关于AD域的介绍

最新推荐文章于 2025-06-27 08:38:03 发布

转载最新推荐文章于 2025-06-27 08:38:03 发布 · 10w+ 阅读

文章标签：

本文主要介绍了AD域相关知识，包括域的概念、域控制器等。详细记录了在Windows Server 2012 R2上搭建域服务器、创建域用户、计算机加入域的步骤，还说明了如何在该域环境中禁用密码复杂策略，以及为各部门创建组策略设置桌面背景图片的方法。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

关于AD域

第一次写博客，记录一下如何搭建自己的域服务器，以及其中遇到的一些问题，感谢“我的bug我做主”的文章《C#实现AD域验证登录（一）》，为防止原文被作者删除，手动将原文复制下来，如有侵权，请及时告知。

域的简单介绍

为什么要使用域？假设你是公司的系统管理员，你们公司有一千台电脑。如果你要为每台电脑设置登录帐户，设置权限(比如是否允许登录帐户安装软件)，那你要分别坐在这一千台电脑前工作。如果你要做一些改变，你也要分别在这一千台电脑上修改。相信没有哪个管理员想要用这种不吃不喝不睡觉的方式来工作，所以就应运而生了域的概念。
下面列出了域的几个主要概念：

AD的全称是Active Directory：活动目录
域（Domain）:
1)域是Windows网络中独立运行的单位，域之间相互访问则需要建立信任关系(即Trust Relation)。信任关系是连接在域与域之间的桥梁。当一个域与其他域建立了信任关系后
2)两个域之间不但可以按需要相互进行管理，还可以跨网分配文件和打印机等设备资源，使不同的域之间实现网络资源的共享与管理，以及相互通信和数据传输
域控制器（DC）：
域控制器就是一台服务器，负责每一台联入网络的电脑和用户的验证工作。
组织单元（OU）
用户名服务器名（CN）

域服务器的搭建，创建域用户，计算机加入域

这里我使用windows server 2012 r2 搭建域服务器。

第一步：添加角色功能=>安装’Active Directory域服务’，接着一路下一步，安装完即可。

   注：（1）最好使用Administrator来安装，要不可能会因为没有目录权限而安装失败。
   （2） 加入域不能使用Home版的Windows操作系统（顾名思义它是给你在家用的，而你家里是不用搭建域的）。
   （3） 域控制器不能使用web edition server，因为它没有安装活动目录。

在这里插入图片描述
第二步：配置服务器的ip地址

在这里插入图片描述
接着添加角色功能=>安装’DNS服务器’,因为我用的是公司的内网，所以这里是192.168打头的局域网，你们可以用自己服务器的外网地址.，这个ip将作为访问域服务器的地址，之后写代码会用到。

注：如果你的域控制器在虚拟机上，需要设置你的虚拟机网络连接方式为桥接模式，虚拟机处于无网状态，外部无法访问。

第三步：开始配置域服务

成功安装之后在，如上图所示会有一个黄色三角提示标，点开选择将此服务器提升为域控制器，进入Active Directory域服务配置向导。
在这里插入图片描述

选择“添加新林”，并键入根域名"test.cn",域名尽量唯一，不要与internet上的网站域名重复，一直下一步都使用默认的配置，在安装之前系统会进行先决条件的检查，如果报错则根据错误去解决，警告不予理会。登陆域服务器的账号需要设置密码，且满足复杂度要求，否则先决条件检查无法通过。

安装完成后，服务器会重启。

第四步：创建域用户及在域下可以创建用户，组织单位，联系人等。

在这里插入图片描述

如上图所示我在域名为test.cn的域下添加了某某集团，销售部，技术部，客服部四个组织单位（OU），并且在每个组织单位下都创建了一个用户，以后会写代码读取某某集团下所有的用户，windows出于安全的考虑，域用户的密码只能修改，不能获取。

第五步：加入到域中

我试验用的是win7的电脑，

右键我的电脑=>属性=>高级系统设置=>计算机名页签=>计算机名或域更改，进入这个页面后，你的电脑应该属于一个工作组，这里隶属于我们选择域，并输入test.cn,完事点确定，不出意外肯定会报这个错误。
在这里插入图片描述
　　出现这个问题大概有两个原因：

1）ping下你的域控制器ip地址:在cmd下输入: ping 192.168.40.82

若收到了来自192.168.40.82的回复，说明域控服务器的网络是没问题的，反之则有问题。

2）DNS解析问题

要加入域的这台电脑的DNS必须是域控制器的ip
在这里插入图片描述
更改完DNS，再试一试，成功的弹出了这个窗口

这个用户名与密码，就是域用户及其密码，你可以翻看一下上面的图，我在某某集团->客服部下新建了一个域用户，叫赵四,下图是详细信息，

用户名使用zhaosi，密码是你自己设定的
在这里插入图片描述

　　大功告成，你的电脑已经加入到域里了。

在Windows Server 2012 R2域环境中禁用（取消）密码复杂策略

感谢“张洪君 - 微软Azure DevOps（TFS ） MVP”的文章《在Windows Server 2012 R2域环境中禁用（取消）密码复杂策略》
windows server 2012域环境默认启用密码复杂策略，例如：
至少有六个字符长，包含以下四类字符中的三类字符:英文大写字母(A 到 Z)，英文小写字母(a 到 z)，10 个基本数字(0 到 9)，非字母字符(例如 !、$、#、%)，在更改或创建密码时执行复杂性要求。

在测试环境中启用这么复杂的密码策略，是一件烦人的事情，下面我用截图的方式记录如何取消这些策略。

组策略管理

在DC上打开管理工具→组策略管理（gpedit.msc为本地组策略管理，和此处需要的不同）
在这里插入图片描述
2. 编辑组策略

在这里插入图片描述
3. 修改密码策略

4. 以管理员身份运行命令行窗口，强制策略立即生效

运行命令：gpupdate /force

5. 验证：修改域用户的密码为123，成功！

  可视化域管理工具[ADManager Plus](https://www.jb51.net/softs/665269.html)可对域账号权限等进行统一管理。

示例：为每个部门创建组策略，使同一部门的用户登录时显示相同的桌面背景图片。

1）在域控制器上点击管理工具→组策略管理，打开组策略管理控制台。右键点击需要配置组策略的OU→点击“在这个域中创建GPO并在此处链接”→输入组策略名称“桌面1”，其他部门同理
在这里插入图片描述
右键点击“桌面1”→“编辑”→“用户配置”→“管理模板”→“桌面”→“Active Desktop”，双击“启用Active Desktop”→“已启用”→“应用”→“确定”。

双击“桌面壁纸”→点击“已启用”→在“墙纸名称”输入墙纸的位置，我使用的是UNC路径（需要在服务器上建立共享文件夹，用于存放桌面图片）→选择“墙纸样式”，我这里选择填充→最后点击“应用”→“确定”，到这里就设置好了，其他部门同理。在这里插入图片描述
若使用域账号登陆后，电脑提示您已使用临时配置文件登陆，重启后不会保存对系统作的更改，参考百度经验https://jingyan.baidu.com/article/9989c746fcb3fcf648ecfee9.html
找到注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\，把这个文件夹下面有你登陆的那个账号的文件夹都删掉
windows活动目录不能删除OU的解决方法，参考百度经验https://jingyan.baidu.com/article/bad08e1eb3b9b609c85121be.html
选中服务器管理器 >查看 >高级功能
选中要删除的OU 右键属性 >对象 >取消选中防止对象意外删除