创建域
首先是如何创建域,我是参考了一下这篇文章。
Step By Step Guide for Windows Server 2008 Domain Controller and DNS Server Setup
这篇文章里面的步骤很详细,不过我需要补充我安装过程中的几点内容:
- 创建域的最简单方法就是使用dcpromo这个命令,意思就是domain controller promote,将一台机器升级为DC
- 安装开始阶段的时候没有选择“Use Advanced mode installation”,选择了这一个的话那么后面会让你填写netbios。Netbios的作用就是域名的缩写。比如我创建的域叫做corp.ist.com,然后我将netbio设置为corp,那么我后面登陆用户名就可以写成corp\user1这样的格式。假如我们不选择“Use Advanced mode installation”,会默认帮我们设置。但是我只试过创建ist.com这样的域,然后ist就是我的netbios。
- 在set forest functional level中我选择的是windows server 2008,因为我没有需要兼容的其他版本的域。
- 创建域作为DC(Domain Control),也作为DNS Server,因此在additional domain controller option中选中DNS。
创建域账户
创建域账户可以参考
Create a New Domain User Account in Windows Server 2008
加入域
在DC中创建域以后,就可以讲其他机器假如到域中,可以参考将计算机加入域,里面最重要的就是要设置DNS为DC的ip地址。
以我的环境为例,我在windows 7系统下使用vmware创建windows server 2008作为DC(192.168.0.105),然后又创建了两个windows7的机器来加入域,这两台机器的ip地址分别是Server1(192.168.0.121)和Server2(192.168.0.122)。在设置Server的首选DNS的时候,要使用DC的ip地址,也就是192.168.0.105,默认网关还是使用192.168.0.1。
DC中不能使用域账户登陆
还有一个需要注意的是,我在DC中创建了域账户,然后试图在DC上登陆,结果报错如下:
You cannot log on because the logon method you are using is not allowed on this computer
在网上找解决方法找到如下:
http://www.vistax64.com/vista-security/114517-you-cannot-log-because-logon-method-you-using.html,按照这个教程中说的,要求Ensure that "Allow log on locally" includes Administrators, Backup Operators, Guests, and Users。但是我发现我的没有User,而且也不能添加Users。看来DC不能等于普通域账户。只能登陆本地账户。
将域账户添加为本地管理员账户
之前使用windows server 2008作为客户端碰到如下问题:
在DC中创建了域账户,然后再client端能够通过域账户登陆。但是域账户没有权限,打开一些程序会显示如下错误:
Windows cannot access the specified device, path, or file. You may not have the appropriate permissions to access the item.
然后我在client端通过本地administrator账户登陆,想将域账户添加到administrators这个管理员组中去。能够在域中找到域账户,但是在添加的时候,点击apply,域账户就消失了。再次添加域账户,会提示 user is already a member of administrators。但是我在administrators这个组中找不到域账户,非常奇怪。
后来安装windows7的虚拟机,就不存在这个问题了。