winserver2019安装AD 2016主辅域控实例过程记录

初始化环境

一台DELL工作站作为宿主机，安装了VMware workstation 17

虚拟机分配两台windows server2019：8G+4C+60G *2；

宿主机的网段为LAN的其他C类地址：10.6.16.x/23，而NAT8网卡的地址为192.168.52.1

所以VMware里的客户机使用NAT的地址为192.168.52.x/24，网关为192.168.52.2，DNS为192.168.52.2，DHCP为192.168.52.254(缺省的配置，若有需要更改，自行到VM里编辑)

Cmd +Winver查看客户机相关版本配置，建议最好激活下OS，如下：

激活OS：

先把原来新建的AD域角色和DNS角色删除：

服务器管理器—管理—删除角色和功能

注意删除完AD角色需要报域名后缀要改掉：

点击服务器管理器--本地服务器—计算机名（ad.hltfj.com）弹出，点击更改—修改计算机名—点击其他—输入此计算机的主DNS后缀（P）为空，勾选在域成名身份变化时，更改DNS后缀—点确定。

一、PDC主域服务器安装

最好手动设置静态IP地址和DNS：

   IPv4 地址. . . . . . . . . . . . : 192.168.52.136(首选)

   子网掩码  . . . . . . . . . . . . : 255.255.255.0

   获得租约的时间  . . . . . . . . . : 2023年11月7日9:48:04

   租约过期的时间  . . . . . . . . . : 2023年11月7日10:18:03

   默认网关. . . . . . . . . . . . . : 192.168.52.2

   DHCP 服务器. . . . . . . . . . . : 192.168.52.254

   DHCPv6 IAID . . . . . . . . . . . : 83889193

   DHCPv6 客户端DUID  . . . . . . . : 00-01-00-01-27-E2-3A-41-00-0C-29-8D-12-59

   DNS 服务器  . . . . . . . . . . . : ::1

                                       192.168.52.2

   主WINS 服务器  . . . . . . . . . : 192.168.52.2

   TCPIP 上的NetBIOS  . . . . . . . : 已启用

1.此图文因为自动使用了VMware的NAT地址，所以后面的DNS的SRV记录出错。需要重新配置DNS。

2.主域服务器命名为AD。

S1.安装域控功能角色

在“服务器管理器”中点击右上角“管理”→“添加角色和功能” →“Active Directory域服务”。安装后，“服务器管理器”窗口右上角旗帜下会有一个感叹号。点击它，弹出“部署后配置”，点击“将此服务器提升为域控制器”。开始提升域控操作。

在此界面选择“添加新林”→输入域名”it.com”.

输入域的还原密码。R00t@rt

这里系统会自动补全域名，点击下一页

路径保持默认设置，点击下一页

查看选项默认设置

在先决条件检查点击安装

注意，因为在vmware下使用了NAT，所以默认的ad IP为动态NAT获取的，安装完后DNS会被设置为127.0.0.1，这里不需要修改，可以使AD上网。

手动设置ad的ip

192.168.52.200/24 gateway 192.168.52.2

Dns 127.0.0.1 192.168.52.2

二、BDC部署

S1、设置IP及DNS

设置之前规划好的ip，首个DNS设为PDC的IP，第二个DNS指向本机。

S2、先加入域，同时修改主机名

点击服务器管理器—本地服务器—计算机名—更改

修改IP地址的DNS为192.168.52.200 127.0.0.1

S3、加入域出错处理

出现无法加入域的信息，查看错误提示的信息，解决如下：

1.进入ad的DNS管理器—AD—正向查找区域--_msdcs.it.com下—右键新建dc域，再从dc域新建域_tcp域

2.在_tcp目录上右键-新建主机(A)-输入_ldap，ip填入DNS服务器的地址192.168.52.200

3.在_tcp目录下，右键—其他新纪录—SRV（服务位置）--_ldap，---创建一个后缀名为“_tcp.dc._msdcs.domain.org”；指向你的域控制器；

然后即可返回bdc入域

还是出错。

后续继续百度学习，解决如下：

或者（重新安装AD和DNS服务）

重启后：加入域成功

S4、然后安装域控角色

在“服务器管理器”中点击右上角“管理”→“添加角色和功能” →“Active Directory域服务”。具体步骤如下。

在“添加角色和功能向导”界面，保持默认设置，点击“下一步”。

在选择目标服务器界面，保持默认设置，点击下一步

在“选择服务器角色”界面，点击“Active Directory域服务”在弹出来的“添加角色和功能向导”中点击“添加功能”。

设置好后“Active Directory域服务”选项就勾选好了。

在“选择功能”界面，保持默认设置，点击“下一步”。

在“Active Directory域服务” 保持默认设置，点击“下一步”。

在“确认安装所选内容”界面点击“安装”。

等待安装结束关闭向导，不需要重启。

S6、提升域控角色

回到“服务器管理 仪表板”界面点击右上角旗帜，弹出“部署后配置”，点击“将此服务器提升为域控制器”。

在“部署配置”界面，选择“将域控制器添加到现有域”→输入“it.com”（自动填写了）。

注意：请用域管理员账户进行此操作。若非域管理员，请点击“更改”按钮修改账户。

在“域控制器选项”界面，输入域的还原密码点击下一步。R00t@rt

在“DNS选项”界面，保持默认设置，点击“下一步”。

在“其他选项”界面，保持默认设置，点击“下一步”。

在“路径”界面，保持默认设置，点击“下一步”。

在“查看选项”界面，保持默认设置，点击“下一步”。

在“先决条件检查”界面，保持默认设置，点击“下一步”：安装。

等待安装结束。安装结束提示注销重启。

至此，BDC辅助域控安装完成。

三、配置计算机重定向

点击“开始”→“管理工具”→“Active Directory用户和计算机”

右击“it.com”点击“新建”→“组织单位”，命名为：“AllComputer”。

在“开始”→“运行”→“cmd”打开命令行窗口。

在命令行窗口输入：“redircmp ou=AllComputer,dc=it,dc=com”

将加入的计算机重定向到AllComputer中。

四、配置NTP服务器

Win+cmd，输入regedit，找到

打开注册表，找到

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]的Type将其键值改为“NTP”。

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Config]找到AnnounceFlags键值改为5

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\Parameters]找到NTPServer键值改为防火墙IP或者其他NTPserver的地址。{注意这里的防火墙需要支持NTPserver的角色，一般sangfor的没有这个功能角色}

[计算机\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\TimeProviders\NtpClient]找到SpecialPollInterval键值为120。每2分钟同步一次。

可以在BDC上查看：

查看时间源命令：w32tm /query /source

查看时间同步状态命令：“w32tm /query /status”

查看时间列表命令：“w32tm /query /peers”

五、创建和管理对象、容器和组织单位（OU）

S1、梳理组织架构和OU对应

根据公司的组织架构

把公司的组织架构按照二级部门来对应AD中的OU（组织单位）

新建公司作为一级OU；

二级部门作为二级OU；

二级OU底下直接为用户了，不做过深的OU，有利于后续管理。

新建如下：

一级OU：合力泰股份（合股份）

二级OU:  信息化部，人力资源部，审计部，投资部，办公室，战略发展部，法务部，管理层，管理会计部，会计核算部，资金部，资产部，综合招采部，组织部

三级OU：信息化部-基础架构处、生产制造处、企业应用处

S2、通过csv文件格式批量创建OU

将OU.csv文件上传至域服务器根目录，以管理员身份运行win+cmd（注意必须以csv分隔符的格式保存文件，否则会出错。）

通过以下命令导入域控相关的OU

导入一级OU：

for /f "skip=1 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%a,DC=it,DC=com"

skip=1指跳过第一行标题，tokens=1-3指取1-3行一级OU的数据

参数含义: skip=1跳过第一行数据 eol=;注释行开始字符为";" tokens=1-9 

每次提取1-9个变量 delims=, 分割符号为","

导入二级OU:

for /f "skip=4 eol=;tokens=1-17 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%b,ou=%a,DC=it,DC=com"

skip=4指跳过第一行标题和一级OU，tokens=1-20指取1-3行二级OU的数据

导入三级OU：

for /f "skip=21 eol=;tokens=1-3 delims=," %a in (C:\ou.csv) do dsadd ou "ou=%c,ou=%b,ou=%a,DC=it,DC=com"

skip=21指跳过第一行标题和一级OU和二级OU，tokens=1-3指取1-3行三级OU的数据，c，b，a为一级、二级、三级的变量。

-视频，批量新建OU

六、批量导入AD用户

重点是如何创建表格文件-批量的数据

首先这里我们需要找HR要到员工的信息表，越详细越好，

注：初始密码不能太过于简单，一定要符合密码的复杂性的要求

复制黏贴命令于CMD窗口即可。

="dsadd user "&"""cn="&Sheet1!A2&",ou="&Sheet1!B2&",ou="&Sheet1!C2&Sheet1!D2&Sheet1!E2&Sheet1!F2&Sheet1!G2&""""&" -company "&Sheet1!H2&Sheet1!I2&" "&Sheet1!J2&Sheet1!K2&" "&Sheet1!L2&Sheet1!M2&" "&Sheet1!N2&Sheet1!O2&" "&Sheet1!P2&Sheet1!Q2&" "&Sheet1!R2&Sheet1!S2&" "&Sheet1!T2&Sheet1!U2&" "&Sheet1!V2&Sheet1!W2&" "&Sheet1!X2&Sheet1!Y2&" "&Sheet1!Z2&" "&" "&Sheet1!AA2&" "&Sheet1!AB2&" "&Sheet1!AC2&"  "&Sheet1!AD2&" "&Sheet1!AE2&"  "&Sheet1!AF2&" "&Sheet1!AG2&" "&Sheet1!AH2

七、组策略（常用）的使用和推送

S1、本地管理员重命名

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“账户：重命名系统管理员账户” →输入“hltadmin” →点击“确定”

这样就将原来系统管理员账户administrator改为hltadmin 。

S2、禁用Guest账户

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”

生成策略。右击此策略，点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“本地策略”→“安全选项”→“帐户：来宾帐户状态” →编辑选择“已禁用”。

S3、禁用USB

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“计算机配置”→“策略”→“管理模板”→“系统”→“可移动存储访问” →“可移动磁盘：拒绝执行权限” →编辑选择“已启用”。

“可移动磁盘存储：拒绝读取权限”设为“已启用”。

“可移动磁盘：拒绝写入权限”设为“已启用”。

设置完成。点击关闭。

S4、密码复杂度

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略，点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“安全设置”→“账户策略”→“密码策略”→按上图所示设置策略。

S5、统一桌面背景

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→点击“Default Domain Policy”右击此策略，点击“编辑”。

“用户配置”→“策略”→“管理模板”→“桌面”→“桌面”→“桌面墙纸”。

路径：\\10.6.100.25\css\10项目实施\1AD域系统\桌面壁纸\win11.jpg

墙纸样式选择：适应。

S6、禁止客户端自行修改IP

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“用户配置”→“管理模板”→“网络”→“网络连接”→“禁止访问LAN连接组件的属性”→选择“已启用”。

S7、客户端禁用注册表

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“用户配置”→“管理模板”→“系统”→“防止访问注册表编辑工具”→选择“已启用”

S8、映射网络驱动器

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“用户配置”→“首选项”→“Windows 设置”→“驱动器映射”→输入网络地址。

在“常用”选项卡中勾选“在登录用户的安全上下文中运行（用户策略选项）”和“项目级别目标”，点击“确定”

S9、修改本地管理员密码

在“开始”→“管理工具”→“组策略管理”→“组策略对象”→右击“新建”→设置策略名称，点击“确定”生成策略。右击此策略，点击“编辑”。

“计算机配置”→“策略”→“Windows 设置”→“脚本（启动/关机）”添加脚本。