Active Directory 域服务
TIP
Active Directory 存储有关网络上对象的信息,并让管理员和用户可以更容易地使用这些信息。 Active Directory 使用结构化数据存储作为目录信息的逻辑层次组织的基础。
开始之前
本例环境
修改计算机名
右键 此电脑 → 属性 → 高级系统设置 → 计算机名 → 更改
设置固定 IP 地址
Active Directory 域配置
添加 Active Directory 域服务角色
在 服务器管理器 中 添加角色和功能:
安装完成后需要配置,提升为主域控制器 或 将域控制器添加到现有域
提升为主域控制器
将域控制器添加到现有域
复制自: (此处选择主域控制器)
剩下几项没有要改的,点击 安装
将新域添加到现有林(添加子域)
首先确保即将添加的计算机已 修改计算机名 。
完全域名为:<计算机名>.<新域名>.<父域名>; 下图的完全域名为:sdc.win.2021skills.com:
AD DS 发布共享
先建一个文件夹,在属性中打开共享,记下共享路径。
然后在 服务器管理器 -> 工具 -> Active Directory 用户与计算机 -> 右键 新建 -> 共享文件夹
AD DS 批量软件部署
先建一个文件夹,在属性中打开共享,给 Everyone 读取权限。
然后在 服务器管理器 -> 工具 -> 组策略管理 -> 在 Default Domain Policy 右键,编辑 -> 在 组策略管理编辑器 中的 -> 计算机配置 -> 策略 -> 软件设置 -> 软件安装 -> 右键,新建数据包
可以通过
gpupdate /force指令强制更新组策略,或通过重启计算机更新组策略。
常见问题
Error 001:尝试将此计算机配置为域控制器时出错
错误详情
尝试将此计算机配置为域控制器时出错
操作失败的原因是:
试图将此计算机加入“skills.com”域失败。
无法完成域加入,原因是试图加入的域的 SID 与本计算机的 SID 相同。 未正确克隆的操作系统安装会出现这种情况。 你应该在本计算机上运行 sysprep,以便生成一个新的计算机 SID。 有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=168895。
出错原因
Windows 使用 SID 来表示所有的安全对象(security principals)。 安全对象包括主机、域、计算机账户、用户与安全组。 名字 Name 是用来代表 SID 的一个方法,可以允许用户改名而无需更新 ACL(access control list)。 SID 是一串数字代码包含了架构版本数字,一个 48 位的 ID 权威值,一个 32 位的子全位置或者 RID 值。 权威值识别颁发出 SID 的代理,这个代理一般是 windows 本地系统或者域。 子权威值识别颁发权威的委派,RID 则是 Windows 用来创建唯一 SID 用到的一个普通 SID。
相同 SID 在单机使用过程中可能没有什么问题。 但是在 Windows 内部,每个账号具有一个惟一的 Security ID,可以在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList 看到。
SID是用来识别账户的惟一标志,而不是通常以为的机器名\用户名。
而现有的克隆虚拟机是把整个安装好的系统分区直接克隆下来,这样多台机器就有了相同的SID,这样在你加入域的时候,会报错,工作不正常。
解决方法
- 点击 开始菜单 -> Windows 系统 -> 运行 -> 输入
sysprep回车。 - 双击
Sysprep.exe勾选 [√] 通用,点击确定后将自动重启计算机。
参考:
Error 002:需要具有通过远程桌面服务进行登录的权限
错误详情
若要远程登录,你需要具有通过远程桌面服务进行登录的权限。默认情况下,管理员组的成员有这项权限。如果你所属的组没有这项权限,或者管理员组中已经删除了这项权限,那么需要为你手动授予这项权限。
解决方法
在 服务器管理器 -> 工具 -> 组策略管理 -> 在 Default Domain Policy 右键,编辑 -> 在 组策略管理编辑器 中的 -> 计算机配置 -> 策略 -> Windows 设置 -> 安全设置 -> 本地策略 -> 用户权限分配 -> 允许通过远程桌面服务登入 中添加用户或用户组
Error 003:试图将此计算机加入域失败(指定账户已存在)
错误详情
试图将此计算机加入域失败
指定账户已存在
当重建实例后重新加入域时会出现该错误。
解决方法
到主域控制器中的 Active Directory 用户和计算机 中删除之前被重建的计算机。
Error 004:远程桌面无法连接(出现身份验证错误;要求的函数不受支持)
错误详情
出现身份验证错误。 要求的函数不受支持
远程计算机: iscsi 这可能是由于 CredSSP 加密数据库修正。 若要了解详细信息,请访问 https://go.microsoft.com/fwlink/?linkid=866660
解决方法
在 被远程连接 的计算机上,右键 此电脑 → 属性 → 高级系统设置 → 远程 → 取消勾选 仅允许运行使用网络级别身份验证的远程桌面的计算机连接(建议)
Error 005:无法新建域,因为本地 Administrator 账户密码不符合要求。
错误详情
新建域时,本地 administrator 帐户将成为域 administrator 账户。 无法新建域,因为本地 administrator 账户密码不符合要求。
目前,本地 administrator 账户不需要密码。 我们建议您使用网络用户命令行工具的 /passwordreq:yes 选项获得该账户密码,然后再新建设域: 否则,域 administator 帐户将不需要密码。
解决方法
在管理员 PowerShell 中执行:
net user administrator /passwordreq:yes
然后再域服务配置向导中点 重新运行先决条件检查。
另见 密码必须符合复杂性要求