Windows Server 2008r2配置活动目录/域控制器

活动目录（中国大陆译名为“活动目录”，台湾则是维持英文不译）是微软Windows Server中，负责架构中大型网络环境的集中式目录管理服务（Directory Services），在Windows 2000 Server开始内置于Windows Server产品中，它处理了在组织中的网络对象，对象可以是用户，组群，电脑，域名控制站，邮件，设置文件，组织单元，树系等等，只要是在活动目录结构定义文件（schema）中定义的对象，就可以存储在活动目录数据文件中，并利用活动目录 Service Interface来访问，实际上，许多活动目录的管理工具都是利用这个接口来调用并使用活动目录的数据。

转自WIKI百科

这期教程图片可能有点糊，大家凑合看一下

安装域控制器

打开服务器管理

打开添加角色向导

选择域控制器（Active Directory 域服务）

添加.NET 3.5

无视它 下一步

安装完成后 运行dcpromo.exe

下一步

下一步

我来解释下 以上几个选项

• 现有林（已经安装了DNS）
• 向现有域添加额外域控制器（加入另外一个域 作为额外域控制器）
• 在现有林中新建域（已经安装DNS 想添加一个域控制器）
• 在新林中新建域（添加全新的一个域）

我这里是新建一个域 输入的格式是 域名.域名后缀

他会检查域名是否被占用

域控制器的级别 这里我是选择默认

这里正常情况下默认 如果已经安装了DNS就不用勾选了

直接选是

各类文件夹的目录设定 我这里选择默认 点击下一步

设定还原密码 要符合复杂程度规定

最后让你确定所填信息是否正确

安装过程

安装完成后会提示重启

域控制器的管理

域控制器基本设置

重启后服务器管理器就多出了一个AD域服务和一个DNS 下面我们来添加几个组织单位 和几个用户

右键点击域 选择新建-组织单位

输入名称 点击确定 然后在组织单位里面添加一个组 和两个用户 并设置帐户不允许更改密码

右键点击空白处 选择新建-组

输入组名

然后新建一个用户 输入名称

输入的密码必须复杂 建议大写字母 小写字母 和数字这样的组合 具体参照考试要求

建立完毕

下面我们要完成这样的操作：把管理员用户添加到管理员组 然后设置星期1到星期5 8点到20允许登入 设置管理员用户不能修改壁纸 不能使用命令提示符 和注册表 修改密码复杂程度

右键单击管理部门 选择属性

在成员选项卡中按下添加

按下高级 点击立即查找 找到管理员1 双击他

点击确定

右键点击用户 选择属性

转到帐户选项卡 单击登陆时间

用鼠标拖动选择时间范围 选好后在右边的单选按钮选择拒绝登陆 根据上面的要求 这里的配置是上午八点到下午8点 然后点击确定退出

在开始-管理工具中打开组策略管理

右键点击 管理部门 选择在这个域中创建GPO并在此处连接

这里输入策略名称

在安全筛选中 删除原来的组 然后添加 管理部门G

右键编辑策略

在用户配置 管理模板 控制面板 个性化中找到阻止用户更改桌面背景 双击他 然后点击已启用 然后确定

然后在管理模板-系统中找到阻止访问命令提示符 选择已启动 然后确定

然后在管理模板-系统中找到阻止访问注册表编辑工具 选择已启用 然后确定

在计算机配置 策略 windows设置 帐户策略 密码策略中可以修改密码的相关设置

在帐户锁定中可一设置 密码最多输错几次 和锁定时间