Windows Server 配置与管理——第6章：域和活动目录管理

活动目录（active directory, AD）是 Windows Server 2022 操作系统的目录服务，它存储着网络上各种对象（如用户、组、计算机、共享文件、打印机和联系人等）的有关信息，并使这些信息易于管理员和用户查找及使用。活动目录服务使用结构化的数据存储作为目录信息的逻辑层次结构基础。通过活动目录服务，管理员可以实现整个网络的集中管理。活动目录服务通过将网络中的各种资源的信息保存到一个数据库中，来为网络中的用户和管理员提供对这些资源的访问、管理和控制。这个数据库称为活动目录数据库。

2.域

域（domain）是 Windows Server 2022 操作系统目录服务的基本管理单位。域模式的最大好处是它的单一网络登录能力，任何用户只要在域中建立账户，就可以漫游网络。域的目录树中的每一个节点都有自己的安全边界，这种层次结构保证了安全性。

3.组织单元

活动目录服务把域详细划分成组织单元（organizational unit, OU），组织单元是一个逻辑单位，用于在活动目录中创建层次结构来组织和管理对象，这些对象包括用户、用户组、计算机、服务、共享文件夹等，甚至还可以包括其他组织单元（即 OU 可以嵌套）。组织单元不能包括来自其他域的对象。组织单元是可以进行组策略设置或委派管理权限的最小作用单位。

4.域控制器

在 Windows Server 2022 操作系统中可以使用活动目录安装向导配置域控制器。域控制器用于存储目录数据并管理用户与域的交互关系，其中包括用户登录过程、身份验证和目录搜索。一个域可以有一个或多个域控制器。以学校为例，我们可以这样理解以上 4 个知识点的关系：活动目录是学校的数据库，它详细记录了全校师生及设施设备的信息；域可以理解为整个学校的管理范围和规则框架；组织单元相当于学校的各职能部门、二级学院或社团组织；而域控制器则是依据活动目录中的信息来管理和监督整个学校（域），保证每个组织单元及每位师生都能按照统一规则来开展活动，保障学校的正常安全运转。

6.3 项目过程

项目过程可分为以下几个任务执行：

项目环境设置。
安装和配置域控制器。
将一台计算机加入域。
创建和管理域用户。
创建和管理域组。
管理域中共享文件夹。
管理域中共享打印机。

6.3.1 任务 1 项目环境设置

准备两台虚拟机。其中一台运行 Windows Server 2022 操作系统作为域控制器，设置其静态 IP 地址为 “192.168.50.10/24”，计算机名为 “server1”；另一台运行 Windows 10 操作系统作为域中的一台计算机，设置其 IP 地址与域控制器的 IP 地址在同一网段（如 192.168.50.20/24），计算机名为 “Win10-1”。两台虚拟机的网络适配器设置为桥接模式，并且互相之间能够 ping 通。

6.3.2 任务 2 安装和配置域控制器

具体操作步骤如下：

步骤 1 单击 “开始” 按钮，在打开的 “开始” 菜单中选择 “服务器管理器” 选项，打开 “服务器管理器” 窗口，选择 “添加角色和功能” 选项，打开 “添加角色和功能向导” 窗口，单击 “下一步” 按钮。

步骤 2 显示 “选择安装类型” 界面，选择 “基于角色或基于功能的安装” 单选按钮，单击 “下一步” 按钮，如图 6-1 所示。

步骤 3 显示 “选择目标服务器” 界面，选择 “从服务器池中选择服务器” 单选按钮，安装程序自动检测到该服务器的网络连接，单击 “下一步” 按钮，如图 6-2 所示。

步骤 4 显示 “选择服务器角色” 界面，勾选 “Active Directory 域服务” 复选框，在弹出的对话框中单击 “添加功能” 按钮，返回 “选择服务器角色” 界面，如图 6-3 和图 6-4 所示。

步骤 5 显示 “选择功能” 界面，单击 “下一步” 按钮，如图 6-5 所示。

步骤 6 显示 “Active Directory 域服务” 界面，单击 “下一步” 按钮，如图 6-6 所示。

步骤 7 显示 “确认安装所选内容” 界面，确认所选择的服务无误后，单击 “安装” 按钮，开始安装域服务，如图 6-7 所示。

步骤 8 显示 “安装进度” 界面，待域服务安装完成后，单击 “关闭” 按钮，关闭 “添加角色和功能向导” 窗口，如图 6-8 所示。

提示在 Windows Server 2022 操作系统中，域控制器担任域中心枢纽的角色，因此，建立域控制器的过程，其实就是将一台计算机提升为域控制器的角色。

步骤 9 返回 “仪表板” 界面，单击 “通知” 图标，在展开的列表中选择 “将此服务器提升为域控制器” 选项，如图 6-9 所示。

步骤 10 打开 “Active Directory 域服务配置向导” 窗口，选择 “添加新林” 单选按钮，在 “根域名” 文本框中输入新建域的 DNS 全名（如mqj.com），单击 “下一步” 按钮，如图 6-10 所示。

步骤 11 显示 “域控制器选项” 界面，在 “键入目录服务还原模式（DSRM）密码” 文本框中输入密码和确认密码，单击 “下一步” 按钮，如图 6-11 所示。

步骤 12 显示 “DNS 选项” 界面，系统会自动检查 DNS 服务器是否启动。如果已经启动，则需要指定 DNS 委派选项；如果没有启动，则直接单击 “下一步” 按钮，如图 6-12 所示。

提示：这里可以不提前安装 DNS 服务器，后面将自动进行安装绑定。有关 DNS 的内容将在项目 7 中介绍。

步骤 13 显示 “其他选项” 界面，在 “NetBIOS 域名” 文本框中输入 NetBIOS 域名，此处保持默认值，单击 “下一步” 按钮，如图 6-13 所示。

步骤 14 显示 “路径” 界面，指定 AD DS 数据库、日志文件和 SYSVOL 的位置，如无特殊要求保持默认即可，单击 “下一步” 按钮，如图 6-14 所示。

步骤 15 显示 “查看选项” 界面，显示 Active Directory 域服务安装信息，单击 “下一步” 按钮，如图 6-15 所示。

步骤 16 显示 “先决条件检查” 界面，完成先决条件检查后，单击 “安装” 按钮，如图 6-16 所示。

步骤 17 Active Directory 域服务安装成功后需要重启计算机，重启后在 “服务器管理器” 窗口中可看到自动添加的服务和工具，如图 6-17 所示。

步骤 18 右击 “开始” 按钮，在弹出的快捷菜单中选择 “系统” 选项，打开 “设置” 窗口，选择 “高级系统设置” 选项，在弹出的 “系统属性” 对话框的 “计算机名” 选项卡中可看到配置的 AD 域名，如图 6-18 和图 6-19 所示。

6.3.3 任务 3 将一台计算机加入域

下面将计算机名为 “Win10-1”、IP 地址为 “192.168.50.20/24” 的计算机加入域名为 “mqj.com” 的域中，具体操作步骤如下。

步骤 1 开启 Windows 10 操作系统，在 “Internet 协议版本 4（TCP/IPv4）属性” 对话框的 “首选 DNS 服务器” 编辑框中输入 DNS 服务器的 IP 地址 “192.168.50.10”（域控制器的 IP 地址），单击 “确定” 按钮，如图 6-20 所示。

步骤 2 右击桌面上的 “此电脑” 图标，在弹出的快捷菜单中选择 “属性” 选项，打开 “系统” 窗口，选择 “更改设置” 选项，如图 6-21 所示。

步骤 3 弹出 “系统属性” 对话框，单击 “更改” 按钮，如图 6-22 所示。

步骤 4 弹出 “计算机名 / 域更改” 对话框，选择 “域” 单选按钮，并在下面的文本框中输入 “mqj.com”，单击 “确定” 按钮，如图 6-23 所示。

步骤 5 弹出 “Windows 安全中心” 对话框，要求输入有权限加入域的用户名和密码，此处输入域控制器中管理员的用户名和密码，单击 “确定” 按钮，如图 6-24 所示。

步骤 6 十几秒钟后就会成功加入域，弹出如图 6-25 所示的提示框，单击 “确定” 按钮。

提示:计算机加入域进行验证之前，必须关闭域控制器的防火墙。

步骤 7 弹出重新启动计算机提示框，提示必须重启计算机才能应用更改，单击 “确定” 按钮重启计算机，如图 6-26 所示。

步骤 8 返回域控制器，在 “服务器管理器” 窗口中，选择 “工具”→“Active Directory 用户和计算机” 选项，打开 “Active Directory 用户和计算机” 窗口，选择 “mqj.com”→“Computers” 选项，即可显示加入域的计算机，如图 6-27 所示。

6.3.4 任务 4 创建和管理域用户

1. 新建域用户

具体操作步骤如下。

步骤 1 在 “Active Directory 用户和计算机” 窗口中，右击 “mqj.com” 域，在弹出的快捷菜单中选择 “新建”→“用户” 选项。

步骤 2 弹出 “新建对象 - 用户” 对话框，输入用户的 “姓”“名”“用户登录名”（用于登录系统），单击 “下一步” 按钮，如图 6-28 所示。

步骤 3 显示输入密码界面，输入用户的密码，单击 “下一步” 按钮，如图 6-29 所示。在随后显示的界面中单击 “完成” 按钮，完成用户的创建。

提示:用户登录名是指当用户从域中任意一台计算机登录到域控制器所使用的用户名；用户设置的密码要求包含特殊符号、数字、大写字母和小写字母 4 类字符中的 3 类字符，并且密码的长度不少于 7 位。

步骤 4 在 “Active Directory 用户和计算机” 窗口中，即可查看用户信息，如图 6-30 所示。

知识库:在 Windows Server 2022 操作系统中，一个用户账户包含了用户的名称、密码、所属组、个人信息、通讯方式等信息。在添加一个用户账户后，它被自动分配一个唯一的安全标识 SID，在域中用户账户的 SID 决定用户的权限，可以在域内的任意计算机上用此账户登录。

2. 管理域用户

新建用户账户后，可进一步对账户的属性进行修改。右击要设置属性的用户账户（如 mengqingju），在弹出的快捷菜单中选择 “属性” 选项，弹出 “mengqingju 属性” 对话框，切换到 “账户” 选项卡，可对 “账户选项” 进行设置，如图 6-31 所示。

在图 6-31 的 “账户” 选项卡中，单击 “登录时间” 按钮，弹出 “mengqingju 的登录时间” 对话框，可设置用户的登录时间，如图 6-32 所示。

提示:图 6-32 中横轴每个方块代表一小时，纵轴每个方块代表一天，蓝色方块表示允许用户使用的时间，空白方块表示该时间不允许用户使用，默认为在所有时间均允许用户使用。当用户在允许登录的时间段内登录到网络中，并且一直持续到超过允许登录的时间时，用户可以继续使用，但不允许新的连接，如果用户注销后，则无法再次登录。

在图 6-31 的 “账户” 选项卡中，单击 “登录到” 按钮，弹出 “登录工作站” 对话框，如图 6-33 所示。默认情况下，用户可以从所有的客户端登录，也可以设置让用户从某些客户端登录，设置时输入计算机的名称（NetBIOS 名），然后单击 “添加” 按钮即可。

在图 6-31 的 “账户” 选项卡中，用户可以选择账户的使用期限。默认情况下账户是永久有效的，但对于临时员工来说，设置账户的有效期就非常有用，在有效期限到期后，该账户被标记为失效。

右击用户，在弹出的快捷菜单中还可以对用户进行复制、添加到组、禁用账户、重置密码、移动、删除、重命名等操作，如图 6-34 所示。

（1）复制账户：可以将此账户复制添加到任意组中。
（2）添加到组：可以将账户添加到指定的组中。
（3）禁用账户：选择 “禁用账户” 选项，可以禁用此账户。
（4）重置密码：可以重新设置账户密码。
（5）移动账户：在移动对话框中选择相应的容器或组织单元即可移动账户。
（6）删除账户：在删除账户后，如再添加一个同名账户，由于 SID 的不同，它无法继承已被删除的账户属性和权限。
（7）重命名账户：更改账户的名称。在更改名称后，由于该账户的安全标识 SID 并未被修改，其账户的属性、权限等设置均未发生改变。

6.3.5 任务 5 创建和管理域组

1. 创建域组

具体操作步骤如下。

步骤 1 在 “Active Directory 用户和计算机” 窗口中，右击 “mqj.com” 域，在弹出的快捷菜单中选择 “新建”→“组” 选项。

步骤 2 弹出 “新建对象 - 组” 对话框，在 “组名” 文本框中输入组的名称（如 “wl”），选择所需的 “组作用域” 和所需的 “组类型”，单击 “确定” 按钮，如图 6-35 所示。

域组有安全组和通讯组两大类，每一类又分为本地域、全局和通用 3 个作用域。

安全组：用于将用户、计算机和其他组收集到可管理的单位中，管理员可以为其指派权利和设置权限，具有安全功能，负责与安全相关的事件。
通讯组：用于通讯，负责与安全无关的事件。通讯组只用于分发电子邮件列表，是没有启用安全性的组，不涉及权限的设置。

域组的 3 种作用域的含义如下：

本地域组：主要用于设置在其所属域内的访问权限，以便访问该域内的资源。
全局组：主要用于组织用户，即可以将多个被赋予相同权限的用户加入到同一个全局组中。
通用组：用于设定在所有域内的访问权限，以便访问每一个域内的资源。

2. 管理域组

（1）添加组成员

具体操作步骤如下。

步骤 1 右击要添加成员的组（如 “wl”），在弹出的快捷菜单中选择 “属性” 选项，弹出 “wl 属性” 对话框，切换到 “成员” 选项卡，单击 “添加” 按钮，如图 6-36 所示。

步骤 2 弹出 “选择用户、联系人、计算机、服务账户或组” 对话框，单击 “高级” 按钮，如图 6-37 所示。

步骤 3 弹出 “选择用户、联系人、计算机、服务账户或组” 对话框，单击 “立即查找” 按钮，在 “搜索结果” 中选择用户 “mengqingju”，单击 “确定” 按钮，如图 6-38 所示。

步骤 4 返回如图 6-37 所示的对话框，单击 “确定” 按钮，返回 “wl 属性” 对话框，可以看到 “mengqingju” 已经添加到 “成员” 列表框中，单击 “确定” 按钮，如图 6-39 所示。

（2）删除组成员

具体操作步骤如下。

步骤 1 右击要删除成员的组（如 “wl”），在弹出的快捷菜单中选择 “属性” 选项，弹出 “wl 属性” 对话框，切换到 “成员” 选项卡。

步骤 2 在 “成员” 列表框中选择要删除的组成员（如 “mengqingju”），单击 “删除” 按钮，如图 6-40 所示。

步骤 3 弹出 “Active Directory 域服务” 对话框，询问是否要将选定的成员从组中删除，单击 “是” 按钮，如图 6-41 所示。

6.3.6 任务 6 管理域中共享文件夹

具体操作步骤如下。

步骤 1 在 “E:” 盘根目录下创建文件夹 “shareAD” 并设置为与用户 “mengqingju” 共享，如图 6-42 所示。

步骤 2 在 “Active Directory 用户和计算机” 窗口中，右击 “mqj.com” 域，在弹出的快捷菜单中选择 “新建”→“共享文件夹” 选项。

步骤 3 弹出 “新建对象 - 共享文件夹” 对话框，在 “名称” 文本框中输入 “shareAD”，在 “网络路径” 文本框中输入 “\192.168.50.10\shareAD”，单击 “确定” 按钮，如图 6-43 所示。

步骤 4 开启 Windows 10 操作系统作为客户端计算机，以域中用户身份登录到域，如图 6-44 所示。

步骤 5 打开 “文件资源管理器” 窗口，在导航窗格中选择 “网络” 选项，切换到 “网络” 选项卡，单击 “搜索 Active Directory” 按钮，如图 6-45 所示。

步骤 6 打开 “查找共享文件夹” 窗口，在 “查找” 下拉列表框中选择 “共享文件夹” 选项，在 “范围” 下拉列表框中选择 “mqj.com” 选项，单击 “开始查找” 按钮，在 “搜索结果” 列表框中会列出所有的共享文件夹，如图 6-46 所示。

步骤 7 右击要访问的共享文件夹，在弹出的快捷菜单中选择 “浏览” 选项。

步骤 8 打开活动目录下的 “shareAD” 共享文件夹，如图 6-47 所示。

6.3.7 任务 7 管理域中共享打印机

具体操作步骤如下。

步骤 1 添加一台名为 “Canon” 的打印机并设置共享（参见项目 5 任务 2 中的方法）。

步骤 2 右击打印机，在弹出的快捷菜单中选择 “打印机属性” 选项，弹出 “Canon 属性” 对话框，切换到 “共享” 选项卡，勾选 “列入目录” 复选框，单击 “确定” 按钮，如图 6-48 所示。

步骤 3 开启 Windows 10 操作系统作为客户端计算机，以域中用户身份登录到域。

步骤 4 打开 “文件资源管理器” 窗口，在导航窗格中选择 “网络” 选项，切换到 “网络” 选项卡，单击 “搜索 Active Directory” 按钮，如图 6-49 所示。

步骤 5 打开 “查找打印机” 窗口，在 “查找” 下拉列表框中选择 “打印机” 选项，在 “范围” 下拉列表框中选择 “mqj.com” 选项，单击 “开始查找” 按钮，在 “搜索结果” 列表框中会列出所有的共享打印机，如图 6-50 所示。

步骤 6 右击共享打印机，在弹出的快捷菜单中选择 “打开” 选项，即可打开活动目录下的 “Canon” 共享打印机，如图 6-51 所示。

6.4 实战演练

（1）准备工作

1)、准备一台虚拟机服务器、一台虚拟机客户机。

2)、服务器使用安装好的windows server 2012系统。网卡模式设置为桥接。

客户机使用任意windows系统即可。（客户机建议使用XP系统）网卡模式设置为桥接。

（2）实验步骤

①域控制器建立

1、设置服务器的IP地址和DNS服务器地址：

设置ip地址为192.168.班级.学号(例如192.168.1.99)

子网掩码255.255.255.0

DNS地址和IP地址一致.

2、打开“服务器管理器”，点击“添加角色和功能”按钮。进入“添加角色和功能向导”，点击“下一步”按钮。选择“基于角色或基于功能的安装”，然后点击“下一步”按钮。

3、服务器选择默认，如果同时有多个服务器可供选择，则选择所需要的服务器，点击“下一步”。

4、勾选“Active Directory域服务” ，当勾选这个选项时，弹出对话框时点击“添加功能”即可，然后点击“下一步”。

5、点击“下一步”按钮。勾选“如果需要，自动重新启动目标服务器”按钮，之后点击“安装”。

6、安装完成，点击“关闭”按钮。

7、部署配置

1）、点击服务器管理器右上角的通知栏，并点击“将此服务器提升为域控制器”。

2）、选择 “添加新林”选项，并确定域的信息，填写根域名“WL32xxxx.com”(例如WL324199.com)，点击“下一步”。

3）、确认制定域控制器的功能和站点信息，并设置DSRM密码，点击“下一步”。

（4）、确认NetBios域名，指定AD DS数据库、日志和SYSVOL的存储位置，并查看配置的详细信息，点击“安装”直到显示安装完成。

5）、验证安装：在虚拟机中Win+R直接打开CMD命令行，输入

netdom query fsmo

6）、在CMD命令行中继续进一步验证AD是否安装正确，使用

dcdiag /a

②客户机加入域

1、打开准备好的客户机，设置客户机的IP地址:

IP地址：192.168.班级.学号+100，(例如192.168.1.199)

DNS地址为任务第一步设置的域控制器的IP。

2、右键点击“我的电脑”进入属性，在“计算机名称、域和工作组设置”项点击“更改设置”。

3、选择“隶属于”区域的“域”一项，并填写所要加入的域：WL32xxxx.com (例如WL324199.com)。

4、单击“确定”按钮，在窗口中输入域账号名称和密码进行登录。

5、客户机登陆到域。重新启动客户机，进入到系统登录对话框，选择登录到域wl32xxxx（即域wl32xxxx.com的域NetBIOS名称），输入有效的用户名及密码，成功完成登录。

AtomGit开源社区

AtomGit 是由开放原子开源基金会联合 CSDN 等生态伙伴共同推出的新一代开源与人工智能协作平台。平台坚持“开放、中立、公益”的理念，把代码托管、模型共享、数据集托管、智能体开发体验和算力服务整合在一起，为开发者提供从开发、训练到部署的一站式体验。

更多推荐

Spring Cloud Data Flow 简介

1.Data flow 是一个用于开发和执行大范围数据处理其模式包括ETL，批量运算和持续运算的统一编程模型和托管服务。2.对于在现代运行环境中可组合的微服务程序来说，spring cloud data flow是一个原生云可编配的服务。使用spring cloud data flow，开发者可以为像数据抽取，实时分析，和数据导入/导出这种常见用例创建和编配数据通道（data pipelines

AtomGit开源社区

Claude Code、Codex 到底强在哪？一篇讲清它们的Agent本质（不是简单调用API）

AtomGit开源社区

大模型赋能水生动物疾病智能诊断

大模型技术（特别是多模态大模型和视觉大模型）在水生动物疾病识别与诊断领域的应用正迅速从理论探索走向实践，其核心价值在于通过深度学习提升诊断的，并赋能。结合等资料，技术路线融合了计算机视觉、偏振成像、大语言模型（LLM）以及物联网（IoT）等关键技术。以下将系统性地阐述其技术架构、核心方法、具体实现与未来趋势。