实例的用户名及登录密码，单击确定。弹出如下图所示确认窗口，表示已成功加入域。

单击确定，重启实例使配置生效。

说明

对于作为域成员的计算机（CVM 实例）不推荐使用已加入域的计算机来创建自定义镜像，否则新镜像创建的实例会报错“服务器上的安全数据库没有此工作站信任关系”。如果确实需要，建议您在创建新的自定义镜像前先退出域，并做 Sysprep 动作，确保每一台加入域的计算器具有唯一 SID，有关 Sysprep 详情请参见通过 Sysprep 实现云服务器入域后 SID 唯一。

3、批量部署共享网络驱动器

3.1 在非系统盘任一盘符下创建一个新文件夹作为共享文件夹，或者单独搭建文件服务器，将文件服务器加入域中

3.2 配置好共享后，复制文件夹路径，打开服务器管理器→工具→组策略管理

3.3 进入组策略依次展开林→域→adsrvtest01.com→右键点击defalt domain policy

3.4 在组策略管理器编辑器中，用户配置→首选项→windows设置→驱动器映射（右键）→新建→映射驱动器

3.5 进入界面后，操作：选择新建，位置（将刚刚复制的路径粘贴过来就可以了），驱动器号选择使用第一个可用的，后面下拉随便选择一个设置驱动器的盘符，然后点击确定

3.6 使用域用户登录客户端，在cmd命令里输入gpupdate /force,更新策略，然后打开文件管理器可以看到刚刚在服务端配置共享文件夹

4、禁止域内用户或计算机修改ip地址

4.1、组策略管理器→用户配置→策略→管理模板→网络→网络连接，启用 “禁用TCP/IP高级配置”和“禁止访问LAN连接的属性”

4.2 再次进入客户机输入gpupdate /force更新策略

4.3 打开客户端查看以太网属性进行验证，这时看到已没有权限查看

5、禁止域内用户或计算机使用USB移动存储设备

5.1组策略管理编辑器→计算机配置→策略→管理模板→系统，选择可移动存储访问→所有可移动磁盘存储类→拒绝所有权限

5.2 进入客户端，更新策略 gpupdate /force ,然后客户端插入u盘进行验证

6、域内用户或计算机批量下发软件并自动安装

通过 AD 域控制服务器配置 GPO 组策略部署.MSI 格式软件推送到客户机进行自动托管安装。

封装MSI软件使用Advanced Installer，封装教程待补充。

6.1 在文件服务器或AD域服务器（这里将ad域控制器也部署成了文件服务器），新建共享文件夹，将.msi软件包放至目录里，配置好用户访问权限

6.2 共享文件夹设置完成后记住网络路径，设置好了之后，后续的新分发策略就可以省略这个步骤

6.4 AD域控制服务端组策略配置软件分发部署

6.4.1要求是所在【实施部】组织单位（OU）的用户部署软件分发，当前OU下有3位用户

6.4.2 打开组策略管理，右键【实施部】组织单位（OU）并新建 GPO，命名 GPO 为【实施部软件分发部署】

6.4.3 新建完成后，再右键新建的【实施部软件分发部署】进行【编辑】

6.4.3 在组策略管理编辑器依次打开【用户配置】→策略→软件设置→【软件安装】→【属性】，设置默认程序数据包位置为前面设置共享的路径，并设置数据包为【高级】和用户界面选项为【最大】

6.4.4 软件安装选项右键【新建】——【数据包】

6.4.5将打开已配置的软件数据包网络路径，双击选择本次要部署分发的软件

6.4.6 在软件【企业微信】的属性中配置【部署】的部署类型为【已分配】和部署选项为【在登录时安装此应用程序】

6.4.7以及设置该软件的安全选项为添加 Everyone组或添加指定用户组，权限为【读取】

6.4.8 完成以上配置后，通过 cmd 或 PowerShell 来更新组策略；

命令：gpupdate /force

6.4.9 登录已部署软件分发所在组织单位（OU）的用户，登录后一直转圈，系统安装托管软件企业微信需要先传输软件包，安装快慢决定于包大小跟网络；

6.4.10 安装过程很快，安装完成后即进到用户桌面

7、统一下发设置域内用户或计算机桌面壁纸

7.1 将下载的桌面壁纸下载上传到域控服务器或文件服务器的目录下，如下图（这里域控也是文件共享服务器）

7.2 打开AD域控服务器管理器 → 工具 → 组策略管理 → 右键Default Domain Policy → 编辑 → 用户配置 → 首选项 → Windows设置 → 文件夹，右键，新建→文件夹 - 操作为“创建” 选则“路径”

7.3 打开AD域控服务器管理器 - 工具 - 组策略管理 - Default Domain Policy（这里为了方便后期分类管理，也可以新建一个策略，如”桌面壁纸设置“） - 用户配置 - 策略 - 管理模板 - 桌面 - 桌面墙纸 - 强制名称设置为C:\bgp\xxx.jpg - 填充 - 应用